Au cours des dernières années, nous avons constaté une augmentation spectaculaire du nombre de cas d’attaques de ransomwares, frappant à la fois les particuliers et les entreprises.
Récemment, Seyfarth Shaw, un cabinet d’avocats international ayant des bureaux en Australie, a déclaré être victime d’une attaque de malware agressif que l’on pense être un ransomware.
Le cabinet a déclaré dans un communiqué qu’il a été attaqué le 10 octobre dernier. Les pirates informatiques ont ciblé les employés et l’entreprise, dont la principale motivation était le gain financier.
Lorsqu’un utilisateur visite un site web infecté ou clique sur un lien dans un e-mail ou une fenêtre pop-up, le ransomware se télécharge sur son ordinateur et affiche des messages dans le but d’extorquer de l’argent.
Certains ransomwares affichent en permanence des fenêtres contextuelles de contenu inapproprié (par exemple, de la pornographie), tandis que d’autres, connus sous le nom de crypto-ransomware, chiffrent votre disque dur ou suppriment vos données.
Prévention des attaques de ransomware
Les ransomwares sont une réelle menace, car ils peuvent causer la destruction complète d’un ordinateur ou d’un réseau d’entreprise. Il est extrêmement difficile de récupérer les systèmes infectés par ce type de malware sans en payer le prix.
Il est donc préférable d’empêcher que le logiciel malveillant n’atteigne pas vos systèmes. Il existe de nombreux moyens de renforcer vos systèmes pour empêcher les attaques de ransomware.
Formation de sensibilisation à la sécurité
Toutes les entreprises, quelle que soit leur taille, devraient dispenser une formation de sensibilisation à la sécurité à leurs employés pour qu’ils puissent adopter les meilleures pratiques pour l’utilisation de l’Internet (par exemple, les moteurs de recherche, les médias sociaux et les sites de jeux).
Il est également important de les sensibiliser à la sécurité des e-mails et à l’utilisation des supports amovibles (USB, lecteurs externes).
Les meilleures pratiques consistent notamment à n’ouvrir que les pièces jointes des e-mails provenant d’expéditeurs connus et vérifiés à ne pas cliquer sur les pop-up et à ne pas s’aventurer sur des sites web liés à des plateformes de médias sociaux, quel que soit l’expéditeur.
Politiques de restriction des logiciels
Utilisez des outils (tels que CryptoPrevent) qui sont capables d’écrire des centaines de stratégies de groupe (GPO) dans le registre d’un système afin d’empêcher les ransomwares de se loger dans ces endroits.
Les GPO utilisent des politiques destinées à empêcher l’exécution des fichiers exécutables, ce qui permet à un administrateur système de verrouiller essentiellement des zones d’un système d’exploitation (ou l’ensemble du système d’exploitation) pour bloquer les ransomwares.
Filtrage du spam
Les services externes de filtrage du spam tels que Exchange Online Protection ou Manage Protect sont capables de rechercher les malwares dans le contenu des e-mails, les pièces jointes, les tentatives de phishing et les liens suspects intégrés dans les messages.
Les administrateurs système doivent utiliser au maximum les filtres antispam pour renforcer la sécurité de leur passerelle en configurant des règles et des politiques appropriées pour empêcher tout contenu malveillant d’arriver dans les boîtes de réception des utilisateurs finaux.
Gestion unifiée des menaces (UTM)
Les plates-formes de gestion unifiée des menaces fonctionnent mieux lorsqu’elles sont activées sur les périphériques, protégeant ainsi le périmètre de votre réseau.
Les pare-feu de nouvelle génération équipés d’un système UTM sont capables d’effectuer le filtrage de contenu, de prévenir et de détecter les intrusions (plutôt que de mettre en place des dispositifs IDS/IPS séparés) et de filtrer les spams.
Au lieu de se contenter de lire les métadonnées des paquets du réseau, l’UTM effectue une inspection approfondie. Le contenu des paquets est donc inspecté à la recherche de fichiers ou de contenus malveillants.
Disposer de logiciels de sécurité sur les serveurs et les postes de travail.
Un double antivirus devrait être intégré sur les points d’extrémité et les points d’entrée du réseau (y compris le courrier électronique et les passerelles réseau) afin de fournir plusieurs couches de protection.
Les meilleures pratiques consistent à utiliser des systèmes différents, c’est-à-dire un antivirus pour la messagerie électronique et un autre pour les points d’extrémité/réseaux afin de fournir plusieurs couches de protection.
Protection DNS
WebTitan Cloud est un service qui augmente la fonction du DNS pour fournir une protection avancée contre les malwares.
Les services comprennent une protection supplémentaire contre le phishing et l’analyse des requêtes pour bloquer les demandes malveillantes.
WebTitan Cloud applique des règles de sécurité à travers le réseau de votre entreprise pour une application cohérente des règles de sécurité.
Il permet également de bloquer des pages web et offre la possibilité d’entrer des codes de contournement si nécessaire.
Des mécanismes de sécurité en cas de catastrophe
Outre les mesures préventives, il est absolument vital que tous les systèmes informatiques et les dispositifs de réseau soient protégés au cas où un ransomware passerait par tous vos contrôles préventifs.
La meilleure façon de récupérer un système sans payer la rançon est de créer des sauvegardes fiables et à jour pour toutes les données (fichiers opérationnels, de développement, de configuration, etc.).
Les sauvegardes peuvent être créées pour restaurer un système à un point, par exemple, avant l’infection par un ransomware. Ceci minimise la perte de données et les dommages causés à vos appareils informatiques.
En outre, les grandes organisations ont commencé à envisager des solutions appelées « air-gapped », dans lesquelles des sauvegardes continues sont créées et inspectées, avant d’être stockées dans une sorte de « chambre forte ».
Cette solution permet de restaurer immédiatement vos systèmes en cas de besoin, tout en analysant toutes les données entrant pour vérifier l’absence de malwares ou d’activités malveillantes.
Les ransomwares peuvent être préjudiciables aux particuliers comme aux entreprises s’ils s’introduisent dans vos systèmes.
Bien que les pirates informatiques aient perfectionné leurs méthodes d’attaque, si vous investissez du temps et de ressources dans une stratégie de sécurité, vous pourrez considérablement durcir votre réseau et vous débarrasser de nombreuses vulnérabilités.
Les mesures de prévention et de sécurité sont extrêmement importantes pour protéger vos données, et les efforts supplémentaires que vous déployez dans votre approche de la sécurité vous apporteront une grande tranquillité d’esprit.
Sauvegarde 3-2-1 : comment ça marche ?
Pour garantir des sauvegardes fiables, vous avez besoin de redondance, ce qui est le but de la sauvegarde 3-2-1 traditionnelle. La topologie de la sauvegarde 3-2-1 est la suivante :
- Avoir au moins 3 copies de vos données,
- Utiliser deux formats de médias différents pour stocker vos données,
- L’une des copies doit être sauvegardée hors site.
Trois copies de vos données signifient qu’une copie est l’original des données et elle doit être supportée par deux autres copies de sauvegarde séparées.
Vos données doivent résider sur deux supports distincts, comme un partage de réseau, un lecteur SSD sur un quelconque type de matrice de stockage.
Il peut également s’agir d’un support traditionnel sur bande magnétique qui semble si ancien aujourd’hui, mais qui est suffisamment intéressant, car vous pouvez l’emporter hors site, dans un endroit sûr comme un site séparé ou même un coffre-fort dans une banque locale.
Une solution possible, qui satisfait à la fois aux conditions de deux types de supports et d’un emplacement distant, est l’utilisation de la fonction d’instantanéité de votre infrastructure SAN.
En sauvegardant vos données à intervalles réguliers tout au long de la journée dans un environnement identique sur un site de reprise après sinistre, vous pouvez facilement vous remettre d’une attaque sur un serveur hôte virtuel.
N’oubliez pas toutefois de réaliser des tests réguliers de restauration de vos données afin de s’assurer qu’elles peuvent être récupérées intactes en cas de besoin.
Il convient de mentionner que les ransomwares peuvent se développer en tant que forme de malware et donc évoluer vers de nouvelles formes qui peuvent s’étendre au-delà des connexions physiques directes.
La seule certitude que l’on puisse avoir concernant les ransomwares est que le maintien d’une solution de sauvegarde bien conçue et fonctionnelle constituera une mesure efficace contre les impacts des ransomwares, quelle que soit leur évolution future.
Pour toute question, adressez-vous à un spécialiste ou envoyez-nous un courriel à info@titanhq.com.