Comment éviter les ransomwares ?

mardi 4 février 2020 par Paweł Odor

Selon le dernier rapport sur les menaces McAfee, au cours du premier trimestre de 2019, les attaques de ransomwares ont augmenté de 118%. Non seulement le nombre d'attaques a augmenté de manière significative, mais l'année a également vu l'apparition de nouvelles familles de ransomwares et des cybercriminels utilisant des techniques plus innovantes pour provoquer le chaos.

Nouvelles familles de ransomwares

Les cybercriminels continuent de trouver des moyens nouveaux et innovants de cibler et d'infecter les entreprises. Les tactiques de hameçonnage au harpon continuent d'être un choix populaire pour de nombreux acteurs de la menace. Pourtant, les chercheurs de McAfee ont déclaré: «un nombre croissant d'attaques accèdent à une entreprise qui a des points d'accès à distance ouverts et exposés, tels que le protocole de bureau à distance (RDP) et l'informatique en réseau virtuel (VNC)». Les pirates informatiques sont souvent capables d’accéder à ces informations d'identification car les entreprises laissent souvent les ports clients RDP ouverts à Internet - il est facile de scanner des blocs d'adresses IP pour les ports RDP ouverts. Les attaquants tenteront alors de forcer brutalement le login / mot de passe du bureau distant. Les pirates peuvent également obtenir des informations d'identification RDP via des marchés souterrains et des fuites de mots de passe.

Anatova

Une découverte pour 2019 a été le ransomware Anatova. Cette nouvelle famille de ransomwares se déguise en icône de jeu ou d'application pour inciter l'utilisateur à le télécharger. Forme extrêmement avancée de malware, il s'adapte rapidement et utilise des techniques d'évasion et de propagation pour empêcher sa découverte. En raison de sa conception modulaire, il peut intégrer des fonctionnalités supplémentaires lui permettant de contrecarrer les méthodes anti-ransomware. Heureusement, l'équipe McAfee Advanced Threat Research a découvert cette nouvelle famille de ransomwares au début de 2019 avant de devenir une menace importante.

Dharma

Une variante de CrySiS, le rançongiciel Dharma existe depuis 2018, mais les cybercriminels continuent de publier de nouvelles variantes, qui sont impossibles à décrypter.

 GandCrab

Un ransomware malveillant qui utilise le cryptage AES et dépose un fichier appelé «GandCrab.exe» sur le système. GandCrab cible les particuliers et les entreprises avec des PC exécutant Microsoft Windows. Le 31 mai 2019, les cybercriminels derrière GandCrab ont annoncé qu'ils arrêtaient toutes les autres attaques de rançongiciels GandCrab affirmant qu'ils avaient versé plus de 2 milliards de dollars en rançon et qu'ils prenaient une «retraite bien rémunérée».

Ryuk

Ryuk cible spécifiquement les grandes organisations pour un rendement financier élevé. Selon CrowdStrike, entre août 2018 et janvier 2019, Ryuk a récupéré plus de 705,80 bitcoins sur 52 transactions totalisant une valeur de 3.701.893 $. Il a d'abord fait tourner les têtes avec son attaque contre les opérations de Tribune Publishing au cours de la période de Noël de 2018. Au début, la société pensait que l'attaque n'était qu'une panne de serveur, mais il était rapidement clair qu'il s'agissait du rançongiciel Ryuk.

Un autre terme pour les ransomwares tels que Ryuk qui cible les grandes entreprises pour un retour sur investissement élevé est «la chasse au gros gibier». Ces attaques à grande échelle impliquent une personnalisation détaillée des campagnes pour mieux s'adapter aux cibles individuelles, augmentant l'efficacité des attaques. La « chasse au gros gibier » nécessite donc beaucoup plus de travail de la part du pirate. Par exemple, la première phase peut être une attaque de phishing visant à infecter un réseau d'entreprises avec des logiciels malveillants pour cartographier le système et identifier les actifs cruciaux à cibler. Les phases deux et trois seront alors une série d'attaques / demandes d'extorsion et de rançon.

Emotet

Emotet était à l'origine un malware qui ciblait les banques - il se faufilerait sur votre ordinateur et volerait des informations sensibles et privées. Premier sur la scène en 2014, Emotet est passé par une variété de versions, évoluant en ransomware qui peuvent échapper à la détection même par certains produits anti-malware. Depuis sa création, Emotet a volé des identifiants bancaires, des données financières et des portefeuilles Bitcoin à des particuliers, des entreprises et des entités gouvernementales à travers l'Europe et les États-Unis.

En utilisant des capacités de type ver pour se propager à d'autres ordinateurs, les pirates introduisent généralement Emotet par des courriers indésirables - conçus pour sembler légitimes et avec un langage tentant pour inciter la victime à cliquer sur le lien.

Emotet est l'un des logiciels malveillants les plus coûteux et les plus destructeurs - selon le Département de la sécurité intérieure, le coût d'une attaque Emotet moyenne est de plus d'un million de dollars.

Comment se protéger des ransomwares

Il y a beaucoup de choses à considérer lors de la lutte contre les ransomwares. Avec autant de types de logiciels malveillants différents ces jours-ci, vous devez garder à l'esprit les trois principaux conseils suivants et exécuter en conséquence.

La sécurité des e-mails est primordiale

Selon McAfee, le courrier indésirable continue d'être l'une des principales entrées des virus rançongiciels, en particulier dans le cas d'attaques ciblées. Par conséquent, la sécurisation de cette principale source de vulnérabilité est essentielle pour toute personne qui gère un réseau ou se connecte à Internet.

La plupart des individus déclenchent une attaque de rançongiciel en ouvrant, à quoi ressemble, un e-mail normal contenant le virus dans un document, une photo, une vidéo ou un autre type de fichier. Aujourd'hui, la plupart des pirates informatiques n'ont pas besoin de beaucoup de connaissances pour insérer un logiciel malveillant dans un fichier; il existe de nombreux articles et tutoriels YouTube avec des instructions étape par étape sur la façon de le faire.

Dans cette optique, vous devez toujours éviter d'ouvrir un e-mail provenant d'un expéditeur inconnu. Si vous recevez un e-mail d'une source inconnue, informez immédiatement le conseiller en sécurité des données de votre entreprise ou l'équipe informatique.

Sécurisez votre réseau et votre environnement informatique

Les ransomwares infectant un seul ordinateur sont sans aucun doute un problème grave. Mais, lorsqu'elle se répand sur tout le réseau, elle peut devenir non seulement un cauchemar pour le service informatique, mais mettre en danger l'ensemble de l'entreprise.

Les entreprises qui ne l'ont pas encore fait devraient envisager de mettre en œuvre un logiciel de sécurité des données, qui vérifie tous les e-mails entrants avant que le destinataire prévu ne les reçoive. Une telle solution réduira considérablement le risque de propagation d'un virus à l'intérieur d'un réseau d'entreprise. En outre, les administrateurs informatiques et la direction devraient envisager de mettre en œuvre un logiciel de sécurité réseau, qui surveille automatiquement le réseau et ses fichiers pour détecter les menaces. La solution alertera également les administrateurs si une attaque de ransomware tente de crypter de grandes quantités de fichiers sur le réseau.

Last but not least: mettez toujours à jour vos logiciels et systèmes d'exploitation avec les derniers correctifs, au fur et à mesure de leur disponibilité. Comme indiqué si souvent, les pirates ne réussissent leurs attaques que lorsque la victime a des lacunes dans ses politiques de sécurité des données.

Rendez vos employés intelligents

Même les utilisateurs d'ordinateurs expérimentés paniquent lorsqu'ils se rendent compte qu'ils sont confrontés à une attaque de ransomware. Il est donc important que chaque employé d'une entreprise sache exactement quoi faire en cas d'attaque de ransomware, même les cadres supérieurs et les directeurs informatiques.

Une attaque de ransomware ne doit pas seulement faire partie d'un plan de continuité des activités pour les cadres supérieurs ou les experts informatiques, mais des conseils précis sur ce qu'il faut faire, lorsqu'ils sont frappés, doivent être visibles et compris dans chaque bureau. Celles-ci peuvent être simples, mais efficaces, par exemple:

  • Se déconnecter d'Internet et du réseau interne,
  • Essayez d'éteindre l'appareil correctement ou appelez immédiatement la sécurité informatique / l'administration informatique.

Le personnel chargé de la sécurité informatique et de l'administration devrait également se renseigner en permanence sur les derniers développements en matière de cybersécurité et de piratage. La lecture des dernières actualités, la mise à jour sur les nouveaux développements dans cette scène et les failles dans les réseaux ou les solutions logicielles devraient donc être une nécessité pour ces employés.

Que devez-vous faire si vous êtes touché par un ransomware?

Si pour une raison ou une autre un ransomware passe par votre ligne de défense, vous devez procéder comme suit:

  • Ne payez jamais la rançon! Payer les criminels ne garantit pas que vous récupérerez vos données. Dans de nombreux cas (et surtout, s’il s’agit d’un logiciel malveillant «ranscam»), vous ne récupérerez pas vos données, vous laissant sans données et beaucoup moins d’argent !
  • N'essayez pas de décrypter les données par vous-même. Certains informaticiens peuvent avoir la capacité de récupérer des données perdues, mais c'est risqué - si quelque chose ne va pas, vous pourriez détruire vos données pour toujours.

Récupération de données à partir d'un ransomware

Du point de vue d'un spécialiste de la récupération de données, chaque cas de ransomware est différent. Il n'y a pas seulement une grande différence dans la façon dont les variantes de ransomware chiffrent les données et les diffusent à travers le réseau, mais aussi dans la façon dont elles ciblent différents domaines des systèmes de stockage de données.

Certains systèmes et structures de données sont plus difficiles et nécessitent plus de temps pour récupérer que d'autres. Comme chaque cas est différent, il est logique de contacter un spécialiste et de lui demander s'il a déjà vu votre type de souche de ransomware. Ils seront en mesure de vous conseiller sur l'opportunité de les envoyer pour tenter de récupérer des données et s'ils ont déjà réussi avec des cas similaires.

Les attaques des dernières années montrent que les ransomwares continuent d'être une menace sérieuse pour les particuliers et les entreprises. Il est donc avantageux de revoir votre sécurité des données, vos politiques réseau, la formation des utilisateurs et les procédures de sauvegarde.

Du point de vue de la sauvegarde, nous vous recommandons de stocker les sauvegardes de vos données stratégiques sur des périphériques de stockage externes que vous ne connectez pas à votre réseau, par exemple les bandes. Vous devez également tester régulièrement la précision et la fonctionnalité de vos sauvegardes.

Si vos sauvegardes ne fonctionnent pas ou sont touchées par un ransomware, il est préférable de contacter un fournisseur de services de récupération de données professionnel qui peut tenter de récupérer vos informations à partir du support de sauvegarde ou de contourner le ransomware lui-même pour accéder aux données.