Le nombre d’attaques de ransomwares est de nouveau en hausse. Découvrez les dernières tendances en matière de ransomware dans ce dossier.

Alors que les gouvernements réduisent lentement les exigences en termes de confinement en cas de pandémie ; et qu’une plus grande partie de la population se fait vacciner, les auteurs de malwares continuent de créer des logiciels. Ces derniers tirent parti des anciennes et nouvelles craintes créées par le Coronavirus.

Les chercheurs se sont focalisés sur les dernières tendances concernant l’évolution de nouvelles formes de ransomware ciblant les entreprises. Rappelons qu’en 2020, les malwares visaient principalement les particuliers travaillant à domicile.

Alors que de plus en plus d’employés retournent dans leurs bureaux, les attaquants tournent leur attention vers les entreprises et les nombreuses erreurs humaines qui permettent une violation de données réussie.

Le ransomware Babuk et ses caractéristiques

Le tout dernier ransomware — appelé Babuk — a été conçu pour cibler les données des entreprises. Les pirates l’utilisent pour chiffrer les données des organisations en vue de demander aux victimes ciblées de payer une rançon d’environ 50 000 à 70 000 euros en échange des clés privées nécessaires au déchiffrement des données.

Les chercheurs ont constaté que Babuk était principalement un ransomware standard, mais qu’il présentait quelques caractéristiques qui le rendaient spécifiquement conçu pour les entreprises plutôt que pour les particuliers. Principalement, il désactive de nombreux services utilisés dans un environnement d’entreprise et non par des utilisateurs individuels.

Babuk désactive de nombreuses fonctions de sauvegarde disponibles dans Windows. La première fonction désactivée est le service de copie d’ombre de volume (VSS – Volume Shadow Copy) utilisé pour effectuer des sauvegardes des fichiers en cours d’utilisation.

Lorsque cette fonction est désactivée, les utilisateurs ne peuvent plus récupérer leurs fichiers actifs. Elle désactive également le mécanisme de verrouillage des fichiers utilisé sur les fichiers ouverts et actifs. Pour les entreprises qui utilisent les fonctions de sauvegarde de Microsoft Office, Babuk désactive également ces fonctions.

Après avoir désactivé les fonctions de sauvegarde de Windows, Babuk lance la phase de chiffrement. Il double le chiffrement des petits fichiers de moins de 41 Mo et divise les gros fichiers en petites parties avant de les chiffrer. Le ransomware utilise un algorithme de chiffrement appelé ChaCha8, généré à partir d’un hachage SHA-256, un algorithme qui représente une famille de fonctions de hachage.

Pour les ransomwares qui ciblent les particuliers, les pirates utilisent plusieurs clés pour chaque utilisateur. Babuk n’utilise qu’une seule clé privée, ce qui est une autre indication qu’il cible les entreprises. La plupart des activités de Babuk sont similaires à celles d’autres ransomwares, mais il est tout aussi dangereux pour l’intégrité et la confidentialité des données d’entreprise que ses prédécesseurs.

Comment se protéger de Babuk et des autres ransomwares ?

Les ransomwares sont considérés comme des applications malveillantes très agressives et représentent une grande menace pour l’intégrité des données. Ils peuvent paralyser une organisation en détruisant des données et en menaçant la réputation de sa cybersécurité. À cause de ces malwares, les clients peuvent également perdre confiance dans la cybersécurité de l’organisation ciblée et peuvent choisir de travailler avec un concurrent.

Aucune stratégie de cybersécurité ne permet de réduire à 100 % ces menaces, mais vous pouvez prendre des mesures pour réduire considérablement les risques d’être la prochaine victime de Babuk. La première stratégie consiste à chiffrer les fichiers importants. En faisant cela, vous rendez beaucoup plus difficile pour Babuk d’identifier les fichiers qui pourraient contenir vos informations importantes.

La deuxième stratégie consiste à utiliser des sauvegardes en ligne. Babuk désactive de nombreux services de sauvegarde intégrés à Windows, mais une solution de sauvegarde secondaire qui stocke les fichiers hors site ou dans le cloud améliore la reprise après sinistre. Même si vous êtes victime de Babuk, vous disposez alors de sauvegardes qui peuvent être utilisées pour récupérer les données au lieu de vous retrouver dans une situation où les sauvegardes sont également chiffrées et où il faut payer une rançon pour avoir accès à vos données essentielles.

Les ransomwares pénètrent dans les entreprises de plusieurs façons, c’est pourquoi il faut plus d’un produit pour les combattre. Une troisième stratégie consiste à adopter une approche de la sécurité par couches. La sécurité multicouche ne consiste pas simplement à superposer de nouveaux outils de sécurité à l’infrastructure existante. Il s’agit d’une architecture qui nécessite un plan bien conçu. La mise en œuvre n’est pas toujours simple, car elle exige de la planification et de l’expertise.

S’appuyer sur une seule couche de sécurité n’est plus judicieux dans le paysage actuel des menaces cybercriminelles. Les organisations doivent se concentrer sur les données qu’elles protègent et construire des couches de sécurité autour d’elles. Vos clients vous en remercieront et vos résultats financiers n’en seront que meilleurs.

Cette approche de sécurité multicouche doit également inclure le filtrage des emails. Les filtres de messagerie dotés d’intelligence artificielle (IA) identifient les messages et les pièces jointes suspects et les envoient en quarantaine, où ils peuvent être examinés par un administrateur.

En empêchant les messages malveillants d’atteindre la boîte de réception d’un utilisateur ciblé, on réduit les risques en éliminant l’erreur humaine. Toute pièce jointe contenant des macros, des fichiers exécutables ou des messages dont l’adresse d’expéditeur est usurpée est bloquée par les filtres de messagerie. Les administrateurs examinent les messages mis en quarantaine et envoient les faux positifs au destinataire prévu afin que les courriels ne soient jamais perdus ou automatiquement supprimés.

Les logiciels de surveillance détectent le trafic suspect sur le réseau. Il s’agit donc également d’une stratégie utilisée pour détecter les malwares lorsqu’ils recherchent des ressources. La surveillance de la détection et de la prévention des intrusions empêche les malwares de chiffrer des fichiers ou d’exfiltrer des données, puis elle alerte les administrateurs.

Les administrateurs peuvent alors enquêter et identifier tous les fichiers et services suspects actifs sur le réseau. N’oubliez pas que les appareils des utilisateurs peuvent également exécuter des malwares qui vont analyser le réseau à la recherche de données et de fichiers critiques.

Enfin, l’éducation des employés contribue à réduire les risques. Les erreurs humaines constituent toujours une menace pour l’organisation, mais en leur donnant les connaissances nécessaires à la détection des menaces, vous réduisez le risque qu’ils se laissent prendre au piège d’une attaque de phishing ou de malwares via la messagerie électronique.

Lorsqu’ils voient les drapeaux rouges inclus dans un message électronique malveillant, ils seront capables de le reconnaître et d’alerter les administrateurs. En même temps, ils pourront éviter d’exécuter les pièces jointes sur leurs appareils.

En combinant l’éducation des utilisateurs avec les bonnes stratégies de cybersécurité, votre organisation pourra éviter d’être la prochaine victime d’un ransomware.

Protégez votre organisation contre les attaques de phishing avec SpamTitan Email Security. Commencez un essai gratuit pour découvrir comment SpamTitan peut aider votre organisation à prévenir les attaques de ransomwares. Démarrer l’essai gratuit dès aujourd’hui.