Comment vivre avec les ransomwares ?

ransomwares

J’ai été victime d’un ransomware ! Et alors ? Il va falloir apprendre à vivre avec.
Ce type d’attaque a été multiplié par 6 par rapport à 2015 et ce n’est pas fini. Même Windows est confronté à un nouveau ransomware : Fantom. Il prend la forme d’une mise à jour critique et il copie ainsi l’interface de Windows Update afin de tromper l’utilisateur.

 

L’impact des ransomwares

Alors que le nombre de cyber-attaques est en forte croissance (+51% en France en 2015), les hackers utilisent de plus en plus l’une d’elle qui s’avère redoutable par son efficacité.
Le ransomware est un programme malveillant que les pirates informatiques installent sur un ordinateur sans le consentement de son utilisateur. Dans la majorité des cas, ce dernier reçoit un mail avec une pièce jointe qui contient un virus. Dès lors qu’elle est ouverte, les fichiers de l’ordinateur sont automatiquement chiffrés et la perte de données est irrévocable. Pour y avoir accès de nouveau, il est nécessaire de payer une rançon aux pirates informatiques.

Pour contourner les logiciels de type antivirus ou pare-feu, l’utilisateur peut également être redirigé vers un site non officiel qui lui demande de télécharger un contenu spécifique. La faille ne vient plus de l’infrastructure informatique mais bien de l’humain.

Les Banques et les Établissements de santé sont appréciés des cyber-attaquants à cause de la masse importante de données confidentielles stockées. Cependant, tous les autres secteurs d’activités sont également touchés. L’indisponibilité d’un CRM, ERP, serveur ou d’une application peut engendrer des pertes considérables pour une entreprise :

  • Retard dans le traitement des commandes
  • Perte de chiffre d’affaires
  • Perte de confiance de la clientèle et dégradation de l’image de la société
  • Chômage technique
  • Recours pénaux

 

Quels sont les principaux ransomwares ?

Il en existe des dizaines. Ils utilisent une approche plus ou moins identique mais l’objectif reste le même : chiffrer des fichiers afin de demander une rançon en Bitcoins pour les récupérer.

  • 7eV3N : Ce ransomware recherche les fichiers de type DOC, JPG, PDF… à travers l’espace de stockage d’un ordinateur ou d’un serveur. Un fois trouvé, il les chiffre et les renomme.
  • CryptoWall : Il est actuellement le ransomware le plus utilisé au niveau mondial (83,45%). Cette 4ème version ne chiffre plus uniquement le contenu des fichiers qu’il a infecté mais également leur nom.
  • Cryptolocker : Il se différencie des autres en s’attaquant aux données personnelles des utilisateurs en premier ce qui le rend encore plus dangereux.
  • CTB-Locker : Originellement, on le retrouvait dans des emails de spam, très souvent sous la forme de pièces jointes au format Zip ou Cab. Aujourd’hui, il vise en particulier les serveurs Web.
  • Jigsaw : Une fois les fichiers cryptés, ce ransomware va en supprimer un nombre croissant toutes les heures jusqu’à ce que l’utilisateur paye la rançon.
  • Locky : En 2016, on assiste à une recrudescence importante de ce ransomware. Très sophistiqué, il connaît la croissance la plus rapide. Il se présente sous la forme de mails de spam avec pièce jointe.
  • Radamant : Découvert en 2015, il se propage via des sites internet compromis, utilisant un exploit dans Flash Player (CVE-2015-5560).

 

Se préparer à être attaqué

Les RSSI (Responsables de la Sécurité des Systèmes d’Information) mettent en place des outils pour protéger l’infrastructure informatique et le réseau de leur entreprise. Les logiciels de type antivirus, pare-feu, les mises à jours automatiques sont autant de moyens pour éviter d’être piraté. Ils peuvent détecter les ransomwares et indiquent aux utilisateurs les mails suspects.
Mais à cause de leur sophistication (chiffrement, autocode,…), il devient de plus en plus compliqué de détecter les nouveaux ransomwares. Les logiciels de sécurité standards doivent être constamment mis à jour ce qui entraîne une perte de temps et accroît le risque d’une erreur humaine.
Sophos montre dans ses recherches que la gestion des malwares est d’autant plus difficile que les facteurs de risque sont variés.

  • Erreur d’un collaborateur
  • Exploitation des vulnérabilités connues
  • Systèmes de sécurité mal configurés

 

Maîtriser les ransomwares

Aujourd’hui, aucune solution ne permet de se protéger à 100 % des ransomwares, il est seulement possible de minimiser au maximum leur impact. Les standards de sécurité du marché (ANSSI, OWASP, PCI-DSS) préconisent, entre autre, la réduction de vulnérabilités comme un moyen de minimiser le risque lié aux ransomwares.

Elastic Detector va permettre de vérifier que la sécurité est optimale. D’une part, il va détecter les vulnérabilités susceptibles d’être exploitées par les attaquants, ce qui va réduire leur champ d’action et d’autre part, il va vérifier que les outils de sécurité sont bien configurés (Antivirus, Pare-feu, Antimalware, back-up,…). Enfin, notre solution intègre également un moteur de détection de malware qui informera automatiquement le RSSI de toute nouvelle attaque afin de la stopper. Ce dernier n’aura plus qu’à automatiser des sauvegardes puis les restaurer.

Sergio Loureiro, PDG et co-fondateur de SecludIT

La combinaison des outils de protection et les sauvegardes est la seule solution pour maîtriser l’impact des ransomwares. Pour faciliter la gestion de ces outils et évaluer leur efficacité, SecludIT fournit des plans d’action et des indicateurs de risque de l’entreprise en temps réel.

Leave a Reply