En février dernier, l’attaque contre l’hôpital presbytérien de Hollywood a fait la une des journaux.
Après avoir perdu l’usage de leur système informatique interne et l’arrêt de leurs activités, les cadres supérieurs ont pris la décision de payer une rançon négociée de plus de 15 000 euros. À l’époque, une telle somme semblait choquante.
Le coût d’une attaque de ransomware a atteint plus de 895 000 euros
Le 10 juin 2017, la société d’hébergement web sud-coréenne Nayana a été victime d’une attaque de ransomware appelé Erebus.
Bien qu’à l’origine, le ransomware ait été conçu pour compromettre le système d’exploitation Windows, il a été récemment modifié pour cibler les serveurs web Linux.
La façon dont le malware a infecté le système n’a pas été identifiée. Ce qui est certain, c’est qu’aucun des 153 serveurs Linux qui composaient l’infrastructure d’hébergement web n’a été correctement mis à jour.
La société Nayana étant complètement fermée, la direction est venue à la table des négociations pour conclure un accord avec les pirates.
Le prix final convenu était de plus de 895 000 euros, soit nettement moins que le prix demandé à l’origine, à savoir de plus de 39,4 millions d’euros. La rançon est payée en trois versements et chaque versement a permis de déchiffrer un lot de serveurs de la société.
Le paiement de rançon pour les entreprises est souvent de l’ordre de 8 900 à plus de 22 000 euros. Pourtant, les pirates derrière cette attaque ont exigé 550 bitcoins pour déchiffrer les accès aux réseaux, soit environ 1,45 millions d’euros.
Le 14 juin 2017, la société Nayana a signalé qu’elle avait négocié un paiement de 397,6 bitcoins, soit plus de 905 000 euros, ce qui est en fait d’elle l’un des plus grosses rançons jamais signalées et payées.
Vous avez bien lu, plus de 905 000 euros. Pourtant, cet incident aurait pu être évité si la société avait mis en œuvre le correctif approprié.
Anatomie d’une attaque de ransomware
Un mois plus tard, une entreprise canadienne a également été frappée par une attaque de ransomware et elle doit s’estimer chanceuse, car elle n’a dû payer qu’environ 380 000 euros.
L’équipe de la direction n’a pas eu d’autres choix que de payer, car l’attaque permettait aux pirates de chiffrer toutes les sauvegardes de l’entreprise.
Une équipe médico-légale qui enquête sur les conséquences de l’attaque pense que les pirates savaient exactement où se trouvaient les serveurs de base de données et les sauvegardes.
Le malware a été lancé par une attaque de phishing visant six cadres supérieurs de l’entreprise. Des e-mails malveillants ont été envoyés par les pirates.
Ils semblaient provenir d’une entreprise de messagerie et avaient pour objet des factures impayées. Les soi-disant factures étaient jointes aux messages au format PDF.
Deux cadres étaient tombés dans le piège et la charge utile malveillante contenue dans les pièces jointes s’est rapidement répandue dans tout le réseau de l’entreprise.
Bien entendu, si l’entreprise avait appliqué la stratégie de sauvegarde 3-2-1, qui consiste à faire 3 copies de toutes les données dans 2 formats différents, avec une copie hors site, le paiement par extorsion aurait peut-être été évité.
Devriez-vous payer ou ne pas payer la rançon en cas d’attaque ?
Avec des rançons d’un montant aussi épique, le conseil logique peut être de ne pas payer la rançon. C’était l’état d’esprit du centre médical du comté d’Erié à New York lorsqu’il a été victime d’une attaque de ransomware en avril dernier.
Au début, l’attaque visait le serveur web de l’hôpital, mais elle a finalement mis hors service 6 000 ordinateurs.
Une fois que les pirates ont obtenu l’accès à distance au serveur du centre médical, ils ont commencé à lancer une attaque de bourrage d’identifiants pour avoir accès au système.
Le compte compromis n’était protégé que par un mot de passe par défaut et c’est ce qui leur a permis de compromettre le réseau.
Les attaquants se sont alors connectés au système de l’entreprise et ont commencé à tout chiffrer de façon à compliquer la capacité du centre à restaurer ses données.
Plus tard, les cybercriminels ont exigé une rançon de plus de 26 000 euros pour le déchiffrement des données, mais l’équipe de direction du centre n’a pas décidé de payer une telle somme.
Après trois mois, l’organisation a dû dépenser près de 895 000 euros pour réparer les dommages.
Selon une source d’information de l’HIPAA, environ la moitié de cette somme a été consacrée au matériel informatique, aux logiciels et à l’assistance nécessaire pour éviter les représailles des pirates.
L’autre moitié a été allouée à la rémunération des heures supplémentaires du personnel et au recouvrement de pertes de revenus liés à l’arrêt du système.
De plus, l’hôpital a dû débourser environ 223 000 euros par mois depuis l’apparition de cet incident pour mettre à niveau sa technologie et pour améliorer la formation de ses employés en matière de cybersécurité.
La décision de payer une rançon pour obtenir les clés de déchiffrement des données est une question complexe. Du point de vue des coûts et de la productivité, elle peut s’avérer moins coûteuse.
D’un autre côté, il n’y a aucune garantie que les pirates vont donner les clés une fois la rançon payée.
Certains affirment également que les victimes d’une attaque de ransomware subissent souvent des attaques répétées, car les pirates savent que l’organisation sera toujours prête à payer.
Selon une étude réalisée par Symantec en avril 2017, 64 % des victimes d’attaques cybercriminelles aux Etats-Unis affirment être prêtes à payer la rançon, contre 34 % à l’échelle internationale.
La somme d’argent demandée lors de ces différentes attaques est considérable. En réalité, une seule attaque peut désormais mettre une entreprise en faillite. Ce qui est encore plus bouleversant, c’est que ces attaques ont pu être évitées grâce à de simples mesures de sécurité.
Des mesures de sécurité simples permettent de se protéger contre les attaques de ransomware
- La première chose à faire est de sauvegarder régulièrement vos fichiers. Aucune stratégie de sauvegarde n’est à 100 % infaillible, mais la méthode 3-2-1 est celle la plus solide possible.
- L’autre conseil est de ne pas activer les macros qui sont souvent envoyées par des e-mails. Ces messages tentent de convaincre l’utilisateur d’activer les macros pour pouvoir lancer une attaque. L’administrateur système devrait donc mettre en place une politique d’utilisation acceptable pour empêcher les employés d’activer eux-mêmes des macros contenus dans des e-mails dont la source n’est pas fiable.
- N’ouvrez pas les pièces jointes aux e-mails non sollicitées. Si vous utilisez une solution de sécurité antispam comme SpamTitan, les fichiers chargés de malwares seront automatiquement mis en quarantaine avant d’atteindre votre ordinateur. Quoi qu’il en soit, tous les utilisateurs doivent suivre une règle simple, à savoir de ne pas ouvrir les pièces jointes ou les e-mails inattendus provenant d’expéditeurs inconnus.
- Mettez à jour régulièrement vos systèmes et applications. Les équipes informatiques doivent intégrer la redondance dans leur infrastructure. En effet, lors de l’application d’une mise à jour, un système peut tomber en panne. Un autre devrait donc être opérationnel et prendre le relai pendant ce temps.
- Sensibilisez vos employés concernant les menaces cybercriminelles. Bien que la plupart des organisations fournissent à leurs employés un manuel de sécurité, un guide de sécurité est tout aussi important. Ce document devrait comprendre des conseils sur l’hygiène des e-mails, les politiques de l’entreprise en matière de mots de passe, la politique BYOD et les informations concernant les menaces auxquelles les employés doivent être conscients et où ils peuvent obtenir de l’aide au besoin.
- Les cybercriminels préfèrent s’attaquer aux réseaux ouverts et non segmentés. Une fois à l’intérieur d’un réseau non segmenté, ils peuvent voler vos données sensibles et mener d’autres attaques sur votre système. Vous aurez donc intérêt à segmenter le réseau de votre entreprise.
Vous êtes un professionnel de l’informatique et vous souhaitez vous assurer que vos données et périphériques sensibles soient protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.