Alliancy

[Tribune] Payer ou ne pas payer ? Prévention et gestion des attaques par ransomware

Le nombre hebdomadaire moyen d’attaques par ransomware a augmenté de 93 % au cours des 12 derniers mois. Une prévention et gestion des attaques par ransomware selon Philippe Rondel, Senior Security Architect, South Europe chez Check Point Software.

Philippe Rondel, Senior Security Architect, South Europe chez Check Point Software

Philippe Rondel, Senior Security Architect, South Europe chez Check Point Software

Dans le monde, ce sont plus de 1 200 organisations qui sont victimes chaque semaine d’une attaque par ransomware, et toutes sont à risque, sans exception. D’après les données de Cybersecurity Ventures, les dommages causés par les rançongiciels atteindront environ 20 milliards de dollars cette année, soit 57 fois plus qu’en 2015. D’ici 2031, le coût des incidents liés aux ransomwares pourrait même dépasser le chiffre impressionnant de 265 milliards de dollars.

Le nombre d’attaques augmente pour une raison simple : les pirates y gagnent de l’argent. La volonté d’être payé crée une spirale dangereuse et accentue la motivation des hackers. De plus, souscrire à une assurance contre les cyberrisques étant de plus en plus courant, les entreprises n’hésitent plus à répondre aux exigences des cybercriminels, ce qui ne fait que renforcer le problème.

L’augmentation des attaques est également liée à la disponibilité des menaces. De nombreux groupes de cyberpirates proposent des ransomwares sous forme de service, de sorte que tout le monde peut « louer » ce type de menace, y compris son infrastructure, la négociation avec les victimes ou les sites d’extorsion où les informations volées peuvent être publiées. La rançon est ensuite répartie entre les «  associés ».

À lire aussi : Accenture victime d’un ransomware, une menace grandissante

Pourtant, une attaque par ransomware ne commence pas forcément par un ransomware. Elle commence souvent par un « simple » e-mail de phishing. De plus, les groupes de hackers agissent ensemble. Pour les attaques de Ryuk, le malware Emotet a été utilisé pour infiltrer le réseau, avant de laisser la place à Trickbot. En dernier lieu, un ransomware a crypté les données.

D’autre part, les cybercriminels perfectionnent constamment leurs techniques pour intensifier la pression sur les victimes et exiger le paiment de la rançon. À l’origine, les rançongiciels cryptaient « simplement » les données et demandaient une rançon pour les déverrouiller. Les pirates ont rapidement ajouté une deuxième phase en substituant des informations précieuses avant le cryptage, tout en menaçant de les rendre publiques si la rançon n’était pas payée. Environ 40 % de toutes les nouvelles catégories de ransomware ont recours au vol de données d’une manière ou d’une autre, en plus du cryptage. Mais une une troisième phase a été repérée, où les partenaires, les clients ou les journalistes sont également contactés.

Il est recommandé de suivre les étapes suivantes lorsqu’une attaque se produit :

1) Garder la tête froide

Lorsqu’on est victime d’une attaque par ransomware, il est avant tout important de ne pas paniquer. Il faut immédiatement prévenir son équipe de sécurité et prendre une photo de la demande de rançon, elle servira aux forces de l’ordre et à la poursuite de l’enquête.

2) Isoler les systèmes compromis

Déconnecter immédiatement les systèmes infectés du reste du réseau est important pour éviter d’autres problèmes. En même temps, il faut identifier la source de l’infection. Bien sûr, comme mentionné précédemment, une attaque par ransomware commence généralement par une autre menace, et les pirates sont peut-être dans le système depuis longtemps, couvrant progressivement leurs traces, de sorte que détecter le « patient zéro » n’est pas nécessairement quelque chose que la plupart des entreprises sont en mesure de faire sans aide extérieure.

3) Gare aux sauvegardes

Les malfaiteurs savent pertinemment que les entreprises tenteront de récupérer leurs données dans des sauvegardes pour éviter de payer la rançon. C’est pourquoi l’une des phases de l’attaque consiste souvent à tenter de localiser et de chiffrer ou effacer les sauvegardes. De même, ne jamais connecter de terminaux externes à des appareils infectés.

La récupération de données cryptées peut provoquer une détérioration, en raison d’une clé défectueuse par exemple. Il peut donc être utile de faire des copies des données cryptées. Des outils de décryptage sont également progressivement mis au point et peuvent aider à déchiffrer des codes jusqu’alors inconnus. Si une entreprise a conservé des sauvegardes qui n’ont pas été cryptées, elle doit vérifier l’intégrité des données avant de procéder à une restauration complète.

4) Pas de reboot ou de maintenance du système

Il est impératif de désactiver les mises à jour automatiques et autres activités de maintenance sur les systèmes infectés. La suppression des fichiers temporaires ou d’autres modifications pourraient compliquer inutilement les enquêtes et les mesures correctives. Dans le même temps, il ne faut pas redémarrer les systèmes, car certaines menaces peuvent alors commencer à supprimer des fichiers.

5) Coopérer

Dans la lutte contre la cybercriminalité, et les ransomwares en particulier, la collaboration est essentielle. Il faut contacter les forces de l’ordre et les cyberautorités nationales, et ne pas hésiter à contacter l’équipe de réponse aux incidents d’une entreprise fiable de cybersécurité. Il est également important d’informer les employés de l’incident et de leur communiquer des instructions sur la façon de procéder en cas de comportement suspect.

6) Identifier le type de ransomware

Si le message des cybercriminels ne précise pas directement de quel type de ransomware il s’agit, des informations peuvent être trouvées sur le site internet du projet No More Ransom, ou via un outil de décryptage adapté au ransomware concerné.

7) Payer ou ne pas payer ?

Si l’attaque par ransomware aboutit, l’organisation est amenée à choisir de payer ou non la rançon. Dans un cas comme dans l’autre, les entreprises doivent toujours revenir au point de départ et chercher à déterminer pourquoi l’incident s’est produit. Que la défaillance soit due à des facteurs humains ou à la technologie, il vaut mieux passer en revue tous les processus et repenser l’ensemble de la stratégie pour faire en sorte qu’un incident similaire ne se reproduise jamais. Il est nécessaire de passer par ce cycle, indépendamment du fait que l’on paie ou non. On ne peut jamais se reposer sur le fait que des données ont été récupérées d’une manière ou d’une autre et considérer que l’incident est clos.

Comment peut-on limiter le risque d’être la prochaine victime d’un ransomware ?

1. Être très vigilant pendant les weekends et en période de vacances. La plupart des attaques par ransomware de l’année dernière ont eu lieu pendant les week-ends ou les vacances, à un moment où les entreprises sont plus susceptibles d’être plus lentes à réagir à une menace.

2. Programmer régulièrement les mises à jour et les correctifs. WannaCry a durement frappé les organisations du monde entier en mai 2017, infectant plus de 200 000 ordinateurs en trois jours. Pourtant, un correctif pour la vulnérabilité exploitée EternalBlue était disponible un mois avant. Les mises à jour et les correctifs s’installent immédiatement et automatiquement.

3. Installer un anti-ransomware. La protection contre les logiciels rançonneurs surveille toute activité inhabituelle telle que l’ouverture et le cryptage d’un grand nombre de fichiers. Si l’anti-ransomware détecte un comportement suspect, il peut réagir immédiatement et éviter des dégâts importants.

4. La sensibilisation est un élément essentiel de la protection. De nombreuses cyberattaques commencent par un e-mail ciblé qui ne contient pas de logiciels malveillants, mais qui utilise les réseaux sociaux. La formation des utilisateurs est donc l’un des éléments les plus importants de la protection.

5. Les attaques de ransomware ne commencent pas par un ransomware. Il faut donc se méfier des autres codes malveillants, tels que Trickbot ou Dridex, qui s’infiltrent dans les entreprises et préparent le terrain pour une attaque de ransomware ultérieure.

6. Il est essentiel de sauvegarder et d’archiver les données. Il est nécessaire de sauvegarder et de récupérer facilement et rapidement les données en cas de problème. Il est indispensable d’effectuer des sauvegardes régulières, y compris de manière automatique sur les appareils des employés, et de ne pas compter sur eux pour se souvenir d’activer la sauvegarde eux-mêmes.

7. Limiter l’accès aux seules informations nécessaires et les segmenter. Si l’objectif est de minimiser l’impact d’une attaque potentiellement réussie, il est important de veiller à ce que les utilisateurs n’aient accès qu’aux informations et aux ressources dont ils ont absolument besoin pour travailler. La segmentation réduit le risque de propagation incontrôlée des ransomwares sur le réseau. Il peut être difficile de gérer les conséquences d’une attaque par ransomware sur un seul système, mais réparer les dégâts après une attaque à l’échelle d’un réseau est beaucoup plus difficile. 

Alors, payer ou ne pas payer ? La réponse n’est pas aussi simple. Si les montants sont parfois de l’ordre de centaines de milliers voire de millions de dollars, les pannes de systèmes critiques peuvent largement dépasser ces montants. Il est important de se rappeler, néanmoins, que même si l’entreprise paye la rançon, ses données, ou même une partie d’entre elles ne seront pas pour autant décryptées. Il existe même des cas avérés où les pirates ont introduit des bugs dans les codes de sorte qu’ils ne pouvaient pas récupérer les données, même s’ils le voulaient.

De plus, céder au chantage des cybercriminels alimente leur modèle économique les amène à augmenter le montant des rançons et à multiplier leurs attaques.

Payer la rançon n’est donc pas la solution.

Quitter la version mobile