Connaître son ennemi est la première étape pour stopper le processus d’encryptage le plus tôt possible afin de minimiser les dommages.
Utilisant les dernières techniques de social engineering (ingénierie sociale) et des algorithmes de cryptographie très puissants, le ransomware est capable d’encrypter les fichiers d’un utilisateur sur un système local ou un réseau partagé pour prendre en otage des données. Ce genre d’attaque est de plus en plus sophistiquée et évolue en permanence. Mais il y a certaines démarches que les entreprises peuvent mettre en œuvre pour réduire les risques de se retrouver victime d’une attaque par ransomware.
Bien que ces attaques ne fonctionnent pas toutes de la même manière, elles ont tout de même en commun certaines caractéristiques. Connaitre l’ennemi est le premier pas pour stopper le processus d’encryptage le plus tôt possible et minimiser les dommages.
Pour déclencher une attaque par ransomware, un utilisateur à juste besoin d’ouvrir ou d’accéder involontairement à un fichier .exe malveillant via un site web corrompu, un e-mail infecté ou une autre source de malware. A partir de ce moment, l’attaque par demande de rançon est déclenchée.
A la différence des autres malwares, l’attaque crypto-ransomware peut s’exercer indépendamment des défenses classiques d’un réseau et encrypter automatiquement les données.
Une fois activé et stocké dans le système informatique de la victime, le ransomware déclenche une connexion SSL avec le serveur de l’attaquant et génère une clé publique-privée pour encrypter les fichiers de sa victime.
Le logiciel malveillant peut ensuite scanner tous les fichiers ayant des extensions spécifiques (typiquement .doc, .xlsx, .ppt, .pdf) qui se trouvent dans le système local, dans le cloud et dans les disques durs de back-up de la victime. Les documents sont copiés et encryptés ; puis les fichiers originaux sont supprimés.
Toutefois, une attaque par ransomware ne peut pas encrypter toutes les données en une seule fois. On estime que la vitesse d’encryptage est de l’ordre de 1 000 fichiers par minute.
Lorsqu’un utilisateur essaye d’ouvrir un fichier encrypté, une fenêtre s’ouvre alors, avec des instructions pour payer une rançon afin de débloquer les fichiers verrouillés. Une deadline est également donnée, menaçant de détruire les données si la rançon n’est pas payée dans les temps.
L’une des dernières variantes des attaques crypto-ransomwares se nomme Petya, découverte en mars 2016. Au lieu d’encrypter les fichiers un par un, Petya demande des accès privilégiés d’administrateur puis réécrit le MBR (master boot record, ou disque principal d’initialisation) du système infecté, bloquant ainsi le lancement de Windows et l’accès au système.
Si Petya ne réussit pas à obtenir les droits administrateur, le malware lance alors l’installation de Mischa, un ransomware standard qui est capable d’évoluer sans les droits d’accès de l’administrateur.
Stratégie de protection à plusieurs niveaux
Il existe au moins 6 actions clés qui permettent aux entreprises de se protéger de manière efficace contre les intrusions des ransomwares.
1. Bloquez le ransomware aux portes du système
L’utilisation de solutions de filtrage des spams et d’ad-blocking mettent votre infrastructure IT à l’abri du ransomware. Assurez-vous également que vos ordinateurs affichent les extensions cachées de manière à rendre visibles les fichiers exécutables.
2. Installez des solutions anti-malware à jour
Les antivirus traditionnels peuvent ne pas être en mesure de détecter les attaques crypto-ransomwares. Pour renforcer vos défenses, veillez à choisir un anti-virus et un anti-malware qui se basent sur le comportement de l’utilisateur plutôt que des applications basées sur les signatures.
3. Limitez l’accès aux datas
Puisque ces attaques peuvent voler n’importe quel fichier auquel le compte utilisateur infecté a accès, limitez le plus possible la surface d’attaque en contrôlant de manière rigoureuse les permissions, mais aussi détecter et supprimer tous les droits d’accès non justifiés.
4. Analysez l’activité de vos utilisateurs
Afin de détecter rapidement une attaque crypto-ransomware et pouvoir prendre des mesures le plus rapidement possible, mettez en place une solution d’analyse du comportement de vos utilisateurs qui vous permettra de détecter une activité inhabituelle. Assurez-vous d’avoir une visibilité sur tous les demandes d’accès aux fichiers, celles qui ont été fructueuses mais aussi celles qui ont échoué, ainsi que toutes les modifications de fichiers, dossiers, serveurs, et documents partagés.
5. Soyez prêt à restaurer à partir d’un backup
Utilisez un logiciel de backup qui permet le minimum – voire pas du tout – de points/délai de récupération. Egalement, sauvegardez tous vos fichiers importants sur un système offline.
6. Formez vos équipes
Assurez-vous que vos équipes comprennent bien les règles et bonne pratiques indispensables en matière de sécurité informatique afin de minimiser les risques d’infection par des attaques crypto-ransomwares.
Mettre en place une défense efficace contre les ransomwares est un véritable challenge. L’un des éléments clé du succès est d’avoir une visibilité totale sur absolument tout ce qui se passe sur votre infrastructure IT. Ces attaques évoluent en permanence, il est donc vital d’être capable de mettre en œuvre des contrôles rigoureux sur les droits et autorisations, sur l’environnement IT local et dans le cloud.
Connaitre dans les moindres détails ce qui se passe permet de prendre les meilleures décisions, mais aussi d’identifier une menace avant qu’elle n’ait un impact.