Comment se protéger contre les attaques de ransomwares ?

Comment se protéger contre les attaques de ransomwares ?

Les attaques de ransomwares sont de plus en plus fréquentes, mais vous pouvez vous protéger !

Les ransomwares sont une variante moderne de malwares, qui combinent des tactiques sophistiquées et basiques. Les cybercriminels ne demandent généralement pas de montants exorbitants, étant donné que la rançon se situe généralement entre 300 $ et 1 000 $.

Cependant, sachez que le Hollywood Presbyterian Medical Center a dû payer 17 000 $ à cause d’une attaque impliquant l’accès à ses propres données. À cela s’ajoutaient la perte de revenus et la perte de réputation de l’entreprise suite à l’attaque, le temps que le centre puisse se redresser.

Il n’existe aucun paquet ou ensemble de pratiques uniques qui immunisera un réseau contre une attaque de ransomwares. De plus, les auteurs de malwares modifient continuellement leur « produit ». Par exemple, une infection commence habituellement par des e-mails de phishing. Cela se produit lorsqu’un utilisateur clique sur un lien JavaScript dans un e-mail ou télécharge un document joint contenant des macros qui lancent le ransomware.

À l’origine, les ransomwares utilisaient exclusivement des documents Microsoft Office avec des scripts VBA malveillants. Maintenant, n’importe quelle application et tout document qui exécute le code JavaScript peuvent lancer l’attaque. Cependant, il existe de nombreuses mesures qu’une organisation peut prendre pour atténuer les dépenses liées aux rançons, voire prévenir une attaque de ransomwares.

Mesures générales de sécurité pour se protéger contre les ransomwares

Les petites organisations peuvent éventuellement utiliser des listes blanches pour restreindre l’accès à un nombre limité de sites web et d’applications.

C’est une excellente solution, mais elle est peu pratique pour la plupart des grandes entreprises.

Restriction des privilèges

L’une des mesures souvent négligées consiste à limiter les privilèges de l’utilisateur. Cela devrait être fait sur une base régulière, que ce soit pour se protéger des ransomwares ou non. La fréquence requise dépend du taux de roulement et de mutation au sein de l’organisation.

Les privilèges d’utilisateur « Runaway » peuvent provoquer la propagation de n’importe quel malware comme une traînée de poudre sur le réseau, ce qui le rend difficile à éliminer.

Certes, un audit complet des privilèges des utilisateurs représente une tâche ardue. Mais pour commencer, vous pouvez attribuer des privilèges aux utilisateurs pour les tâches administratives telles que la sauvegarde, les serveurs et le support réseau. Pour réduire au minimum l’utilisation des comptes administratifs, n’autorisez pas ces comptes à recevoir des e-mails et assignez à des employés ayant des rôles administratifs leurs propres comptes restreints habituels pour une utilisation quotidienne.

Configuration du pare-feu

Utiliser un pare-feu moderne est essentiel pour protéger votre réseau. Comme les menaces évoluent en permanence, vous devriez donc utiliser un service de mise à jour qui bloque automatiquement les dernières menaces connues.

De nombreux sites web non classés par catégorie sont utilisés dans le cadre de campagnes de phishing ciblées qui distribuent des malwares. Ainsi, il importe de configurer votre pare-feu/proxy, de manière à ce qu’il nécessite l’interaction des utilisateurs finaux — par exemple en intégrant un bouton « continuer » —, qui communiquent avec des sites web non catégorisés.

Comment se protéger contre les attaques de ransomwares ?

  • Maintenez vos logiciels à jour. Cela n’empêchera pas les kits d’exploitation « zéro-day » d’attaquer votre organisation, mais corrigera les vulnérabilités logicielles les plus récentes.
  • Déployez un « endpoint » qui empêche les appareils contenant des malwares, des logiciels manquants d’accéder au réseau et maintenez les correctifs à jour.
  • Désactivez les scripts et macros Microsoft Office. Dans un environnement Microsoft Server, cela nécessite la modification de la stratégie de groupe Active Directory. Avant de mettre en œuvre cette politique, vérifiez qu’aucun département ne serait affecté. Certains bureaux utilisent des templates et des applications avec Visual Basic comme substitut aux logiciels de comptabilité et de vente.
  • Les services informatiques devraient bloquer les réseaux informatiques superposés (TOR) puisque le réseau et les serveurs mandataires des TOR sont couramment utilisés par la majorité des ransomwares.
  • Pour les lecteurs Dropbox, Google, OneDrive et iCloud, chaque utilisateur doit, autant que possible, mettre en pause la synchronisation. Beaucoup d’utilisateurs ne savent pas comment le faire. Envoyez un mémo ou un e-mail ou ajoutez les étapes à votre bannière de connexion pour former les utilisateurs.
  • Implémentez plusieurs produits antimalware pour augmenter vos chances d’empêcher une infection de se produire. À noter qu’aucune solution antimalware ne détecte à elle seule toutes les infections possibles. L’utilisation d’une combinaison de produits réputés renforce grandement votre défense. Assurez-vous également d’implémenter des paquets compatibles entre eux (bien entendu, tous les paquets ne le sont pas).
  • Installez un filtre antispam avancé pour les e-mails. Les attaques de ransomwares commencent par un e-mail de phishing. Une solution filtrage de spams peut donc constituer votre première ligne de défense.

Conception d’une stratégie de sauvegarde pour minimiser l’impact des ransomwares

Si votre organisation dispose d’un bon ensemble de sauvegardes, elle aura le choix de payer ou non la rançon en cas d’attaque de ransomware. Sinon, vous n’aurez pas d’autre choix que de payer.

La seule façon de savoir si vous disposez d’un bon ensemble de sauvegardes est de les tester en effectuant une restauration. Dans le cadre d’une maintenance mensuelle, testez la restauration de vos données à partir des solutions de sauvegarde différentes.

Il n’est pas rare que les sauvegardes soient mal configurées ou incomplètes en raison d’une augmentation inattendue de la taille du support requis. En même temps, assurez-vous de vérifier les privilèges de l’utilisateur pour la sauvegarde.

Au sein de la communauté Spiceworks, les professionnels de l’informatique ont discuté de la façon dont ils ont changé leur stratégie de sauvegarde face aux menaces des ransomwares. La plupart des participants ont mis en place plus de procédures de sauvegarde, notamment en stockant leurs données dans plus d’endroits qu’auparavant.

Heureusement, les options de sauvegarde sont plus nombreuses que jamais. La déduplication est par exemple essentielle pour les organisations qui disposent d’un volume considérable de données. La technologie Snapshot (avec des sauvegardes adéquates) peut aussi vous permettre de mettre à jour les données de votre entreprise en un clin d’œil.

Sur ce point, voici quelques conseils à prendre en compte :

Sauvegardez souvent les données

  • Respectez la règle 3-2-1, en conservant au moins trois copies de vos données dans deux formats différents, dont une copie est stockée hors site. Mieux encore, considérez 4 copies, 3 supports différents et gardez 2 copies hors site.
  • Certains ransomwares n’infectent que les lecteurs réseau locaux et mappés. (Rappelez-vous que les lecteurs réseau mappés peuvent inclure Dropbox, Google Drive, etc.). Utilisez la sauvegarde dans le cloud, telle qu’AWS, en guise d’assurance en cas d’attaque ou de sinistre.
  • Dans le cas d’une attaque massive de malwares, les PC utilisateurs devraient faire l’objet d’une réflexion après coup. Des ressources informatiques sont nécessaires pour la restauration des données critiques. Si ces données se trouvent sur un seul PC, profitez-en pour les transférer sur un lecteur réseau.

La formation des utilisateurs est une étape importante

Si seulement Sally n’avait pas cliqué sur ce lien dans son courrier électronique, il n’y aurait pas de rançon à payer ! C’est vrai, la plupart des ransomwares sont livrés par messagerie électronique. Les thèmes typiques incluent les arnaques sur les factures et les avis d’expédition. Il est logique que le meilleur moyen de protéger votre organisation consiste former les utilisateurs finaux sur les menaces et les bonnes pratiques liées au phishing.

Dites NON au ransomware. Empêchez les e-mails de ransomwares d’atteindre vos utilisateurs avec SpamTitan.

Le ransomware Locky se propage via des spams de fausses factures à un rythme alarmant

Le ransomware Locky se propage via des spams de fausses factures à un rythme alarmant

Le ransomware Locky est distribué via des spams contenant des pièces jointes infectées et des liens vers des sites web malveillants. Cette nouvelle souche de ransomware utilise l’extension de fichier .locky lorsque tous vos fichiers importants ont été chiffrés.

Alors que nous entrons dans le deuxième trimestre de 2016, les demandes de rançon distribuées par le biais des spams de fausses factures continuent de faire les gros titres en matière de sécurité informatique. De nouvelles souches apparaissent chaque jour et leurs méthodes d’infection changent. Le dernier-né, Locky, tente de brouiller de nombreux fichiers sur tous les disques qu’il peut trouver. Cela inclut les lecteurs amovibles, les partages réseau et les lecteurs mappés sous Windows, Linux ou MAC OSX.

Comme pour tous les ransomwares, vous ne pouvez déchiffrer vos fichiers qu’une fois que vous avez payé la rançon. Les victimes sont invitées à visiter le dark-web et à payer les escrocs en bitcoins, après quoi la clé de déchiffrement est fournie.

Cela dit, l’attaque semble similaire à celles des autres ransomwares. La différence ici est la façon dont le logiciel malveillant est distribué.

La principale source d’infection est spam, la plupart du temps déguisé en fausses factures. La pièce jointe est un document Word contenant le vénérable vieux porteur de virus : la macro. C’était la méthode de prédilection des auteurs de virus à la fin des années 1990 et, en tant que telle, elle avait été reléguée à l’histoire une fois que Microsoft avait pratiquement désactivé la fonction d’exécution automatique.

Toutefois, avec Locky, le destinataire est invité à activer l’édition dans le document, ce qui permet l’exécution du malware. Cette pratique a été assez efficace pour persuader le lecteur innocent de cliquer sur le bouton jaune « Enable Editing ».

Une fois la macro exécutée, elle télécharge le ransomware, qui commence alors le chiffrement de tous vos précieux fichiers.

Les campagnes de spams Locky sont bien pourvues en ressources

Des rapports suggèrent que les campagnes de spams de Locky étaient bien financées, à une échelle beaucoup plus grande que la plupart des autres attaques. De nombreux e-mails avaient un sujet qui commençait par « ATTN: Invoice… » ou « Tracking documents ».

Le malware s’est répandu très rapidement — ce qui a surpris de nombreux éditeurs de logiciels antivirus — et a frappé des entreprises qui n’avaient aucune politique de mises à jour régulières et fréquentes de leur sécurité informatique.

Les victimes ont reçu un message de ce type sur leurs ordinateurs :

Malgré sa notoriété, le ransomware n’est qu’un autre type de malware qui menace les données de votre entreprise, votre réputation ou votre solde bancaire. Ce qui est inquiétant, c’est le fait que les criminels utilisent des escroqueries de plus en plus convaincantes pour persuader leurs victimes d’ouvrir des pièces jointes malveillantes ou de suivre des liens vers des sites web douteux.

Malgré toutes les informations et les avertissements destinés à rendre les utilisateurs d’ordinateurs méfiants face aux e-mails non sollicités, les cybercriminels trouvent davantage de moyens efficaces qui rendent leurs messages aussi légitimes et innocents que possible.

Les campagnes de spam semblent aujourd’hui plus localisées, c’est-à-dire qu’elles sont lancées dans le pays ou même la région de la victime. Les sujets sont familiers et le message, ainsi que la pièce jointe, prétendent concerner les processus et les services communs au destinataire. Les e-mails provenant des entreprises, des services publics, des organisations partenaires et des fournisseurs légitimes sont couramment utilisés pour tromper les gens à ouvrir le document ou à cliquer sur le lien fourni. Même la personne la mieux informée et intentionnée pourrait donc être dupée.

Tout cela signifie qu’un simple antivirus et une base d’utilisateurs bien informés ne suffisent plus pour vous protéger et pour protéger vos données.

Mieux vaut donc prévenir que guérir, surtout lorsque la guérison ne sera pas possible sans payer les criminels.

Votre meilleure protection est un ensemble de défenses à plusieurs niveaux

Vous ne pouvez plus vous fier à un ou deux systèmes pour vous protéger d’un attaquant déterminé. Au lieu de cela, vous devriez disposer de plusieurs systèmes pour défendre à nouveau les multiples « vecteurs d’attaque » pouvant être utilisées par les criminels.

Jetons un coup d’œil aux solutions que vous devriez mettre en place :

Sauvegarde

C’est votre dernière ligne de défense contre les ransomwares.

Les sauvegardes hors site vous sauveront non seulement en cas d’attaque de malwares, mais aussi dans de nombreuses situations désastreuses.

Utilisez des sauvegardes chiffrées pour sécuriser vos données.

Patchs

Assurez-vous que votre système d’exploitation et vos logiciels de productivité sont à jour. Pour ce faire, vous pouvez utiliser des mises à jour sur Internet ou créer des systèmes de mise à jour internes.

Les mises à jour logicielles comprendront fréquemment des correctifs pour les vulnérabilités de sécurité nouvellement découvertes et qui pourraient être exploitées par des attaquants.

Effectuez un correctif complet de l’application tierce (en plus des correctifs du système d’exploitation). Certains logiciels tiers, comme Adobe Flash, sont souvent la cible de malwares et doivent être tenus à jour.

Maintenez à jour vos logiciels de sécurité et antivirus

La qualité de vos solutions antivirus, antispam et de filtrage de contenu dépend de la qualité de leur dernière mise à jour.

Vous devez conserver une politique de mise à jour régulière et fréquente pour vous protéger des dernières menaces. Faire cela une fois par jour ne suffit pas !

Tests d’intrusion

Effectuez régulièrement des évaluations de la sécurité de votre réseau et des tests de pénétration pour découvrir les vulnérabilités inconnues.

Systèmes de sécurité web

Utilisez une approche de la sécurité par couches afin de protéger vos utilisateurs et vos systèmes contre les malwares.

Utilisez des logiciels de sécurisation des nœuds d’extrémité

Cela inclut les pare-feu basés sur le client.

Logiciel d’analyse des e-mails

  • Bloquez les fichiers exécutables et les autres types de fichiers malveillants ou indésirables.
  • Listes de blocage en temps réel
  • Analyse antispam
  • Analyse antivirus
  • Contrôle du contenu

Analyse du web

  • Analyse antivirus
  • Protection contre les malwares
  • filtrage des URL
  • analyse SSL
  • Bloquez les fichiers exécutables et autres types de fichiers malveillants ou indésirables.
  • Gestion des applications

Autres solutions de sécurité du réseau

  • Pare-feu
  • Inspection dynamique des paquets
  • Système de prévention d’intrusions (IPS)

Ce qui est certain au sujet des attaques de ransomwares, c’est qu’il est pratiquement impossible de récupérer vos données chiffrées suite à un tel incident. Il est donc préférable de vous protéger correctement dès le départ.

On ne saurait trop insister sur l’importance des sauvegardes dans la lutte contre les ransomwares. Il est essentiel de sauvegarder les fichiers pour pouvoir les récupérer après une attaque de ransomware et de s’assurer que le disque de sauvegarde n’est pas accessible par un malware.

De mauvaises politiques de gestion des correctifs se traduisent par des cyberattaques et le paiement d’une somme importante

De mauvaises politiques de gestion des correctifs se traduisent par des cyberattaques et le paiement d’une somme importante

L’importance de mettre en œuvre de bonnes politiques de gestion des correctifs a été clairement soulignée par les attaques de ransomware WannaCry en mai. Les attaques par ransomware ont été rendues possibles en raison des mauvaises politiques de gestion des correctifs dans des centaines d’entreprises.

Les attaquants ont profité d’une vulnérabilité dans Windows Server Message Block (SMB) à l’aide d’exploits développés par (et volés à) la National Security Agency des États-Unis.

Les exploits, c’est-à-dire des éléments de programme permettant à un pirate ou à un logiciel malveillant d’exploiter une vulnérabilité informatique, ont profité des failles SMB qui, au moment où ils allaient être rendus publics, avaient été corrigées par Microsoft. Heureusement pour les individus à l’origine des attaques, et malheureusement pour de nombreuses entreprises, la mise à jour n’avait pas été appliquée.

Contrairement à la majorité des attaques par ransomware qui nécessitent une certaine implication de l’utilisateur – par exemple en cliquant sur un lien ou en ouvrant une pièce jointe infectée — les failles SMB pouvaient être exploitées à distance sans aucune interaction de l’utilisateur.

WannaCry n’était pas la seule variante de malware qui a tiré parti des systèmes non mis à jour. Le mois suivant, les attaques NotPetya (ExPetr) ont utilisé un exploit similaire appelé EternalBlue. Encore une fois, ces attaques n’avaient pas besoin de l’intervention des utilisateurs. NotPetya était un malware de type wiper (qui détruit les données), qui a été utilisé pour le sabotage informatique. Les dommages causés par ces attaques étaient considérables. Des systèmes entiers ont dû être remplacés, des entreprises ne pouvaient pas fonctionner et, pour de nombreuses entreprises, les perturbations se sont poursuivies pendant plusieurs semaines après les attaques. Pour d’autres entreprises, les pertes causées par ces attaques se chiffraient en millions de dollars.

Ces attaques auraient pu être facilement évitées, en appliquant un seul patch (MS17-010). Le patch était disponible depuis deux mois avant les attaques WannaCry. Même des politiques de gestion des correctifs — qui exigeaient que les logiciels soient vérifiés une fois par mois — auraient pu les prévenir. Dans le cas de NotPetya, les entreprises concernées n’avaient pas non plus réagi à WannaCry, même si les attaques par ransomware ont été largement couvertes par les médias et si le risque lié au retard de la mise à jour a été clairement souligné.

Le message à retenir est que les vulnérabilités de sécurité non résolues peuvent être exploitées par des cybercriminels. Les entreprises peuvent acheter une variété de solutions de sécurité coûteuses pour sécuriser leurs systèmes, mais celles dont les politiques de gestion des correctifs sont inadéquates subiront des brèches de données. La question n’est plus de savoir s’il y aura une brèche de données, mais quand cela va se produire.

Les mauvaises politiques de gestion des correctifs coûtent plus de 5 millions de dollars à une compagnie d’assurance

Une autre bonne raison de procéder rapidement à la mise à jour a été constatée ce mois-ci. Nationwide Mutual Insurance Company et sa filiale, Allied Property & Casualty Insurance Company a du payer une somme conséquente à plusieurs procureurs généraux dans 32 États. En effet, Nationwide a accepté de payer 5,5 millions de dollars pour résoudre l’enquête sur la violation de ses données en 2012.

Il s’agissait d’un vol de données concernant 1,27 million de preneurs d’assurance et de particuliers qui ont obtenu des soumissions d’assurance de la compagnie. Dans ce cas, le vol de données a été possible en raison d’une vulnérabilité non traitée dans une application tierce. Même si la vulnérabilité a été jugée critique, l’assureur n’a pas procédé à sa mise à jour. La vulnérabilité n’était pas corrigée pendant trois ans. Le correctif n’a été appliqué qu’après le vol de données.

L’enquête sur la brèche a été menée conjointement par George Jepsen, procureur général du Connecticut. Lorsqu’il a annoncé le paiement de la somme, M. Jepsen a déclaré : « Il est extrêmement important que les entreprises prennent au sérieux la maintenance de leurs systèmes informatiques et de leurs protocoles de sécurité des données. »

Les vulnérabilités non traitées seront exploitées par les cybercriminels. Les attaques entraîneront des vols de données, des dommages matériels, des poursuites judiciaires intentées par les victimes d’infractions, des amendes imposées par les procureurs généraux et des amendes imposées par d’autres organismes de réglementation. Ces coûts peuvent tous être évités avec de bonnes politiques de gestion des correctifs.

Ransomcloud chiffre les comptes Gmail et Office 365

Ransomcloud chiffre les comptes Gmail et Office 365

Un nouveau type d’attaque de ransomware pourrait se profiler à l’horizon. La méthode d’attaque, appelée ransomcloud, a été mise au point par un pirate white hat pour démontrer à quel point il est facile de lancer une attaque qui entraîne le chiffrement des emails dans le cloud.

Une attaque réussie permettra à l’attaquant de prendre le contrôle total d’un compte de messagerie dans le cloud, ce qui lui permettra de déployer une charge utile de ransomware qui chiffre tous les emails dans le compte. Cette méthode pourrait également être utilisée pour obtenir le contrôle total du compte qui va servir à des fins de spamming et à d’autres fins malveillantes.

L’attaque fonctionne sur tous les comptes de messagerie dans le cloud qui permettent aux applications tierces d’accéder aux comptes via OAuth, y compris aux comptes Gmail et Office 365.

L’attaque de ransomcloud commence par un email de phishing. Dans cet exemple, le message semble avoir été envoyé par Microsoft et offre à l’utilisateur la possibilité de s’inscrire et d’utiliser un nouveau service de filtrage du spam appelé AntiSpamPro. L’email inclut le logo Microsoft et semble être un nouveau service de la marque qui offre à l’utilisateur une meilleure protection contre le spam.

Afin de profiter de ce service, l’utilisateur doit cliquer sur un lien hypertexte dans l’email pour autoriser l’installation du nouveau service. Lorsqu’il clique sur le lien, une fenêtre contextuelle apparaîtra, dans laquelle il devra autoriser l’application à accéder à son compte de messagerie.

Une telle demande est tout à fait raisonnable, car une application qui offre une protection contre le spam nécessiterait naturellement l’accès au compte de messagerie. Les emails doivent être lus pour que l’application puisse déterminer si les messages sont authentiques ou s’il s’agit de spam. Cliquer sur « accepter » donnerait à l’attaquant le contrôle total du compte de messagerie via un jeton d’accès OAuth. Si l’accès est accordé, l’utilisateur perd le contrôle de son compte de messagerie.

Dans cet exemple, lorsque le ransomware est installé, il chiffre le corps du texte de tous les emails du compte. Un email apparaît alors dans la boîte de réception contenant la demande de rançon. L’utilisateur est tenu de payer une rançon pour récupérer l’accès à ses emails.

De plus, l’attaquant peut revendiquer le compte de messagerie comme le sien et verrouiller l’accès de l’utilisateur. Il peut également envoyer des emails de phishing à tous les contacts de l’utilisateur, accéder à des renseignements sensibles dans les emails, utiliser les renseignements dans les emails pour en apprendre davantage sur la personne et utiliser informations dans de futures attaques comme des campagnes de spear phishing.

La méthode d’attaque de ransomcloud est étonnamment simple à mettre en œuvre et pourrait être adoptée par les cybercriminels comme un nouveau moyen d’extorquer de l’argent et d’avoir accès à des informations sensibles.

Des attaques de phishing par Dropbox ont été utilisées pour télécharger le ransomware Locky

Des attaques de phishing par Dropbox ont été utilisées pour télécharger le ransomware Locky

Les attaques de phishing par Dropbox sont relativement courantes et trompent souvent les employés en leur faisant révéler leurs informations sensibles ou en téléchargeant des malwares.

Dropbox est une plate-forme populaire de partage de fichiers. Les employés ont l’habitude de recevoir des liens les informant que leurs collègues ont partagé des fichiers avez eux via cette plateforme, et les cybercriminels profitent de sa notoriété pour mener des attaques via le web.

Il existe deux principaux types d’attaques de phishing par Dropbox. La première consiste à envoyer un lien qui demande aux utilisateurs de vérifier leur adresse électronique. En cliquant sur le lien, ils sont dirigés vers un site Web Dropbox usurpé qui ressemble de près au site Web officiel. Ils sont ensuite invités à entrer leurs identifiants de connexion dans le cadre du processus de confirmation.

Les attaques de phishing par Dropbox sont également utilisées pour diffuser des malwares tels que les chevaux de Troie bancaires et les ransomwares. Un lien est envoyé aux utilisateurs concernant un fichier partagé. Lorsque ces derniers cliquent sur le lien fourni, ils téléchargent un malware, au lieu d’accéder au document.

Au cours des derniers jours, il y a eu une campagne massive utilisant ces deux méthodes d’attaque impliquant des millions de spams. La semaine dernière, plus de 23 millions de messages ont été envoyés en une seule journée.

La plupart des emails distribuaient des ransomwares Locky, et un plus petit pourcentage servait à diffuser des ransomwares Shade. Il n’y a pas un outil de déchiffrement gratuit disponible pour déverrouiller les fichiers chiffrés par les ransomware Locky et Shade. Si les fichiers ne peuvent pas être récupérés à partir des sauvegardes, les victimes devront creuser profondément.

En raison de l’augmentation de la valeur du Bitcoin ces derniers temps, le coût de la récupération est considérable. Les acteurs malveillants à l’origine de ces attaques exigent 0,5 bitcoin par dispositif infecté, soit environ 2 400$. Pour une entreprise où plusieurs appareils ont été infectés, la récupération des données pourrait donc coûter des dizaines, voire des centaines de milliers de dollars.

Selon F-Secure, la majorité des spams malveillants détectés récemment (90%) sont utilisés pour distribuer Locky. D’autres chercheurs en sécurité ont publié des rapports similaires, faisant état d’une recrudescence des infections Locky et des campagnes de spam par email.

Pour prévenir les attaques de Locky, les entreprises doivent installer une solution avancée de filtrage de spams afin d’empêcher les emails malveillants d’être envoyés dans les boîtes de réception des utilisateurs finaux. Il est également important que tous les utilisateurs reçoivent une formation de sensibilisation à la sécurité pour les aider à identifier les emails malveillants.

Un filtre web peut éventuellement être très efficace pour bloquer les tentatives de visite de sites web malveillants où des malwares pourraient être téléchargés. Par ailleurs, le fait d’actualiser les solutions antivirus et antimalware permet de détecter et de mettre en quarantaine les fichiers malveillants avant leur ouverture.

Des sauvegardes de toutes les données et de tous les systèmes devraient aussi être effectuées. Celles-ci devraient être stockées sur un dispositif isolé. Les variantes de ransomware telles que Locky peuvent supprimer les copies Windows Shadow Volume et, si un périphérique de sauvegarde reste connecté, il est probable que les fichiers de sauvegarde risquent également d’être chiffrés par les pirates informatiques.

Les meilleures pratiques pour la sauvegarde des données impliquent la création de trois fichiers de sauvegarde sur deux supports différents, avec une copie stockée hors site et hors ligne. Les sauvegardes doivent également être testées pour s’assurer que les fichiers peuvent être restaurés en cas de sinistre.

L’augmentation des attaques de ransomware a incité le National Institute of Standards and Technology (NIST) à élaborer de nouvelles directives (NIST SPECIAL PUBLICATION 1800-11) sur la récupération des données suite à des attaques de ransomwares et d’autres sinistres. Les lignes directrices de ces directives peuvent être téléchargées ici.

Une série d’attaques de ransomwares cible les municipalités américaines

L’attaque de ransomware SamSam contre la ville d’Atlanta — qui a détruit plusieurs services municipaux essentiels pendant près d’une semaine en mars dernier — a montré à quel point les municipalités locales sont vulnérables aux attaques cybercriminelles.

Bien que la ville ait refusé de payer la rançon correspondante, l’attaque s’est révélée coûteuse au-delà de toutes les estimations initiales. Selon un document de sept pages examiné par deux médias locaux, le montant demandé par les pirates est d’environ 17 millions de dollars. Cette estimation comprend 11 millions de dollars associés au processus de nettoyage de virus dans les équipements ainsi qu’à l’achat de nouveaux matériels.

Les 6 millions de dollars restants sont alloués à de tiers entrepreneurs pour les services de sécurité et les mises à niveau logicielles nécessaires pour réparer les vulnérabilités et prévenir tout dommage futur.

Cet incident est le résultat d’un seul clic sur un lien contenu dans un e-mail, réalisé par un employé.

Environ 90% des cyberattaques commencent par un message électronique.

Avec la numérisation rapide des services des villes et l’intégration de technologies de ville intelligente utilisant des dispositifs IoT de mise en réseau, la tendance croissante des pirates à cibler les municipalités et les administrations locales semble certaine. Voici une courte liste des nombreuses attaques dont nous avons été témoins cet été.

Les attaques par ransomware ciblent aussi la Géorgie

Cinq mois après l’attaque d’Atlanta, le comté de Coweta qui se trouve au sud du comté d’Atlanta, a perdu l’usage de la plupart de ses serveurs, dont certains étaient hors service pendant près de deux semaines. Les auteurs de l’attaque exigeaient 50 Bitcoins, ce qui équivaut à environ 340 000 $.

Heureusement, pour le comté, tous les systèmes avaient été sauvegardés la veille de l’attaque du 19 août, ce qui explique en grande partie pourquoi le comté n’a jamais envisagé de payer la rançon. Le personnel informatique a été en mesure de rétablir le service à l’aéroport local, les services de sécurité publique et l’inscription des électeurs dans les 48 heures. Par la suite, ils ont rétabli les services du bureau gouvernemental, de tous les services judiciaires et d’autres services au cours des dix jours après l’attaque.

L’attaque contre le comté de Coweta montre comment les sauvegardes récurrentes constituent un moyen efficace de récupérer d’une cyberattaque telle que les ransomwares. L’attentat aurait dû coûter 17 millions de dollars aux contribuables, ce qui en fait l’un des attentats les plus coûteux pour les administrations locales en 2018.

Deux victimes dans les villes de l’Alaska

Situé juste à l’extérieur d’Anchorage, en Alaska, l’arrondissement de Matanuska-Susitna se remet encore d’une attaque qui a eu lieu le 24 juillet. L’arrondissement compte plus de 100 000 habitants et les employés municipaux ont dû avoir recours aux machines à écrire, à l’estampillage et à la documentation manuscrite.

Bien que la protection des logiciels locaux ait détecté des parties du malware qui ont infiltré le réseau le 17 juillet, ils n’ont pas détecté d’autres composants dormants qui ont déclenché l’infestation une semaine plus tard (c’est un excellent exemple qui démontre pourquoi vous ne devriez pas compter sur une seule couche de cybersécurité).

L’infection par les ransomwares a paralysé les réseaux gouvernementaux de l’arrondissement et a entraîné la fermeture d’une grande partie des systèmes informatiques infectés. Les experts en cybersécurité ont signalé que l’attaque était très avancée et elle a permis de chiffrer certaines sauvegardes du comté.

En conséquence, le système de messagerie était irrécupérable selon le responsable informatique. D’autres systèmes sont en cours de restauration avec des données datant d’un an, obligeant les employés à reconstruire manuellement les ordinateurs affectés.

C’était une attaque très insidieuse et très bien organisée. Le « virus » a été identifié comme étant le ransomware BitPaymer. Cette souche de ransomware a été vue pour la première fois en juillet 2017, lorsqu’elle a frappé une série d’hôpitaux écossais.

Après avoir accédé à un système d’information hospitalier, les attaquants se déplacent latéralement sur le réseau pour installer BitPaymer manuellement sur chaque système compromis. Il a été rapporté que le ransomware a ensuite chiffré les fichiers avec une combinaison d’algorithmes de chiffrement RC4 et RSA-1024. Les chercheurs disent qu’il n’y a actuellement aucun moyen de déchiffrer les fichiers verrouillés par le ransomware BitPaymer.

Quelques jours seulement après cette attaque, la ville de Valdez, en Alaska, a perdu l’usage de l’ensemble de son réseau en raison d’une attaque séparée contre ses installations. Selon le directeur municipal, l’attaque a commencé par quelques problèmes sur le site Web du service de police.

Lorsque le système antivirus installé n’a pas réussi à combattre la menace, tous les systèmes ont été arrêtés pour empêcher le cryptovirus de se propager aux services essentiels.

Le FBI a été alerté et la ville a réussi à se remettre de l’attaque en une semaine.

Perturbation dans les écoles de deux districts scolaires

En mars 2016, le Cloquet School District du Minnesota a été forcé d’annuler les cours pendant une journée afin de donner suffisamment de temps à son personnel informatique pour se remettre d’une attaque de rançon. Le même scénario s’est répété au sein du district scolaire le 13 août.

Tous les serveurs de l’école ont été chiffrés une fois de plus lors de cette attaque, mais les précieuses connaissances acquises lors de l’attaque précédente ont permis au district de s’en remettre beaucoup plus rapidement, sans trop d’interruption.

Pendant ce temps, un lycée public néo-zélandais a été victime d’une autre attaque liée à des clics sur des liens intégrés à des e-mails.

En réalité, les élèves de l’école secondaire Hawera ont perdu l’accès à une grande partie des travaux qu’ils ont récemment terminé. L’attaque a eu lieu le 2 août et les cybercriminels qui l’ont perpétrée ont demandé 5 000 $ pour déchiffrer les fichiers.

Heureusement, l’école était en train de migrer son système de stockage de données vers le cloud, ce qui a permis de préserver une grande partie de ses données vitales. Les cours se sont déroulés comme prévu, mais les enseignants ont dû relever le défi d’enseigner sans l’aide de la technologie pendant plusieurs jours.

Les autorités sanitaires perdent les dossiers de 1,5 millions de patients à cause de pirates informatiques

La ville de Hong Kong a avancé que son Département de la Santé était la cible d’une attaque de ransomware survenue le 3 août 2018.

L’attaque était le résultat d’une brèche de connées survenue deux semaines plus tôt. Trois des serveurs de l’organisation ont été touchés, rendant toutes ses données inaccessibles, sans aucune communication de la part des attaquants. Contrairement à l’attaque à grande échelle qui a eu lieu contre le ministère de la Santé de Singapour — qui a eu lieu deux semaines auparavant et entraîné la perte de plus de 1,5 million de dossiers médicaux —, aucune donnée n’a été compromise et le ministère a réussi à rétablir les dossiers perdus.

Hong Kong a également connu plusieurs cas majeurs de piratage informatique cette année. En avril, les données personnelles de 380 000 clients du Hong Kong Broadband Network — y compris les détails de plus de 40 000 cartes de crédit — ont été consultées sans autorisation.

En janvier, des ordinateurs de deux agences de voyages locales — Goldjoy Holidays et Big Line Holiday — ont été piratés et les renseignements personnels de leurs clients ont été confisqués par les pirates qui voulaient les échanger contre une rançon.

Les pirates utilisent actuellement des tactiques de plus en plus sophistiquées et des techniques d’autopropagation. Ainsi, il est plus important que jamais de bloquer les infections avant qu’elles n’atteignent votre réseau et se propagent.

Après une attaque par ransomware, une analyse complète du système doit être effectuée pour s’assurer qu’aucune porte dérobée (qui donne un accès secret au logiciel) n’a été installée et que toutes les traces de malwares sont supprimées.

Des protections supplémentaires doivent ensuite être mises en place pour s’assurer que de futures attaques ne se produiront plus.

Le coût réel d’une attaque par ransomware est considérable. Il est essentiel que les entreprises de toutes tailles disposent de protections appropriées pour prévenir ce genre de cybercriminalité et limiter sa gravité au cas où elle se produirait.

SamSam ne partira pas de si tôt.

Il suffit d’un simple clic pour que vous soyez confronté à des décisions similaires et contraint de payer des factures importantes. Empêchez les e-mails malveillants d’atteindre les boîtes de réception des utilisateurs de votre réseau informatique.

SpamTitan, par exemple, peut vérifier chaque URL d’un e-mail en se référant à des listes noires connues, avec une couverture Web active à 100 %. Cette solution vous permet d’empêcher vos utilisateurs de cliquer sur des liens dans les e-mails et qui pointent vers des sites malveillants.

Pour en savoir plus sur les principales fonctionnalités en termes de protection web de SpamTitan et sur les différentes solutions que vous pouvez mettre en place pour éviter de vous exposer aux attaques par ransomware, contactez l’équipe TitanHQ dès aujourd’hui.