Accueil Cyber Sécurité Ransomware : Guide de sécurité

Ransomware : Guide de sécurité

Par
Fabrice Symphorien
-
146
0

: Un guide de sécurité

Rapport des directeurs : Cet article Premium est temporairement libre d'accès. Pour un accès illimité au site web, s'abonner : £5 par mois / £50 par an.

En matière de sécurité, les entreprises de toutes tailles sont alarmées par l'abondance et la gravité des attaques par ransomware, mais ces attaques font désormais partie de la vie d'une organisation. Les cybercriminels ciblent désormais tous les secteurs d'activité à l'aide de logiciels malveillants spécialisés et collectent des rançons d'un montant incalculable. Pire encore, ils développent des menaces de plus en plus sophistiquées.

Les organisations perdent ainsi l'accès à leurs , ce qui peut mettre en péril l'ensemble de leurs activités.

Le ransomware est un type de logiciel malveillant qui empêche l'accès à l'appareil et aux données qui y sont stockées, généralement en chiffrant les fichiers. Un groupe criminel demande alors une rançon en échange du décryptage.

La probabilité qu'une organisation subisse une attaque par ransomware augmente rapidement. Au cours du premier semestre 2021, l'Internet Crime Complaint Center du FBI a enregistré une hausse de 62 % des signalements par rapport à l'année précédente, avec près de 2 100 plaintes.

Plus d'un tiers des organisations dans le monde ont subi une attaque en 2022, les attaques de ransomware se produisant environ toutes les 11 secondes.

Compte tenu des dommages potentiels causés aux systèmes et aux flux de travail de l'entreprise si une attaque par ransomware bloque l'accès aux données ou aux applications, il n'est pas surprenant que de nombreuses entreprises choisissent de payer des rançons. Les demandes de rançon typiques vont de quelques centaines de dollars à plusieurs millions. La rançon moyenne payée avoisine les 250 000 dollars.

Augmentation des attaques de ransomware

Les rançongiciels sont la catégorie de cybercriminalité qui connaît la croissance la plus rapide. On estime à plus de 4 000 le nombre d'attaques quotidiennes par ransomware.
Compte tenu du volume de ces attaques et de la profondeur des connexions entre les organisations et leurs fournisseurs, il est fort probable que les informations d'identification de certains employés aient déjà été compromises lors d'une attaque par ransomware.

La fuite d'informations d'identification signifie que les clés du réseau de l'entreprise peuvent être immédiatement publiées sur le site de fuite de données d'un gang de ransomwares. En l'absence d'une stratégie permettant d'atténuer le succès des attaques de ransomware et d'un processus de détection rapide des informations d'identification compromises des employés, les données sensibles de l'entreprise sont exposées à un risque critique de compromission.

Un ransomware est un type de logiciel malveillant qui tente de chiffrer illégalement des fichiers sur un système informatique hôte.
Une attaque par ransomware se produit lorsqu'un pirate accède aux systèmes informatiques d'une organisation et introduit un logiciel malveillant dans le réseau. Ce logiciel, ou “charge utile”, rend alors les données indisponibles en les chiffrant ou en les supprimant.

Les rançongiciels sont souvent conçus pour se propager d'un appareil à l'autre afin de maximiser le nombre de fichiers qu'ils peuvent crypter.
L'élément “rançon” provient de la note de rançon laissée par l'attaquant, qui demande un paiement en échange de la restauration des données. Cela se fait généralement au moyen d'une clé de décryptage à laquelle seul le pirate peut accéder.

Lorsque des données personnelles sont cryptées à la suite d'une attaque par ransomware, il s'agit d'une violation de données personnelles car l'utilisateur a perdu le droit d'accéder à ces données en temps utile ().

Les différents types de ransomware

Il existe de nombreux types de rançongiciels que les acteurs malveillants utilisent pour extorquer des rançons. Les types traditionnels sont le crypto et le locker et deux types plus récents sont la double extorsion et le ransomware en tant que service qui ont gagné en popularité parmi les acteurs malveillants.

  • Locker bloque l'accès aux ordinateurs et les attaquants exigent un paiement pour débloquer l'accès.
  • Crypto crypte tout ou partie des fichiers d'un ordinateur, et les attaquants exigent un paiement avant de remettre une clé de décryptage.
  • La double extorsion se produit lorsque les cybercriminels exigent un paiement pour décrypter les fichiers et un autre pour ne pas les rendre publics.
  • Le ransomware en tant que service (RaaS) se produit lorsque les cybercriminels peuvent accéder à un code malveillant moyennant paiement.
  • Les scarewares tentent d'effrayer les utilisateurs pour qu'ils achètent des logiciels inutiles. Dans certains cas, des fenêtres pop-up envahissent l'écran, obligeant l'utilisateur à payer pour les supprimer.

Les rançongiciels sont souvent connus sous le nom de code de leur souche, comme le cheval de Troie AIDS, qui est apparu pour la première fois il y a 30 ans. Depuis, des noms tels que GPcode, Achievus, Trojan WinLock, Reveton et CryptoLocker ont fait la une des journaux pour les ravages qu'ils ont causés. Au cours de la dernière décennie, LockerPIN, Ransom32, WannaCry, Goldeneye et Petya sont apparus.

Sauvegarde des données

À moins de disposer d'une sauvegarde des données, il n'est généralement pas possible de les récupérer, sauf si l'on décide d'accéder à la demande de paiement du pirate. Même si l'on décide de payer la rançon, rien ne garantit que le pirate fournira la clé permettant de décrypter les fichiers. Le ransomware est un type de logiciel malveillant qui empêche l'accès à l'appareil et aux données qui y sont stockées, généralement en cryptant les fichiers. Un groupe criminel demande alors une rançon en échange du décryptage. L'ordinateur lui-même peut être verrouillé, ou les données qu'il contient peuvent être cryptées, volées ou supprimées. Les attaquants peuvent également menacer de divulguer les données qu'ils volent.

Accès au piratage : Les attaquants accèdent au réseau. Ils prennent le contrôle et installent des logiciels de cryptage malveillants. Ils peuvent également prendre des copies de vos données et menacer de les divulguer.

Activation : Le logiciel malveillant est activé, verrouille les appareils et crypte les données sur le réseau, ce qui signifie qu'il n'est plus possible d'y accéder.

Demande de rançon : En général, vous recevrez ensuite une notification à l'écran de l'application
expliquant le montant de la rançon et comment effectuer le paiement pour déverrouiller l'ordinateur ou retrouver l'accès aux données.

Le paiement est généralement demandé via une page web anonyme et généralement dans une crypto-monnaie, comme le bitcoin. Il est important d'essayer d'établir comment les attaquants ont pu accéder à votre réseau en premier lieu afin de pouvoir prévenir de futures attaques de ransomware.

Pratiques de prévention des ransomwares

Maintenir tous les systèmes et logiciels à jour

Il faut toujours mettre à jour le système d'exploitation, le navigateur Web, l'antivirus et tous les autres logiciels que tu utilises avec la dernière version disponible. Les logiciels malveillants, les virus et les rançongiciels évoluent constamment et proposent de nouvelles variantes capables de contourner les anciens dispositifs de sécurité, c'est pourquoi il est important de s'assurer que tout est patché et mis à jour.

Lire aussi :  Les cybercriminels utilisent rapidement ChatGPT

L'attaque de ransomware la plus célèbre a peut-être eu lieu en 2017, lorsque le logiciel malveillant WannaCry a paralysé de grandes entreprises dans le monde entier. Il a même contraint les hôpitaux du NHS en Grande-Bretagne, la société espagnole de télécommunications Telefónica et le fournisseur de puces Apple Taiwan Semiconductor Manufacturing Co. (TSMC) à interrompre leurs activités pendant quatre jours. Au total, plus de 230 000 ordinateurs ont été touchés dans le monde. L'attaque visait les ordinateurs équipés de versions obsolètes de Microsoft Windows. Malgré la publication récente d'un correctif qui aurait empêché la propagation du logiciel malveillant, de nombreux utilisateurs et organisations ont tardé à effectuer la mise à jour et ont donc été victimes de l'escroquerie.

Depuis cet incident, les experts en sécurité du monde entier ont exhorté les entreprises à mettre à jour leurs systèmes dès que possible.

Installer un logiciel antivirus et un pare-feu : Les logiciels antivirus et anti-malware sont les moyens les plus courants de se défendre contre les ransomwares. Ils peuvent scanner, détecter et répondre aux cybermenaces. Cependant, il faut également configurer le pare-feu, car les logiciels antivirus ne fonctionnent qu'au niveau interne et ne peuvent détecter l'attaque qu'une fois qu'elle est déjà présente dans le système.

Les pare-feu constituent souvent la première ligne de défense contre les attaques externes entrantes. Ils peuvent protéger contre les attaques logicielles et matérielles. Les pare-feu sont essentiels pour toute entreprise ou tout réseau privé, car ils peuvent filtrer et bloquer les paquets de données suspects qui pénètrent dans le système. Attention aux fausses alertes de détection de virus ! De nombreuses fausses alertes prétendent provenir d'un logiciel antivirus, notamment par le biais de courriels ou de fenêtres contextuelles de sites web. Ne clique sur aucun lien avant d'avoir vérifié directement auprès du logiciel antivirus.

Segmentation du réseau : Les ransomwares pouvant se propager rapidement dans un réseau, il est important de limiter autant que possible leur propagation en cas d'attaque. La mise en œuvre de la segmentation du réseau divise le réseau en plusieurs réseaux plus petits afin que l'organisation puisse isoler le ransomware et l'empêcher de se propager à d'autres systèmes. Chaque sous-système individuel doit avoir ses propres contrôles de sécurité, ses propres pare-feu et son propre accès pour empêcher le ransomware d'atteindre les données cibles.

Non seulement l'accès segmenté empêchera la propagation au réseau principal, mais il donnera également à l'équipe de sécurité plus de temps pour identifier, isoler et supprimer la menace.

Protection de la messagerie : Historiquement, les attaques par hameçonnage sont la principale cause d'infection par des logiciels malveillants. En 2020, 54 % des fournisseurs de services gérés (MSP) ont indiqué que le phishing était la principale méthode de diffusion des ransomwares.
Un autre rapport publié par le Federal Bureau of Investigation (FBI) a classé les escroqueries par hameçonnage au premier rang des cybercrimes en 2020, entraînant plus de 4,2 milliards de dollars de pertes ou de vols. Un ransomware peut infecter un utilisateur par le biais d'un courrier électronique de différentes manières :

  • Téléchargement de pièces jointes suspectes
  • Cliquer sur des liens menant à des sites web infectés
  • L'ingénierie sociale, qui vise à inciter les utilisateurs à divulguer des informations sensibles.

Outre les logiciels antivirus, il est possible de prendre des précautions supplémentaires en utilisant des pratiques ou des technologies, notamment :

  • Ne pas ouvrir les courriels provenant d'expéditeurs inconnus – Éviter de cliquer sur les pièces jointes, les fichiers ou les liens provenant d'adresses inconnues ou de sources non autorisées.
  • Mettre à jour les applications de messagerie – Ne pas laisser les cybercriminels profiter des failles de sécurité d'une technologie obsolète.
  • Sender Policy Framework (SPF) – Technique d'authentification des courriels permettant de désigner des serveurs de messagerie spécifiques à partir desquels les messages sortants peuvent être envoyés.
  • DomainKeys Identified Mail (DKIM) – Fournit une clé de cryptage et une signature numérique permettant de vérifier que le courrier électronique n'a pas été usurpé, falsifié ou modifié.

Liste blanche des applications : La liste blanche détermine quelles applications peuvent être téléchargées et exécutées sur un réseau. Tout programme ou site web non autorisé qui ne figure pas sur la liste blanche sera restreint ou bloqué au cas où un employé ou un utilisateur téléchargerait accidentellement un programme infecté ou visiterait un site corrompu. L'utilisation d'un logiciel de liste blanche comme Windows AppLocker permet également d'établir une liste noire ou de bloquer des programmes et des sites web spécifiques.

Sécurité des points finaux : La sécurité des points finaux doit être une priorité pour les entreprises en croissance. Lorsque les entreprises commencent à se développer et que le nombre d'utilisateurs finaux augmente, cela crée davantage de points d'extrémité (ordinateurs portables, smartphones, serveurs, etc.) qui doivent être sécurisés. Chaque point de terminaison distant crée une opportunité potentielle pour les criminels d'accéder à des informations privées ou, pire, au réseau principal.

Que l'on travaille à domicile ou au sein d'une grande entreprise, il faut envisager d'installer des plateformes de protection des points d'accès (EPP) ou des systèmes de détection et de réponse aux points d'accès (EDR) pour tous les utilisateurs du réseau. Ces technologies permettent aux administrateurs système de surveiller et de gérer la sécurité de chaque appareil distant. L'EDR est légèrement plus avancé que l'EPP, car il se concentre sur la réponse et la lutte contre les menaces immédiates qui se sont infiltrées dans le réseau.

Les EPP et EDR comprennent généralement une suite d'outils de protection, notamment :

  • Cryptage des données
  • Prévention des pertes de données
  • Détection d'intrusion
  • Sécurité des navigateurs web
  • Sécurité des mobiles et des ordinateurs de bureau
  • Évaluations de réseaux pour les équipes de sécurité
  • Alertes et notifications de sécurité en temps réel

Limiter les privilèges d'accès des utilisateurs : Un autre moyen de protéger le réseau et les systèmes consiste à limiter l'accès et les autorisations des utilisateurs aux seules données dont ils ont besoin pour travailler. Cette notion de moindre privilège permet de limiter l'accès aux données essentielles. Cela permet d'empêcher les ransomwares de se propager d'un système à l'autre au sein d'une entreprise. Même s'ils y ont accès, les utilisateurs peuvent être confrontés à des fonctions ou des ressources limitées.

Le moindre privilège implique généralement un modèle de confiance zéro qui part du principe que les utilisateurs internes ou externes ne sont pas dignes de confiance, ce qui signifie qu'ils doivent faire l'objet d'une vérification d'identité à chaque niveau d'accès. La vérification nécessite généralement au moins deux facteurs ou une authentification multifactorielle pour empêcher l'accès aux données cibles en cas de violation.

Effectuer des tests de sécurité réguliers : La mise en œuvre de nouvelles mesures de sécurité devrait être une tâche sans fin. Les tactiques des ransomwares continuant d'évoluer, les entreprises doivent effectuer régulièrement des tests et des évaluations de la cybersécurité pour s'adapter à des environnements changeants. Les entreprises doivent continuellement :

  • Réévaluer les privilèges des utilisateurs et les points d'accès
  • Identifier les nouvelles vulnérabilités du système
  • Créer de nouveaux protocoles de sécurité

Le test en bac à sable est une stratégie courante qui consiste à tester des codes malveillants contre des logiciels actuels dans un environnement isolé afin de déterminer si les protocoles de sécurité sont suffisants.

Formation de sensibilisation à la sécurité : Les utilisateurs finaux et les employés étant la porte d'entrée la plus courante pour les cyberattaques, l'une des formations les plus importantes qu'une entreprise puisse proposer est la sensibilisation à la sécurité. Les tactiques d'hameçonnage et d'ingénierie sociale peuvent facilement profiter d'utilisateurs peu méfiants et mal équipés.

Le fait d'avoir des connaissances de base en matière de cybersécurité peut grandement influer sur les attaques à la source, voire les prévenir. Voici quelques pratiques de base en matière de formation à la sécurité :

  • Naviguer en toute sécurité sur le web
  • Créer des mots de passe forts et sûrs
  • Utiliser des VPN sécurisés (pas de Wi-Fi public)
  • Reconnaître les courriels ou les pièces jointes suspects
  • Maintenir les systèmes et les logiciels à jour
  • Formation à la confidentialité
  • Mise en place d'une voie de signalement d'urgence en cas d'activité suspecte

Faut-il payer la rançon ?

Les forces de l'ordre n'encouragent pas, n'approuvent pas et ne tolèrent pas le paiement d'une rançon. Si vous payez la rançon :

  • Il n'y a aucune garantie d'accès aux données ou à l'ordinateur.
  • Ton ordinateur sera toujours infecté
  • Tu paieras des groupes criminels
  • Tu es plus susceptible d'être ciblé à l'avenir

C'est pourquoi il est important de toujours disposer d'une sauvegarde hors ligne récente de ses fichiers et données les plus importants.

Les attaquants menaceront probablement de publier les données si le paiement n'est pas effectué. Pour contrer cette menace, il convient de prendre des mesures pour minimiser l'impact du vol de données. Les employés sont le principal vecteur d'attaque des ransomwares. Une mauvaise hygiène des mots de passe, des politiques d'accès trop permissives et la vulnérabilité aux escroqueries par hameçonnage, qui restent la source principale de la plupart des attaques.

Ces escroqueries élargissent la surface d'attaque d'une organisation, ce qui permet aux cybercriminels d'insérer facilement des fichiers de ransomware. Malheureusement, de nombreuses organisations autorisent ces mauvaises pratiques parce qu'elles craignent les plaintes des employés si elles mettent en place des politiques plus strictes.

Les organisations doivent former correctement leurs employés à être vigilants quant aux signes d'une attaque et à se défendre contre les attaques de manière proactive.

Par exemple, empêcher les employés de cliquer sur les liens contenus dans des courriels suspects (par exemple, ceux qui comportent des majuscules ou des fautes d'orthographe bizarres) peut contribuer grandement à une meilleure posture de sécurité. Il est tout aussi important que les organisations fassent comprendre à leurs employés la nécessité d'appliquer des politiques de sécurité strictes. S'il est vrai que les employés peuvent trouver gênant d'utiliser des mots de passe forts qu'ils doivent changer fréquemment, il serait bien plus gênant qu'ils ne puissent soudainement plus travailler en raison d'une attaque réussie.

Il convient également de prendre en compte les droits et libertés des individus dans leur globalité. Par exemple :

  • L'absence de disponibilité a-t-elle une incidence sur les droits individuels, tels que le droit d'accès aux données à caractère personnel ?
  • Les personnes ont-elles perdu le contrôle de leurs données à caractère personnel ?
  • Est-il possible de rétablir les données à caractère personnel en temps utile ? Si ce n'est pas le cas, quelles en sont les conséquences pour les personnes concernées ?
  • Dans quelle mesure les données à caractère personnel ont-elles été exposées à des acteurs non autorisés et quelles sont leurs motivations probables ?
  • Dans quelle mesure avez-vous confiance dans vos contrôles de détection et de surveillance ? Auriez-vous pu détecter le téléchargement de données à caractère personnel s'il avait eu lieu ?

Si l'on ne dispose pas des journaux appropriés pour prendre une décision éclairée, il peut être utile de déterminer si l'attaquant avait les moyens, la motivation et l'opportunité d'exfiltrer les données. Cette évaluation permet ensuite de prendre une décision fondée sur le risque.

Assurance

Dans un monde où les cybermenaces sont variées (et en constante évolution), la cyberassurance peut aider l'organisation à se remettre sur pied en cas d'incident cybernétique. La gestion des cyberincidents, tels que les ransomwares ou les violations de données, peut nécessiter des connaissances techniques approfondies.

En plus de minimiser les perturbations de l'activité et de fournir une protection financière pendant un incident, la cyber-assurance peut aider à prendre des mesures juridiques et réglementaires après un incident.

Toutefois, avant d'envisager une cyber-assurance, il est possible de protéger son organisation en veillant à mettre en place des mesures de protection fondamentales en matière de cybersécurité, telles que celles certifiées par le programme Cyber Essentials.

Références :

NCSC : NCSC : CommVault : CISA :

Techtarget : NI Cyber Security Centre :

Upguard : FBI : IC3 : ICO : Blackberry :

___________________________________________________________________________________________

Si tu aimes ce site web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.

  • Individuel : £5 par mois ou £50 par an. S'inscrire
  • Multi-utilisateurs, entreprises &amp ; comptes de bibliothèque disponibles sur demande

Cyber Security Intelligence : Capturé Organisé &amp ; Accessible

” Imminent : Réglementation en matière de cybersécurité pour les services financiers américains
Un piège à miel révèle l'existence de cybercriminels britanniques “
Lire aussi :  Les pirates informatiques ont déjà coûté 26 millions de dollars à Medibank
Article précédentLe rapport sur la cybersécurité menace les chemins de fer
Article suivantUn piège à miel permet de démasquer des cybercriminels britanniques
Fabrice Symphorien

ARTICLES CONNEXESPLUS DE L'AUTEUR