Transition digitale – Innovation – Mobilité - Compétitivité

Ransomware : comment éviter le pire ?

Imaginez que toutes les données de vos serveurs soient subitement cryptées ! Et même sanction pour vos solutions de stockage, vos postes et vos sauvegardes. Toutes vos informations sont subitement inaccessibles… sauf si vous acceptez de payer une rançon. Cette possibilité est une réalité à la fois pour beaucoup d’entreprises qui ne communiquent pas sur le sujet, et pour des structures qui ne peuvent pas cacher ces attaques.

 

C’est ce qui s’est passé le week-end du 15 septembre dernier, à l’aéroport de Bristol, au Royaume-Uni. Un ransomware a infecté les ordinateurs gérant les écrans internes qui affichent les informations sur les arrivées et départs des vols.

Ayant refusé de payer la moindre rançon, les responsables de l’aéroport ont décidé de prévenir les utilisateurs via les réseaux sociaux et d’utiliser des tableaux et du papier pour informer les passagers pendant tout le week-end. Résultat, pas de retard de vol. Ouf.

 

Des ransomwares qui font leur retour

 

Depuis le tristement célèbre WannaCry qui avait fait des dégâts partout dans le monde (et qui continue), les attaques ransomware n’avaient pas trop fait parler d’elles pendant presque un an. Pourtant, depuis cet été, on note une certaine recrudescence de ces attaques, notamment par le biais des emails. Les attaques BEC (Business Email Compromission ou attaques de la messagerie d’entreprise) ont augmenté de 87% en un an. Les industries les plus touchées ont été la santé, le retail et le secteur public.                                                                                                                                                                                                            

En août dernier, une campagne de ransomware ciblant les grandes organisations aux Etats-Unis et dans le monde entier ont permis aux pirates de récolter plus de 640 000 dollars en Bitcoin. Ryuk, Hermes, SamSam, les noms changent, le procédé reste le même.

Ne pas payer et voir toutes ces données divulguées sur le net, ou disparaitre à jamais.

Payer… et figurer parmi les victimes d’un business géré par des criminels extrêmement bien organisés et compétents.

Dilemme.

Adista constate également une généralisation des cas de type ransomware, ou rançongiciel, chez ses clients. Pour s’en prémunir, la formation des utilisateurs et l’information des dirigeants nous semblent capitales.

 

Qu’est-ce qu’un ransomware ?

 

C’est une catégorie particulière de logiciel malveillant qui bloque l’ordinateur des victimes et réclame ensuite le paiement d’une rançon. Le ransomware se glisse dans des pièces jointes infectées, qui peuvent être des documents PDF, des fichiers Microsoft Office, des photos, des fichiers compressés.

Ces risques vous arrivent souvent par mail, par téléchargement de fichiers sur une page web, depuis un espace Cloud, ou sur une clef USB. Relances fictives –mais très crédibles- pour des factures, pop-up s’ouvrant sur des pages web et incitant au clic qu’il ne fallait pas faire, utilisation de failles logicielles connues, les méthodes recensées sont assez nombreuses et ne s’appuient pas toujours sur une pièce jointe.

 

Comment fonctionne-il ?

 

Le principe de ces ransomware est très simple : quand vous aurez cliqué sur la pièce jointe, il va crypter des fichiers de votre disque, voire tout votre disque, et demander le paiement de rançon par carte bancaire, ou versement en Bitcoins. Dans l’entreprise, il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise.

 

Comment se protéger contre ces attaques ? 

 

Parce qu’il n’y a pas de réponse unique contre les ransomware, parce qu’ils ne sont pas les seuls risques pour les données des entreprises, il convient de rappeler que l’essentiel quand les données sont perdues… c’est bien d’être en capacité de les restaurer, et donc d’avoir prévue une ou plusieurs sauvegardes.

Sauvegarde sur site, obligatoirement, mais pas seulement. Car les menaces actuelles visent également à corrompre ces sauvegardes. Aussi, la meilleure approche consiste à sauvegarder aussi hors du site de production, avec des réplications de vos backups ou de vos VM dans des Datacenters sécurisés.

Cette solution peut être très facile à mettre en œuvre et Adista propose notamment un test gratuit pendant un mois de sa solution Veeam Cloud Connect par Adista. Le principe de la sauvegarde hors site est maintenant admis par toutes les organisations, c’est la virtualisation et les applications comme Veeam Cloud Connect qui rendent sa mise en œuvre extrêmement simple et efficace !

 

Comment se prémunir par le comportement de l’utilisateur ?

 

La première des règles est d’être vigilant et de garder du recul sur les messages que l’on peut recevoir. Ne faites pas aveuglément confiance à des mails provenant de personnes censées être connues. Toujours penser à la possibilité d’une usurpation d’identité !
Et avant de cliquer sur une pièce jointe, posez-vous ces quelques questions : attendiez-vous ce document ? connaissez-vous l’expéditeur ? est-ce bien lui ? écrit-il comme d’habitude ? son adresse email est-elle habituelle ?

Si vous répondez non aux deux premières questions…. Il faut alors se demander pourquoi faudrait-il ouvrir cette pièce jointe?

Important, ces ransomware se diffusent aussi par les utilisateurs dans l’entreprise, avec une transmission en chaine de JPG, PDF, PPTX humoristiques qui s’avère être une méthode virale terriblement efficace.

 

Pourquoi une diffusion si rapide ?

 

Par le potentiel du business généré, tout d’abord. Les piégés sont le plus souvent prêts à payer, alors les entreprises criminelles développent des malwares de plus en plus performants. Techniquement, un éditeur comme Sophos parle de CaaS, Crimeware as a Service.

Pour le spécialiste britannique de la sécurité informatique, les éditeurs de malwares n’ont pas besoin de se démener longtemps pour trouver des failles au sein de Java, Silverlight ou Flash, ou pour trouver des serveurs internet non sécurisés pour y héberger des « exploit kits » infectant le PC des visiteurs. Et l’industrie du ransomware se spécialise par catégories, par actions, de la création du malware, à l’utilisation des ordinateurs infectés, jusqu’à l’exfiltration de données volées ou à la revente de ces données.

Ces malwares se diffusent aussi grâce au spam, pour une diffusion très efficace.

 

Comment réparer ?

 

Sans parler des risques de sécurité, sans parler du chantage à la communication qui est également l’enjeu du ransomware (payez ou on parle de vous comme étant piégé, et donc vulnérable), il convient de signaler que la récupération d’un poste piégé est longue et complexe. Et s’appuie obligatoirement par des sauvegardes bien faites et à jour !

 

Une sécurité informatique particulière ?

 

Les éditeurs d’antivirus s’adaptent à cette nouvelle menace. Avec la mise à jour régulière des logiciels de protection, des systèmes d’exploitation et des applications, les utilisateurs disposent déjà d’un socle de défense contre ces ransomware.

Mais les pirates s’adaptent. 

La formation des utilisateurs et l’information des entreprises sont essentielles dans la lutte contre les ransomware. Nous sommes bien face à un business criminel qui rapporte beaucoup d’argent, avec des ‘clients’ prêts à payer pour recouvrer leurs données.

Ces équipes n’hésitent pas à vous espionner en amont, à surveiller votre activité sur les réseaux sociaux, pour monter de véritables escroqueries de type ingénierie sociale, qui vont inciter un utilisateur à cliquer… sur un ransomware.

 

Seule solution contre ces nouveaux risques : une stratégie globale combinant sécurité informatique, sauvegarde des données, et information des utilisateurs !
Vos données sont-elles bien protégées ? Pour le savoir, nos experts vous proposent de compléter ce formulaire. 

Les commentaires sont fermés.