Les cyberattaques utilisant des ransomwares se multiplient d’année en année, mais quel est exactement le secret de leur succès ?
D’une manière générale, la réussite d’une activité commerciale est évaluée par sa rentabilité. Plus elle génère des profits, plus elle est perçue comme réussie. À cet égard, on peut considérer les actes criminels utilisant des ransomwares comme une activité très prospère.
En 2020, les attaques de ransomwares se sont déchaînées. Les experts en sécurité de PurpleSec ont estimé que le coût final des ransomwares pour les entreprises mondiales en 2020 devrait aller au-delà de 16 milliards d’euros. Ils ont également prédit que la tendance des attaques de ransomwares continuera d’être la menace numéro un dans les années à venir.
Pourquoi ? Parce que les ransomwares rapportent de l’argent aux cybercriminels.
Les cybercriminels dissimulent les ransomwares à la vue de tous
Lorsqu’une activité est considérée comme prospère, il est certain que ses initiateurs vont continuer de la promouvoir, et les opportunités seront construites sur la base de leurs précédents succès.
Si certaines portes de sécurité se ferment aux attaques de ransomware, d’autres vont s’ouvrir grâce à l’innovation dans le monde de la cybercriminalité. En fait, les auteurs d’attaques de ransomware ne connaissent aucune limite dans leur course à l’argent.
Toutes les astuces d’ingénierie sociale ont été utilisées au fil des ans, de la sextorsion au phishing. La prolifération du vol de données – y compris les identifiants de connexion – alimente la boucle de la manipulation sociale, permettant aux pirates de demander de rançon dont les montants sont souvent conséquents.
Les attaques de « credential stuffing » sont un bon exemple. Elles sont souvent liées aux attaques de ransomware, impliquant le vol d’informations, la connexion à des comptes privilégiés et l’installation de malwares.
Les pirates derrière les attaques de ransomware raisonnent comme des chefs d’entreprise astucieux. Ils cherchent toujours à tirer le meilleur parti de leur « produit ».
Ils utilisent les ransomwares non seulement pour extorquer de l’argent à leurs victimes en demandant une rançon contre la clé de déchiffrement de leurs données chiffrées ou en menaçant de divulguer les informations sensibles qu’ils ont collectées sur le web au cas où elles refusent de payer.
La menace d’une fuite des données volées peut souvent faire pencher la balance dans la décision de payer, ou non, la demande de rançon. Sophos décrit ce phénomène comme un « marché secondaire de l’extorsion ». Dans un rapport de 2020 sur les tactiques de ransomware, l’éditeur de sécurité a constaté qu’un nombre croissant d’outils de ransomware sont utilisés pour exfiltrer des données du réseau de la victime.
Dans un précédent article, TitanHQ a évoqué cette tactique de « double jeu », en décrivant comment le ransomware CLOP utilise une technique de « double extorsion » pour chiffrer et voler des données, en menaçant de les exposer pour donner plus de poids à la demande de rançon.
Les attaques de ransomware connaissent un succès croissant. Ce succès a encouragé les criminels à l’origine de ces attaques, lequel est dû en grande partie à des tactiques astucieuses qui dissimulent les ransomwares à la vue de tous, permettant aux vecteurs d’attaque et aux malwares d’échapper à la détection.
Par exemple, de nombreux kits de ransomware modernes utilisent actuellement des utilitaires légitimes comme base pour diffuser des ransomwares. Cela signifie que les vecteurs d’attaque et les malwares ont peu de chances d’être détectés par les solutions de sécurité des points finaux.
Sur ce point, le rapport de PurpleSec a souligné que, dans 75 % des cas d’attaques de ransomware, les organisations utilisaient une sécurité des points d’accès à jour.
Menaces et outils de ransomware
En 2020, la pandémie du Covid-19 a joué un rôle important dans l’augmentation de l’activité des ransomwares. Il a été découvert qu’au cours de l’année, le protocole de bureau à distance (Remote Desktop Protocol – RDP) était la principale cause des attaques de ransomware.
En raison de la politique de travail à domicile adoptée par de nombreuses organisations pendant la pandémie, les entreprises ont été contraintes de recourir au protocole RDP. En conséquence, les attaquants de ransomwares ont concentré leurs efforts sur ce point faible en utilisant la reconnaissance des informations d’identification ou des attaques par force brute.
Une fois le réseau compromis via ce protocole, les pirates peuvent facilement télécharger des ransomwares sur le réseau de leurs victimes, surtout si le vecteur d’attaque utilise les boîtes à outils adaptatifs qui échappent à la détection.
L’accessibilité des kits de ransomware vient aggraver ces problèmes et le concept de Ransomware-as-a-Service (RaaS) est devenu courant. Le RaaS est une pratique permettant aux cybercriminels qui veulent participer à l’action de cyber-extorsion même s’ils n’ont pas les compétences nécessaires pour développer leur propre malware en louant ou en achetant des kits d’exploitation.
L’un des kits RaaS les plus connus s’appelle Ransomware Evil ou REvil, également connu sous le nom de Sodinokibi. Il fonctionne sur la base d’une affiliation et peut rapporter à ses développeurs jusqu’à 30 % des recettes. Un rapport d’IBM sur le problème des ransomwares a révélé qu’une attaque de ransomware sur trois utilisait le kit d’exploitation REvil.
Les ransomwares vont-ils continuer à hanter les entreprises en 2021 ?
2020 fut une année fructueuse pour les cybercriminels dans le domaine des ransomwares. Ils ont adapté leurs tactiques pour s’adapter au climat du travail à domicile et s’efforcent de plus en plus de tirer parti de la prolifération des données et des identifiants volés.
Les entreprises de tous les secteurs doivent s’attendre à ce que les attaques de ransomware se poursuivent du moment que les cybercriminels continuent à en tirer des profits. Le RaaS ne fait qu’exacerber le problème en rendant les kits d’exploitations permettant de diffuser des ransomwares plus faciles à obtenir et à utiliser.
Une chose est sûre, les cybercriminels ne cesseront d’adapter leurs tactiques et leurs processus à l’environnement industriel en mutation.
Le ransomware d’autrefois, qui servait à chiffrer des données en vue de demander une rançon, utilise désormais des techniques élargies, notamment l’exfiltration de données et la menace d’exposition des informations volées. Pour les cybercriminels, les attaques de ransomware restent un business florissant.
Les organisations doivent elles aussi s’adapter pour contrer ces cybermenaces, quelle que soit la forme qu’elles prennent. Pour ce faire, elles doivent s’efforcer de stopper les ransomwares avant le point d’entrée, plutôt que de traiter l’attaque une fois qu’elle est lancée.
Le recours à l’ingénierie sociale pour manipuler les utilisateurs ; le vol de données et d’informations d’identification pour propager les attaques ; ainsi que les outils adaptatifs qui échappent à la détection, font des ransomwares une menace redoutable pour la sécurité.
Bref, étouffer les ransomwares dans l’œuf est un geste stratégique de la part d’une organisation pour contenir cette menace, et sachez que la protection des points finaux peut s’avérer insuffisant.
L’utilisation d’un système de surveillance intelligent, conçu pour les menaces complexes comme les ransomwares, permet de détecter les menaces en temps réel avant qu’elles ne deviennent une infection.
Contrairement aux anti-malware traditionnels pour les points de terminaison, les plateformes de surveillance intelligentes effectuent des mises à jour en temps réel et protègent contre les URL et les menaces de phishing actives et émergentes.
Les cybercriminels sont passés maîtres dans l’art de l’invention et ont de nombreux tours dans leur sac. Cependant, les entreprises peuvent se défendre, mais pour ce faire, elles doivent agir en temps réel. L’une des meilleures solutions est d’utiliser un filtre DNS comme WebTitan qui peut bloquer les malwares, le phishing, les ransomwares et les sites malveillants.
Les ransomwares Sodinokibi et Bourane peuvent être diffusés via le kit d’exploitation RIG, mais un autre kit d’exploitation a récemment rejoint les rangs, bien que sa charge utile soit des chevaux de Troie bancaires.
Les kits d’exploitation sont des programmes utilitaires sur les sites web qui mènent des attaques automatisées contre les visiteurs.
Lorsqu’un internaute atterrit sur une page hébergeant le kit d’exploitation, son navigateur ainsi que les applications basées sur son navigateur sont analysés pour détecter certaines vulnérabilités.
Le trafic vers la page d’atterrissage est généré par des redirections ou des publicités malveillantes. Dans la plupart des cas, le code du kit d’exploitation est également ajouté à des sites web à fort trafic compromis.
Les kits d’exploitation contiennent des exploits pour plusieurs vulnérabilités. Une seule suffit pour permettre le téléchargement et l’exécution d’une charge utile malveillante sur l’appareil de la victime sans qu’elle le sache.
Les kits d’exploitation étaient autrefois le mécanisme de diffusion de malwares de choix, mais ils sont tombés en désuétude à la suite d’une répression des forces de l’ordre.
La menace que représentent les kits d’exploitation n’a jamais disparu, mais le nombre d’attaques a baissé. Au cours des derniers mois, cependant, l’activité d’exploitation a atteint un niveau élevé.
Le nouveau kit d’exploitation s’appelle Spelevo et son but est de livrer deux chevaux de Troie bancaires – Dridex et IceD – via un site web interentreprises. Il a été découvert par un chercheur en sécurité nommé Kafeine en mars 2019.
Spelevo héberge actuellement plusieurs exploits pour Adobe Flash et un pour Internet Explorer. Si un utilisateur visite une page web hébergeant le kit d’exploitation, il ne saurait pas probablement qu’il se passe quelque chose de malveillant.
En effet, un onglet s’ouvrira et le navigateur semblerait passer par une série de redirections avant d’atterrir sur Google.com.
L’ensemble du processus – depuis l’atterrissage de l’utilisateur sur une page hébergeant le kit d’exploitation, jusqu’à l’identification et l’exploitation de la vulnérabilité et la redirection de l’utilisateur vers Google.com – ne prend que quelques secondes.
Le kit d’exploitation peut être hébergé sur un domaine appartenant à un attaquant, mais il est facile de l’ajouter à n’importe quel site web. Une fois qu’un site web est compromis, il suffit d’y intégrer quatre lignes de code.
Les kits d’exploitation sont un moyen efficace et automatisé de fournir une charge utile de malwares, mais ils dépendent des utilisateurs qui n’ont pas mis de correctifs sur leur navigateur et leurs plugins.
Si les navigateurs et les plugins sont maintenus à jour, il ne devrait y avoir aucune vulnérabilité que les pirates pourront exploiter.
Le kit d’exploitation Spelevo semble être utilisé dans une campagne ciblant les entreprises. Les équipes informatiques ont souvent du mal à maîtriser les correctifs et ont une mauvaise visibilité sur les périphériques qui se connectent à leur réseau.
Pourtant, au cas où un périphérique serait compromis, un attaquant peut utiliser divers outils pour lancer des kits d’exploitations et compromettre d’autres périphériques et serveurs.
La principale défense contre les kits d’exploitation est le patch, mais des protections supplémentaires sont nécessaires.
Vous devriez mettre en place un filtre web pour vous protéger contre les attaques pendant l’application des correctifs ; pour empêcher les attaques de réussir en utilisant des exploits de type « zero day » et pour empêcher les utilisateurs de visiter les sites web hébergeant des kits d’exploitation.
WebTitan est un filtre DNS qui permet de détecter et de bloquer les menaces en temps réel. De manière automatisée, il vous protège contre les kits d’exploitation et les attaques de phishing basées sur le web.
La base de données de WebTitan contient trois millions d’URL malveillantes qui sont bloquées lorsqu’un utilisateur tente de les visiter.
La base de données répertorie également plus de 300 000 sites web pouvant contenir des malwares et des ransomwares qui sont bloquées chaque jour pour protéger les utilisateurs finaux.
Si vous souhaitez améliorer la protection contre les menaces basées sur le web ; contrôler les contenus auxquels vos employés peuvent accéder et avoir une visibilité sur ce que vos employés font en ligne, WebTitan Cloud est la réponse.
Cette solution peut être mise en place en quelques minutes seulement.
Ces derniers mois, les villes et les organismes gouvernementaux ont été la cible d’une série d’attaques de ransomware. Les établissements de soins de santé sont les plus touchés, mais ce ne sont pas les seules industries visées.
Les écoles, les collèges et les universités sont des cibles de choix pour les pirates informatiques et les attaques de ransomware sont courantes. Une attaque récente se distingue par son ampleur et la demande massive de rançon qui a été émise.
Le Monroe Collège est la nouvelle victime d’attaque de ransomwares
Les attaquants ont exigé 170 bitcoins (environ 17,9 millions d’euros) contre les clés qui permettaient de déchiffrer le réseau.
Le Monroe Collège à New York a été attaqué à 6 h 45 le mercredi 10 juillet 2019.
Le ransomware s’est rapidement répandu dans son réseau, créant la panne des systèmes informatiques de ses campus de Manhattan, New Rochelle et Sainte-Lucie et détruisant le site web du collège.
Le collège est passé au papier et au crayon et travaillait à la recherche d’une solution pour contourner le problème et pour s’assurer que les étudiants qui suivent des cours en ligne reçoivent leurs devoirs.
Le Monroe Collège n’a pas encore annoncé si les fichiers pourront être récupérés à partir des sauvegardes ou s’il devra payer la rançon.
Il s’agit de l’une des nombreuses attaques récentes de ransomwares aux États-Unis. Bien qu’elles semblent avoir perdu la faveur des cybercriminels en 2018, elles sont de nouveau en vogue et le nombre d’attaques de ransomware est en forte hausse.
170 bitcoins est peut-être un montant particulièrement élevé, mais il y a eu plusieurs attaques récentes impliquant des demandes de rançon de centaines de milliers de dollars. Dans plusieurs cas, les victimes ont dû payer la rançon.
La ville de Riviera Beach City en Floride a été par exemple attaquée. Elle a dû payer une rançon d’environ 537 000 euros pour pouvoir accéder à ses fichiers et remettre ses systèmes informatiques en service.
Lake City en Floride a également payé une rançon importante, de l’ordre de 447 000 euros, tandis que le comté de Jackson a dû payer une rançon de plus de 358 000 euros après une attaque.
Il y a eu plusieurs cas où les rançons n’ont pas été payées. Entre autres, la ville d’Atlanta a été ciblée et environ 45 000 euros ont été exigés par les pirates.
Atlanta a refusé de payer, mais pour réparer les dommages créés par l’attaque, sa facture a déjà dépassé les 2,6 millions d’euros. Avec des coûts aussi élevés, il est clair de voir certaines victimes qui choisissent de payer la rançon.
Protégez votre établissement scolaire des attaques de ransomwares
Dans tous les cas susmentionnés, le coût de la mise en œuvre de solutions de cybersécurité pour se protéger contre les principaux vecteurs d’attaque n’aurait coûté qu’une infime fraction du montant de la rançon ou des coûts d’atténuation après une attaque.
Pour moins de 1,8 euros par employé, vous pouvez vous assurer que votre système de messagerie est sécurisé et que vous êtes bien protégé contre les attaques sur le web. Pour en savoir plus, appelez TitanHQ dès aujourd’hui.
Le déchiffrement gratuit du ransomware Dharma est maintenant possible suite à la publication des clés de déchiffrement utilisées par le gang cybercriminel derrière le ransomware.
Les clefs de déchiffrement du ransomware Dharma peuvent maintenant être utilisées pour développer un déchiffreur permettant de déverrouiller des dossiers chiffrés par Dharma.
Comment déchiffrer le ransomware Dharma gratuitement ?
Si votre organisation a été attaquée par ce ransomware, vous pouvez déverrouiller vos fichiers en utilisant le déchiffreur Dharma développé par Kaspersky Lab ou ESET. À noter qu’il n’y a plus de rançon à payer.
Le déchiffreur disponible sur ESET déverrouillera les fichiers chiffrés par Dharma et son prédécesseur, Crysis. Kaspersky Lab a ajouté les clés de son déchiffreur de ransomware Rakhni.
Il est facile de déterminer quelle variante de ransomware a été utilisée en vérifiant l’extension des fichiers infectés. Par exemple, Dharma ransomware ajoute l’extension « .dharma » aux fichiers qu’il a chiffrés.
Les clés de déchiffrement ont été postées sur un forum d’assistance technique BleepingComputer la semaine dernière par un individu dont le nom d’utilisateur est « gektar ».
L’endroit où cette personne a obtenu les clés de déchiffrement est inconnu, bien que Kaspersky Lab et ESET aient tous deux confirmé que les clés de déchiffrement sont authentiques.
Les clés de déchiffrement pourront fonctionner avec toutes les variantes du ransomware Dharma.
Le nom gektar n’est pas connu des chercheurs en sécurité. Aucun autre message en ligne n’aurait été publié avec ce nom d’utilisateur, lequel semble avoir été créé uniquement pour poster les clés de déchiffrement.
Il semblerait que la personne responsable veuille faire profil bas.
Les ransomwares : une menace persistante
Malheureusement, il existe aujourd’hui plus de 200 familles de ransomwares, avec de nombreuses variantes différentes au sein de chacune de ces familles.
Le dharma n’existe peut-être plus, mais la menace des ransomwares est encore grave. Il n’y a toujours pas de déchiffreurs disponibles pour les ransomwares les plus importantes comme Locky, Samsa (Samsam) et CryptXXX.
Ceux-ci sont encore très prisés par les cybercriminels pour extorquer de l’argent aux entreprises.
Pour s’assurer que les fichiers chiffrés par des ransomwares peuvent être récupérés gratuitement, la meilleure défense que les entreprises peuvent adopter est de s’assurer que les sauvegardes des fichiers critiques sont effectuées sur une base quotidienne.
Ces sauvegardes devraient être stockées sur un dispositif isolé physiquement de tout réseau informatique et aussi dans le cloud.
La récupération des sauvegardes et l’élimination des infections par des ransomwares peuvent demander beaucoup de travail et de temps.
Voici pourquoi des défenses anti-ransomwares devraient également être utilisées pour prévenir l’infection.
Nous vous recommandons d’utiliser SpamTitan pour empêcher les emails de ransomware d’arriver dans les boîtes de réception des utilisateurs finaux et WebTitan pour empêcher les téléchargements de ransomwares par drive-by.
En février dernier, l’attaque contre l’hôpital presbytérien de Hollywood a fait la une des journaux.
Après avoir perdu l’usage de leur système informatique interne et l’arrêt de leurs activités, les cadres supérieurs ont pris la décision de payer une rançon négociée de plus de 15 000 euros. À l’époque, une telle somme semblait choquante.
Le coût d’une attaque de ransomware a atteint plus de 895 000 euros
Le 10 juin 2017, la société d’hébergement web sud-coréenne Nayana a été victime d’une attaque de ransomware appelé Erebus.
Bien qu’à l’origine, le ransomware ait été conçu pour compromettre le système d’exploitation Windows, il a été récemment modifié pour cibler les serveurs web Linux.
La façon dont le malware a infecté le système n’a pas été identifiée. Ce qui est certain, c’est qu’aucun des 153 serveurs Linux qui composaient l’infrastructure d’hébergement web n’a été correctement mis à jour.
La société Nayana étant complètement fermée, la direction est venue à la table des négociations pour conclure un accord avec les pirates.
Le prix final convenu était de plus de 895 000 euros, soit nettement moins que le prix demandé à l’origine, à savoir de plus de 39,4 millions d’euros. La rançon est payée en trois versements et chaque versement a permis de déchiffrer un lot de serveurs de la société.
Le paiement de rançon pour les entreprises est souvent de l’ordre de 8 900 à plus de 22 000 euros. Pourtant, les pirates derrière cette attaque ont exigé 550 bitcoins pour déchiffrer les accès aux réseaux, soit environ 1,45 millions d’euros.
Le 14 juin 2017, la société Nayana a signalé qu’elle avait négocié un paiement de 397,6 bitcoins, soit plus de 905 000 euros, ce qui est en fait d’elle l’un des plus grosses rançons jamais signalées et payées.
Vous avez bien lu, plus de 905 000 euros. Pourtant, cet incident aurait pu être évité si la société avait mis en œuvre le correctif approprié.
Anatomie d’une attaque de ransomware
Un mois plus tard, une entreprise canadienne a également été frappée par une attaque de ransomware et elle doit s’estimer chanceuse, car elle n’a dû payer qu’environ 380 000 euros.
L’équipe de la direction n’a pas eu d’autres choix que de payer, car l’attaque permettait aux pirates de chiffrer toutes les sauvegardes de l’entreprise.
Une équipe médico-légale qui enquête sur les conséquences de l’attaque pense que les pirates savaient exactement où se trouvaient les serveurs de base de données et les sauvegardes.
Le malware a été lancé par une attaque de phishing visant six cadres supérieurs de l’entreprise. Des e-mails malveillants ont été envoyés par les pirates.
Ils semblaient provenir d’une entreprise de messagerie et avaient pour objet des factures impayées. Les soi-disant factures étaient jointes aux messages au format PDF.
Deux cadres étaient tombés dans le piège et la charge utile malveillante contenue dans les pièces jointes s’est rapidement répandue dans tout le réseau de l’entreprise.
Bien entendu, si l’entreprise avait appliqué la stratégie de sauvegarde 3-2-1, qui consiste à faire 3 copies de toutes les données dans 2 formats différents, avec une copie hors site, le paiement par extorsion aurait peut-être été évité.
Devriez-vous payer ou ne pas payer la rançon en cas d’attaque ?
Avec des rançons d’un montant aussi épique, le conseil logique peut être de ne pas payer la rançon. C’était l’état d’esprit du centre médical du comté d’Erié à New York lorsqu’il a été victime d’une attaque de ransomware en avril dernier.
Au début, l’attaque visait le serveur web de l’hôpital, mais elle a finalement mis hors service 6 000 ordinateurs.
Une fois que les pirates ont obtenu l’accès à distance au serveur du centre médical, ils ont commencé à lancer une attaque de bourrage d’identifiants pour avoir accès au système.
Le compte compromis n’était protégé que par un mot de passe par défaut et c’est ce qui leur a permis de compromettre le réseau.
Les attaquants se sont alors connectés au système de l’entreprise et ont commencé à tout chiffrer de façon à compliquer la capacité du centre à restaurer ses données.
Plus tard, les cybercriminels ont exigé une rançon de plus de 26 000 euros pour le déchiffrement des données, mais l’équipe de direction du centre n’a pas décidé de payer une telle somme.
Après trois mois, l’organisation a dû dépenser près de 895 000 euros pour réparer les dommages.
Selon une source d’information de l’HIPAA, environ la moitié de cette somme a été consacrée au matériel informatique, aux logiciels et à l’assistance nécessaire pour éviter les représailles des pirates.
L’autre moitié a été allouée à la rémunération des heures supplémentaires du personnel et au recouvrement de pertes de revenus liés à l’arrêt du système.
De plus, l’hôpital a dû débourser environ 223 000 euros par mois depuis l’apparition de cet incident pour mettre à niveau sa technologie et pour améliorer la formation de ses employés en matière de cybersécurité.
La décision de payer une rançon pour obtenir les clés de déchiffrement des données est une question complexe. Du point de vue des coûts et de la productivité, elle peut s’avérer moins coûteuse.
D’un autre côté, il n’y a aucune garantie que les pirates vont donner les clés une fois la rançon payée.
Certains affirment également que les victimes d’une attaque de ransomware subissent souvent des attaques répétées, car les pirates savent que l’organisation sera toujours prête à payer.
Selon une étude réalisée par Symantec en avril 2017, 64 % des victimes d’attaques cybercriminelles aux Etats-Unis affirment être prêtes à payer la rançon, contre 34 % à l’échelle internationale.
La somme d’argent demandée lors de ces différentes attaques est considérable. En réalité, une seule attaque peut désormais mettre une entreprise en faillite. Ce qui est encore plus bouleversant, c’est que ces attaques ont pu être évitées grâce à de simples mesures de sécurité.
Des mesures de sécurité simples permettent de se protéger contre les attaques de ransomware
La première chose à faire est de sauvegarder régulièrement vos fichiers. Aucune stratégie de sauvegarde n’est à 100 % infaillible, mais la méthode 3-2-1 est celle la plus solide possible.
L’autre conseil est de ne pas activer les macros qui sont souvent envoyées par des e-mails. Ces messages tentent de convaincre l’utilisateur d’activer les macros pour pouvoir lancer une attaque. L’administrateur système devrait donc mettre en place une politique d’utilisation acceptable pour empêcher les employés d’activer eux-mêmes des macros contenus dans des e-mails dont la source n’est pas fiable.
N’ouvrez pas les pièces jointes aux e-mails non sollicitées. Si vous utilisez une solution de sécurité antispam comme SpamTitan, les fichiers chargés de malwares seront automatiquement mis en quarantaine avant d’atteindre votre ordinateur. Quoi qu’il en soit, tous les utilisateurs doivent suivre une règle simple, à savoir de ne pas ouvrir les pièces jointes ou les e-mails inattendus provenant d’expéditeurs inconnus.
Mettez à jour régulièrement vos systèmes et applications. Les équipes informatiques doivent intégrer la redondance dans leur infrastructure. En effet, lors de l’application d’une mise à jour, un système peut tomber en panne. Un autre devrait donc être opérationnel et prendre le relai pendant ce temps.
Sensibilisez vos employés concernant les menaces cybercriminelles. Bien que la plupart des organisations fournissent à leurs employés un manuel de sécurité, un guide de sécurité est tout aussi important. Ce document devrait comprendre des conseils sur l’hygiène des e-mails, les politiques de l’entreprise en matière de mots de passe, la politique BYOD et les informations concernant les menaces auxquelles les employés doivent être conscients et où ils peuvent obtenir de l’aide au besoin.
Les cybercriminels préfèrent s’attaquer aux réseaux ouverts et non segmentés. Une fois à l’intérieur d’un réseau non segmenté, ils peuvent voler vos données sensibles et mener d’autres attaques sur votre système. Vous aurez donc intérêt à segmenter le réseau de votre entreprise.
Vous êtes un professionnel de l’informatique et vous souhaitez vous assurer que vos données et périphériques sensibles soient protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
Si votre ordinateur a été infecté par Petya, WannaCry ou un autre ransomware similaire, il n’est pas certain que vous allez pouvoir récupérer vos fichiers et données, même si vous payez la rançon.
La plupart d’entre nous savent que les pirates peuvent utiliser le ransomware pour chiffrer vos données et demander ensuite un paiement pour les déchiffrer.
Mais ce que vous devez aussi noter, c’est que le nombre d’attaques de ransomware a atteint son plus haut niveau historique en avril 2016, soit une augmentation de 159 % par rapport à mars, selon Enigma Software.
Bien qu’il s’agisse d’une hausse inhabituelle, les attaques de ransomware augmentent de 9 à 20 % par mois depuis un certain temps. Il y a plusieurs raisons à cela :
Les attaquants profitent de la panique causée par chaque nouvelle attaque.
Les technologies de chiffrement de haut niveau, comme la version 2048 bits de l’algorithme cryptographique RSA, sont de plus en plus répandues.
Les innovations dans le traitement des devises numériques telles que Bitcoin ont rendu encore plus difficile la traçabilité des transferts.
Les attaquants n’ont plus besoin d’avoir une connaissance approfondie sur les nouvelles technologies pour mener une attaque. La plupart des ransomwares sont disponibles sous forme de kits d’exploitation prêts à être utilisés.
Quelle est l’ampleur de la menace que représentent les ransomwares ?
L’attaque de ransomware est aujourd’hui l’une des plus grandes menaces de cybersécurité. De nouvelles variantes sont publiées en permanence, ce qui rend les attaques plus difficiles à contrer, et le nombre d’attaques ne cesse d’augmenter.
En 2017, les spécialistes prévoyaient que les cybercriminels s’attaqueront aux serveurs et PC critiques des entreprises.
En retenant ces dispositifs sensibles en otage, les cybercriminels pouvaient exercer des pressions au bon moment dans le but d’obtenir des rançons, et ce, le plus rapidement possible.
Les entités publiques paniquaient déjà lorsque les gouvernements américain et canadien ont lancé conjointement une alerte aux demandes de rançon en mars 2016. En mai 2016, un sous-comité judiciaire du Sénat des États-Unis a tenu une audience pour étudier la question.
Rappelons que le Hollywood Presbyterian Medical Center en Californie a été paralysé par une attaque de ransomware de grande envergure pendant dix jours. Il n’est donc pas surprenant que l’État ait rédigé une loi visant à établir des sanctions spécifiques pour les ransomwares.
Le paiement de la rançon est une décision d’affaires
Dans une récente étude menée par BitDefender, la moitié des victimes des ransomwares ont déclaré qu’elles avaient payé la rançon, et les deux cinquièmes des personnes interrogées ont déclaré qu’elles seraient prêtes à le faire si jamais elles se trouvaient une telle situation.
Payer la rançon n’est pas une décision de sécurité, mais une décision commerciale. Récupérer des fichiers à partir d’une sauvegarde prend du temps et des efforts. De plus, cela peut entraîner une perte de revenus pour les entreprises victimes de l’attaque.
Devriez-vous payer la rançon ?
La réponse est non ! Nous vous recommandons de ne jamais le faire. Une telle pratique soutient les criminels, perpétue leurs cycles d’attaque et les encourage à continuer.
En ce qui concerne le ransomware Petya, comme tout autre ransomware, il y a de fortes chances que vous ne récupériez pas vos données même si vous acceptez de payer la rançon.
Avec Petya, l’adresse e-mail utilisée pour la demande de rançon n’était plus accessible. Elle avait été fermée par le fournisseur de messagerie.
Si vous constatez une infection avant l’apparition d’une demande de rançon, éteignez immédiatement votre machine. En aucun cas, vous ne devriez pas la redémarrer, car il est possible que tous vos fichiers et données ne soient pas encore chiffrés.
Et même si vous payez, les attaquants peuvent choisir de ne pas vous fournir une clé valide ou un code de déverrouillage approprié pour déchiffrer vos fichiers.
Selon le FBI, la plupart des organisations qui paient la rançon n’arrivent pas toujours à retrouver l’accès à leurs données. C’est entre autres le cas de l’hôpital du Kansas Heart. Le 18 mai 2016, l’hôpital a été victime d’une attaque de ransomware et a payé la rançon.
Pourtant, les attaquants ont exigé plus d’argent pour la clé de déverrouillage. L’hôpital a refusé de payer à nouveau.
Il y a un autre problème avec la variante du ransomware Cerber. Il s’agit d’un ransomware qui peut potentiellement « dormir » dans le réseau ciblé.
Plus tard, il pourra être converti en botnet et lancer des attaques par déni de service distribué (DDoS). Grâce aux caractéristiques du botnet, les victimes devaient payer une rançon, encore et encore.
Pouvez-vous faire confiance aux criminels pour déverrouiller vos données ?
Comme pour toute entreprise, il est en fait dans son intérêt de tenir ses promesses. Les attaquants de CryptoWall sont connus pour déchiffrer les fichiers après le paiement de la rançon.
Ils ont même guidé leurs victimes dans la procédure d’obtention de Bitcoins et leur ont accordé des prolongations du délai pour le règlement de la rançon. Mais d’autres auteurs de ransomwares ont une réputation moins fiable.
Les professionnels de l’informatique sont contre le paiement de la rançon
Le FBI a publié un avis en juin au sujet des ransomwares. Le Bureau fédéral d’enquête conseille aux victimes de communiquer avec les représentants du FBI dans leur localité au cas où leurs données feraient l’objet d’une demande de rançon.
Mais certains agents du FBI ont averti qu’ils ne peuvent pas, le plus souvent, déchiffrer les données compromises. Un agent a même déclaré : « La façon la plus simple pour sortir de la situation est peut-être de payer la rançon. »
Cependant, certains professionnels suggèrent que le fait de payer la rançon encourage les criminels à attaquer de nouveau et à demander un montant plus élevé.
Dans la foulée, certaines victimes affirment avoir décidé de payer la rançon afin d’éviter que les pirates causent plus de dommages en représailles.
La communauté informatique en général est contre le fait de payer. Dans un sondage mené auprès de la communauté Spiceworks, un réseau en ligne de professionnels de l’informatique, il y a eu une quasi-unanimité contre le paiement de la rançon.
Cette opinion était même partagée par les membres dont les réseaux avaient été infectés.
Ces victimes ont déclaré que la plupart des données étaient récupérables à partir des sauvegardes, bien qu’elles aient subi une perte de données en raison des sauvegardes ratées, non surveillées, et de la perte des données dans les 24 heures qui suivent leur dernier cycle de sauvegarde.
En effet, votre organisation a le choix de payer la rançon ou non en cas d’attaque de ransomware. Mais si vous ne disposez pas de sauvegardes non affectées, vous n’aurez pas d’autre choix que de le faire.
Donnez plusieurs options à votre organisation
Il y a beaucoup de mesures que vous pouvez adopter pour atténuer les dommages causés par une attaque de ransomware, voire pour en empêcher une de se produire ou de réussir. Inscrivez-vous à notre blog si vous souhaitez recevoir notre prochain article directement dans votre boîte de réception.
