Comment éviter les ransomwares

Qu’est-ce qu’une attaque de ransomware ?

Les effets dévastateurs des ransomwares ont continué à s’intensifier au cours des deux dernières décennies, et ceux-ci, qui n’étaient à l’origine que des attaques opportunistes « improvisées », ont pris la forme d’attaques soigneusement orchestrées. Les particuliers comme les entreprises continuent d’être la proie des ransomwares et, en 2021, les victimes ont été contraintes de payer en moyenne des rançons d’un montant de 570 000 $.

Dans ce blog, nous vous présentons un aperçu général de ce que sont les ransomwares ainsi que les mesures que votre organisation peut prendre afin d’éviter ces attaques.

Qu’est-ce qu’un ransomware ?

Un ransomware est une catégorie de logiciels malveillants utilisés pour extorquer numériquement à leurs victimes le paiement d’une somme spécifique. Une fois l’ordinateur de la victime verrouillé ou crypté, les acteurs du ransomware tentent souvent d’extorquer de l’argent à leurs victimes en affichant une alerte à l’écran. Les victimes sont informées que tant que la rançon demandée n’a pas été versée, l’accès à leur appareil ne sera pas rétabli.

Les acteurs du ransomware savent à quel point leurs campagnes peuvent être lucratives et ont élargi la portée de leurs attaques non seulement pour extorquer des utilisateurs individuels, mais aussi pour perturber des entreprises entières et des infrastructures critiques.

Comment les ransomware infectent-ils les ordinateurs ?

Les ransomwares se propagent souvent par le biais d’e-mails de phishing contenant des pièces jointes malveillantes ou par le biais de téléchargements furtifs. Un téléchargement furtif se produit lorsqu’un utilisateur visite sans le savoir un site Web infecté. Un logiciel malveillant est alors téléchargé et installé à l’insu de l’utilisateur.

Les développeurs de ransomwares ont intégré à leurs logiciels malveillants des fonctionnalités telles que les vers informatiques, de sorte qu’ils se propagent automatiquement sur les réseaux d’entreprise. Cela leur assure que leur ransomware subsiste même si l’ordinateur par lequel il est initialement entré est réparé.

Comment les ransomwares ont-ils évolué ?

Comme mentionné précédemment, les cybercriminels qui utilisent les ransomwares ont changé de tactique. À partir de 2019 environ, ils sont passés d’attaques opportunistes « improvisées » à des attaques de type menace persistante avancée (APT, advanced persistent threat) plus calculées. Ce style d’attaque permet aux cybercriminels d’exfiltrer des données sensibles avant de chiffrer les hôtes concernés, ouvrant ainsi la porte à une extorsion à plusieurs niveaux. Alors qu’ils extorquaient les organisations avant de déchiffrer les hôtes affectés, ils les extorquent aussi maintenant en faisant peser la menace d’une divulgation de données sensibles.  Cette stratégie leur a permis de réaliser des profits beaucoup plus importants.

Ces menaces d’extorsion à plusieurs niveaux ont donné aux attaquants plus de poids, contraignant leurs victimes à payer. Les demandes pourraient être très élevées, comme l’a montré la rançon initiale de 34 millions de dollars demandée lors de l’attaque de Foxconn, et cette tendance devrait se renforcer en 2022.

Types de ransomwares les plus courants

Le terme ransomware est un qualificatif général attribué à un ensemble de logiciels malveillants de différents types. Ces logiciels ont pour point commun d’exiger le paiement d’une rançon en échange de la suppression du logiciel, mais tous ne se comportent pas de la même manière.

Voici quelques-uns des types les plus fréquemment rencontrés :

• Les ransomwares lockers sont considérés comme les premiers types jamais découverts. Comme leur nom l’indique, ils empêchent les utilisateurs d’accéder à leur ordinateur à moins de recevoir un paiement sous une forme ou sous une autre. Il s’agit de l’une des versions les plus paralysantes, car elle nécessite souvent d’effacer le système pour la supprimer. Malheureusement, le paiement de la rançon ne vous permet pas toujours d’être tiré d’affaire ; certains hackers ont intégré un logiciel de vol de mot de passe qui reste actif même une fois la rançon payée.
• La principale différence des ransomware crypto est que le paiement est demandé sous forme de crypto-monnaie. Les hackers verrouillent souvent les fichiers de l’utilisateur et exigent que le paiement demandé soit fait via une adresse de crypto-monnaie anonyme.
• Les leakwares, quant à eux, sont des logiciels qui volent vos informations et vous menacent de divulguer vos données en l’absence de paiement.   Les données ciblés peuvent inclure vos informations bancaires, vos contacts, des photos intimes et des documents personnels. C’est une tactique particulièrement efficace car elle suscite la panique et une réaction de la victime.
• Les scarewares se font généralement passer pour de faux logiciels de sécurité. Une fois téléchargés, vous serez avertis par ces logiciels de l’existence de problèmes ; il vous sera demandé de payer pour les résoudre. Dans certains cas, vous serez inondés d’un tel nombre d’alertes et de tant de fenêtres contextuelles que votre ordinateur restera inutilisable tant que vous n’aurez pas agi.
• Le Ransomware as a Service (RaaS) est un type de méta-malware utilisé par les criminels professionnels. Un hacker propose ses services pour créer et distribuer des ransomwares en échange d’une part de la rançon demandée. Ce type de service est particulièrement dangereux, car il peut être utilisé par quiconque souhaitant se venger de vous et pourrait vous cibler spécifiquement.

Comment éviter les ransomwares

La plupart des mesures que nous vous proposons ci-dessous sont généralement considérées comme les meilleures pratiques en matière de sécurité pour disposer d’un programme de sécurité mature. Ces étapes permettent de s’assurer que votre organisation dispose des politiques, des procédures et des dispositifs appropriés pour réduire le risque d’une attaque par ransomware.

1. Maintenez vos systèmes à jour. Les applications et les systèmes d’exploitation vulnérables sont les cibles de la plupart des attaques. Assurez-vous que les failles qu’ils sont susceptibles de contenir sont corrigées avec les dernières mises à jour pour réduire considérablement le nombre de points d’entrée qu’un attaquant peut exploiter.

2. Utilisez un plan de sauvegarde et de récupération des données critiques. Votre organisation doit effectuer des sauvegardes régulières et les tester afin de limiter l’impact de la perte de données ou de système et accélérer le processus de récupération. Notez que les sauvegardes qui existent sur le réseau peuvent également être affectées par les ransomwares ; les sauvegardes critiques doivent être isolées du réseau afin de les protéger de manière optimale.

3. Élaborez votre plan de réponse aux incidents. Élaborez, tenez à jour et testez un plan de réponse de base aux cyber-incidents et un plan de communication associé comprenant des procédures d’intervention et de notification en cas d’incident de ransomware.

4. Élaborez des politiques et des références en matière de cybersécurité. Envisagez d’élaborer des politiques et des références sur des contrôles spécifiques tels que les pare-feu, l’analyse des e-mails, la liste d’autorisation des applications et l’accès à distance.

5. Assurez la visibilité complète du réseau. Les attaquants qui utilisent des ransomwares modernes s’implantent dans les réseaux de leurs victimes en vue de voler des données sensibles et de maximiser l’impact de leur extorsion. En conséquence, ils parviennent à y rester en se déplaçant latéralement, en mettant à profit les outils d’accès à distance et en augmentant leurs privilèges. Toutes ces actions génèrent un trafic réseau que des équipes de sécurité disposant d’une bonne visibilité sur le réseau peuvent détecter afin d’y remédier.

6. Sensibilisez les employés. Une personne qui sait ce qu’elle doit chercher sera plus efficace pour contrer les attaques potentielles de phishing ou d’ingénierie sociale. Mettez en place un programme de sensibilisation et de formation à la sécurité destiné à apprendre aux employés comment évaluer si une pièce jointe, un lien ou un e-mail est digne de confiance.

7. Protégez les appareils en installant un logiciel antivirus. De bons logiciels antivirus sont essentiels pour lutter contre les ransomwares. Ils alerteront les utilisateurs dès qu’un problème aura été localisé et pourront également supprimer facilement l’infection. Certaines applications antivirus fournissent des outils gratuits de décryptage des ransomwares pour les logiciels malveillants présentant un cryptage de bas niveau.

8. Mettez en place une capacité proactive de traque des menaces. La traque des menaces consiste à rechercher de manière proactive les cybermenaces qui se dissimulent dans un réseau sans être détectées. La traque des cybermenaces va en profondeur pour trouver les acteurs malveillants présents dans votre environnement qui ont échappé aux premières défenses de sécurité des points de terminaison.

La traque des menaces est très complémentaire du processus standard de détection, d’intervention et de résolution des incidents. Alors que les technologies de sécurité analysent les données brutes afin de générer des alertes, la traque des menaces fonctionne en parallèle – en utilisant les requêtes et l’automatisation – pour extraire des pistes de traque à partir des mêmes données.

La traque proactive permet à votre équipe de sécurité d’arrêter une menace potentielle avant que l’attaquant ne parvienne à déployer un ransomware dans votre environnement.

9. Instaurez une stratégie de sécurité Zero Trust La mise en œuvre d’une stratégie de sécurité Zero Trust fait reposer la défense contre les ransomwares sur la gestion de l’identité et l’accès utilisateurs. Une telle stratégie se révèle appropriée puisque l’erreur humaine constitue la cause première de la plupart des attaques de ransomwares.

Le Zero Trust contribue à réduire considérablement la surface d’attaque, car les utilisateurs internes et externes n’ont accès qu’à des ressources limitées et toutes les autres ressources sont complètement cachées. En outre, l’approche Zero Trust  fournit des moyens de surveillance, de détection et d’inspection des menaces nécessaires pour empêcher les attaques de ransomware et l’exfiltration de données sensibles.

Votre entreprise est-elle la cible d’attaques de ransomware ?

La réponse courte à cette question est oui : chaque petite ou moyenne entreprise, société et organisation est visée, en particulier à la lumière des récentes attaques de ransomwares.

La réponse longue est plus complexe. Votre vulnérabilité et votre capacité à prévenir les ransomwares peuvent dépendre de l’attractivité que présentent vos données aux yeux des cybercriminels, de la visibilité que vous avez sur votre trafic réseau, de la maturité de votre attitude en matière de sécurité et de la régularité avec laquelle vous continuez à former vos employés en matière d’e-mails de phishing, entre autres facteurs.

Conclusion

Alimenté par un accès plus facile et des bénéfices financiers plus importants, le nombre d’attaques de ransomware continuera probablement d’augmenter en 2022 et au-delà. Il est fort probable que les cybercriminels cibleront les grandes entreprises, les infrastructures critiques, le gouvernement, l’éducation et les soins de santé.

Une prévention efficace des ransomwares exige une visibilité complète du réseau, associée à une capacité efficace de détection des menaces et d’intervention en cas d’incidents.

• Visibilité du cloud hybride – La structure de visibilité du cloud hybride Gigamon collecte et agrège toutes les données en mouvement, y compris le trafic Est-Ouest, IoT/OT et au niveau des conteneurs afin d’éliminer les angles morts
• Déchiffrement des connexions TLS/SSL – Le déchiffrement des connexions SSL/TLS centralisé de Gigamon offre la visibilité nécessaire pour exposer les menaces cachées des adversaires qui utilisent des canaux cryptés pour l’algorithme C2 et des activités similaires
• Détection et réponse du réseau – Gigamon ThreatINSIGHT™ La détection et la réponse guidées du réseau SaaS comblent les lacunes de visibilité du SOC et fournissent une détection haute-fidélité des adversaires pour permettre des interventions rapides et informées

Avec Gigamon, surmontez la menace des attaques de ransomware sophistiquées actuelles que les outils traditionnels ne détectent pas.

Webinaires à la une

Écoutez nos experts sur les dernières tendances et les meilleures pratiques pour optimiser la visibilité et l’analyse de votre réseau.