Comment faire face à une attaque de ransomware ?

Une attaque par rançongiciel est l’une des plus grandes menaces auxquelles sont confrontés les utilisateurs d’Internet. Dans cet article, nous examinons ce qui se passe lors d’une attaque de rançongiciel et les mesures à prendre pour sécuriser votre système à la suite de cette attaque.

Comment réagir à une attaque de rançongiciel

Les attaques par ransomware représentent une menace énorme pour les organisations, car 90 % ont un impact sur leur capacité de fonctionnement, et il faut en moyenne un mois pour se remettre de l’attaque (.pdf). Ces attaques constituent des perturbations pour les entreprises, et c’est un vecteur de menace en augmentation. D'ici à 2031, on s’attend à ce qu'une entreprise soit victime d’une attaque par rançongiciel toutes les deux secondes (contre 11 secondes en 2021).

Qu’est-ce qu’une attaque de ransomware ?

Les rançongiciels sont un type de logiciels malveillants qui chiffrent les données d’une organisation afin qu’elle ne puisse plus y accéder. Une rançon est demandée - 570 000 dollars en moyenne - et après paiement, les clés de déchiffrage doivent être délivrées pour que l’organisation retrouve l’accès.

Bien qu’aucun secteur ne soit à l’abri des effets des rançongiciels, un acteur malveillant choisira généralement de cibler une organisation en fonction des éléments suivants :

• L’opportunité : par exemple, si l’entreprise dispose d’une petite équipe de sécurité, manque de ressources informatiques ou est une organisation gérant une quantité importante de données,

• Gain financier potentiel : les entreprises qui ont besoin d’un accès immédiat à leurs fichiers et sont plus susceptibles de payer rapidement une rançon - comme les avocats ou les services publics.
  

Les acteurs malveillants peuvent accéder aux données d’une organisation par le biais de diverses tactiques, dont notamment :

• Le phishing : l’utilisation de techniques d’ingénierie sociale pour inciter les utilisateurs à faire quelque chose, comme cliquer sur un lien malveillant dans un courriel,

• Accès à distance : recherche sur Internet de ports ouverts, tels que le protocole de bureau à distance, et capture d’informations d’identification valides pour l’authentification par la solution d’accès à distance,

• La compromission des comptes privilégiés : profiter des comptes administrateurs pour accéder à davantage de systèmes et de données sensibles,

• Vulnérabilités connues de logiciels ou d’applications : l’exploitation de vulnérabilités connues pour lesquelles des correctifs sont disponibles, mais n’ont pas été appliqués.
  

Avant de chiffrer les données, le hacker peut choisir d’en faire des copies et menacer de les divulguer si la rançon n’est pas payée en temps voulu. On parle alors de « double extorsion ». Une fois le chiffrement commencé, le processus est rapide - la variante médiane d’un rançongiciel peut chiffrer près de 100 000 fichiers, soit 54,93 Go, en seulement 42 minutes et 52 secondes - C’est pourquoi la rapidité est essentielle lorsqu’il s’agit de prendre des mesures suite à une attaque.

Alors, que faire en cas d’attaque par un ransomware ?

Dès que vous savez que vous avez été touché par une attaque de rançongiciel – généralement parce qu’une grande notification s’affiche à l’écran – il est essentiel d’isoler l’appareil infecté. Retirez les câbles de réseau et de données, les USB et les dongles, désactivez le WiFi et le Bluetooth pour empêcher l’appareil d’établir toute connexion susceptible d’entraîner la propagation de la menace.

Dans ces premiers instants, il est important de ne pas paniquer et de rester calme tout en évaluant la situation. L’un des moyens d’y parvenir est de procéder à des simulations de rançongiciel, au cours desquelles l’entreprise s’entraîne à réagir à une attaque, afin que les personnes concernées connaissent les étapes à suivre pour réagir rapidement et dans le calme :

Prévenir le service IT

Il est important que toutes les communications soient orchestrées par un point central au sein de l’entreprise afin d’éviter toute désinformation ou confusion. Cela devrait inclure une directive de ne parler à personne dans les médias ou de ne rien publier sur les médias sociaux. Les annonces de relations publiques doivent être soigneusement préparées pour éviter de déstabiliser les actionnaires, les parties prenantes et le marché en général.

Une fois qu’une attaque est connue, tous les membres de l’entreprise doivent être alertés de la menace. Si quelqu’un soupçonne que son appareil est infecté, il doit prendre des mesures pour l’isoler immédiatement du réseau. Les bonnes pratiques indiquent également que les utilisateurs doivent réinitialiser toutes leurs informations d’identification - en particulier pour les comptes à privilèges - afin d’empêcher les hackers ne récolte des données précieuses qui pourraient être utilisées pour lancer de nouvelles attaques.

Lire aussi : Ransomware et rançongiciel : le guide complet

Identifier le type de rançongiciel

À l’aide de votre antivirus, ou par l’intermédiaire du centre des opérations de sécurité de l'entreprise, lancez une analyse des logiciels malveillants pour aider à identifier le type de rançongiciel utilisé, car cela aidera à déterminer les mesures correctives à prendre.

En outre, prenez des notes sur l’attaque, notamment la date, l’heure, les détails des fichiers, les premiers signes de rançongiciel, les appareils touchés, ce que vous faisiez juste avant l’attaque et quand votre appareil était connecté. Prenez aussi des photos et enregistrez les programmes, fichiers et fenêtres pop-up suspects.

Toutes ces informations permettront ensuite d’identifier le rançongiciel a frappé l’entreprise et les mesures correctives à prendre maintenant.

Payer la rançon

Les professionnels de la cybersécurité sont d’accord : ne payez surtout pas la rançon. Les études indiquent que seulement 3 organisations sur 5 ont retrouvé l’accès à leurs données et systèmes, il n’y a donc aucune garantie que vous puissiez accéder à vos données ou à votre ordinateur. En outre, même si vous récupérez vos données, rien ne garantit qu’elles soient en sécurité : 18 % des victimes de rançongiciel qui ont payé ont vu leurs données sensibles exposées sur le « Dark Web ».

Supprimez le rançongiciel de vos appareils

Malheureusement, la suppression d’un rançongiciel sur un appareil n’est pas simple. Dans de nombreux cas, cela nécessite une réinitialisation complète aux paramètres d’usine, ce qui est irréversible et entraîne un risque de perte de données. Par conséquent, il est toujours préférable de demander l’aide d’un professionnel qui pourra utiliser les outils de décryptage appropriés et vous permettre de reprendre vos activités habituelles en toute sécurité.

Récupération des données à partir des sauvegardes

Le maintien d’une sauvegarde à jour est le moyen le plus efficace de se remettre d’une attaque par rançongiciel. La meilleure pratique consiste à suivre la fameuse « règle des 3-2-1 » : trois copies des données, stockées en deux endroits différents, dont une hors-ligne.

Lorsqu’il s’agit de restaurer des données, recherchez d’abord les logiciels malveillants et veillez à ce que les sauvegardes ne soient connectées qu’à des dispositifs vérifiés et propres afin d’éviter toute réinfection.

Signaler l’attaque

Une fois que votre entreprise est de nouveau en ligne, vous devez signaler l’attaque par rançongiciel aux autorités compétentes. Ces informations sont précieuses pour suivre l’évolution des attaques, arrêter les cybercriminels, aider à mettre en place des outils de protection et empêcher la propagation.

Protégez-vous des futures attaques

Le comportement de l’utilisateur final peut être l’un des meilleurs moyens de dissuasion dont vous disposez pour lutter contre la menace des ransomwares. Dispensez une formation sur les principes de base et renforcez continuellement leur importance pour garantir le respect de ces comportements :

• Mettre à jour son appareil et activer les mises à jour automatiques,
• Activation de la double authentification,
• Effectuer des sauvegardes régulières,
• Contrôler les droits d'accès sur vos appareils,
• Activer les protections contre les rançongiciels.
  

Contactez Ontrack pour la récupération des données des rançongiciels

Chaque attaque est unique et varie en complexité, mais la récupération des données après une attaque de ransomware est possible. Chez Ontrack, nous avons développé une collection spécialisée d’outils propriétaires pour récupérer les données - nous avons actuellement des capacités de chiffrement sur 138 types de rançongiciel et suivons en permanence 271 variantes différentes.

Avec des laboratoires situés dans le monde entier, nos spécialistes sont disponibles 24h/24 et 7j/7 pour vous aider en cas de scénario catastrophe.