15 décembre 2020

Ransomware : qu'est-ce que c'est et comment m'en protéger ?

La pandémie de COVID-19 a créé un terrain fertile pour la croissance des rançongiciels. Les créateurs de virus utilisent souvent des problèmes de forte anxiété pour attirer les gens dans une attaque. Le passage au travail à distance en raison des restrictions de distanciation sociale aggrave également la situation. Rapport Q2 sur les ransomwares de Coveware a vu une augmentation de 60 % de l'attaque par rapport au premier trimestre. La surveillance de Trend Micro a montré que les cybermenaces qui utilisaient le virus comme leurre avaient augmenté de façon exponentielle en septembre.

Il n'est donc pas surprenant que nous ayons assisté à une augmentation des attaques très médiatisées. Malheureusement, tout le monde n'a pas le ressources et le savoir-faire interne dont dispose Tesla. Translink, l'organisme de transport de Metro Vancouver, a récemment confirmé avoir été victime d'une attaque de ransomware. Ils ont rejoint les rangs de K-Mart, Barnes & Noble et Ubisoft, après avoir été attaqués par le Rançongiciel Egregor, paru en septembre 2020.

Alors, qu'est-ce qu'un ransomware exactement ?

Un ransomware est un type de logiciel malveillant, ou malware, qui pénètre dans un appareil ou un réseau et crypte de force toutes les données qu'il contient. Afin d'accéder à vos fichiers, les mauvais acteurs vous demandent de payer une rançon pour la clé de déchiffrement.

Il existe des formes de rançongiciels appelés scarewares qui semblent être des antivirussages ou faux avis d'application de la loi qui vous obligent à payer une "amende" pour les fichiers illégaux ou infectés sur votre machine. Cependant, les attaques de ransomwares d'entreprise utilisent généralement la menace de fuite des données pour obtenir le paiement des entreprises. Si vous souhaitez en savoir plus, l'Institut Infosec se penche sur le différents types de rançongiciels ici.

Souvent, les pirates exigeront un paiement en Bitcoin ou en d'autres crypto-monnaies qui sont (pratiquement) impossibles à tracer. Certains peuvent essayer d'extorquer les détails de la carte de crédit pour ajouter une autre couche de perte financière.

Il est important de se rappeler que, notoirement, il n'y a pas d'honneur parmi les voleurs. Il n'y a aucune garantie qu'une fois la rançon payée, vous obtiendrez une clé de déchiffrement fonctionnelle. Une enquête de Datto a révélé que 25% des personnes interrogées qui ont payé des rançons n'avaient pas leurs données déverrouillées.

Qui les hackers attaquent-ils ?

La réponse courte : tout le monde. Les petites escroqueries visent à extorquer quelques centaines de dollars à des utilisateurs qui ne sont pas au courant. Cependant, les attaques d'entreprise ont un bien meilleur retour sur investissement. Certaines industries sont plus ciblées.

• An on estime que 45 % des attaques de rançongiciels étaient dirigées contre des organisations de santé, où la perte d'accès est une question de vie ou de mort. Par la même occasion, 85 % des infections par des logiciels malveillants dans les organisations de soins de santé sont des rançongiciels.
• Les institutions financières et les cabinets d'avocats sont également des cibles populaires, car l'analyse coûts-avantages tourne souvent en faveur du paiement de la rançon.

Norton a noté que,

« Les cybercriminels recherchent les paiements les plus importants, ce qui signifie qu'ils ciblent les personnes morales. Cela implique en partie de se concentrer sur le Royaume-Uni, les États-Unis et le Canada en raison d'une plus grande richesse et de l'utilisation d'ordinateurs personnels.

Comment infectent-ils les machines ?

Comme pour la plupart des formes de logiciels malveillants, l'erreur humaine est le coupable le plus probable de l'infection. De nombreuses attaques de rançongiciels commencent par un simple schéma de phishing. Ces derniers temps, notamment, bon nombre de ces escroqueries par hameçonnage se nourrissent de la peur entourant le COVID-19. 

Les pare-feu, les versions système et logicielles obsolètes laissent souvent des trous qui facilitent l'accès des attaques par force brute aux machines et aux réseaux.

Les configurations de travail à distance augmentent également les vulnérabilités à travers des réseaux mal sécurisés et des frontières plus souples entre l'utilisation personnelle et professionnelle des machines.

La hausse des Les appareils Internet des objets ont également révélé certaines vulnérabilités. Lors de la récente attaque de Translink, les pirates ont pu prendre le contrôle des imprimantes en réseau et leur demander d'imprimer la note de rançon en continu tout au long de l'attaque.

Que faire si vous êtes attaqué par un ransomware

• Déconnectez votre appareil d'Internet. Cela arrêtera toute communication entre votre ordinateur (infecté) et le serveur d'un pirate. Il peut potentiellement arrêter la propagation du malware.
• Ensuite, si vous utilisez un ordinateur appartenant à votre organisation, vous devez contacter votre équipe informatique. Faites-leur savoir que c'est urgent. Sauf si vous êtes un expert, n'essayez pas de supprimer le virus. Si le virus est supprimé, vous perdez la chance d'obtenir la clé de déchiffrement. Si la fuite de données est la menace, c'est une possibilité lors de la suppression du logiciel.
• Ne vous connectez à aucun service si vous pensez que votre ordinateur est infecté.
• Ne payez pas la rançon. Il n'y a aucune garantie qu'il vous rendra vos données.

Conseils pour rester en sécurité

Alors que les pirates ont trouvé de nombreuses façons d'infecter les systèmes informatiques, un programme de sauvegarde d'entreprise est le premier et le meilleur moyen de se remettre d'une attaque. Mais ce n'est pas le seul moyen d'atténuer les dégâts.

Technologie:

• Assurez-vous que votre antivirus est à jour et en cours d'exécution – arrêtez d'ignorer l'alerte de mise à jour qui s'affiche ;
• Envisagez d'ajouter un logiciel de liste blanche qui empêchera les applications non autorisées de démarrer ;
• Utilisez les réseaux privés virtuels (VPN) pour fournir aux employés distants un canal sécurisé vers les systèmes de l'entreprise ; 
• Surveillez, mesurez et enregistrez méticuleusement les données du réseau. C'est le bon moment pour investir dans des mises à niveau de détection des menaces ;
• Définissez des restrictions sur les données qui peuvent et ne peuvent pas traverser le VPN. Par exemple, des données très sensibles peuvent être transférées de manière plus sécurisée par appel vocal ;
• En état sauvegarde et reprise après sinistre (BDR); et
• Vérifiez que les sauvegardes fonctionnent correctement et sont stockées en toute sécurité hors du réseau.

Personnes:

• Entraînez-vous, recyclez et entraînez-vous encore. Les meilleures pratiques en matière de cybersécurité doivent être communiquées clairement et fréquemment à votre personnel. Une formation sur les techniques de phishing courantes et l'étiquette des mots de passe peut vous aider à renforcer vos défenses ;
• Insistez sur l'importance de ne pas utiliser d'ordinateurs personnels pour accéder aux fichiers de travail ;
• Activer l'authentification multifacteur pour tous les systèmes en cours d'utilisation ; et
• Digital Guardian suggère de garantir un accès approprié basé sur des informations d'identification. "Le chiffre d'affaires, l'échec de la mise à jour des mots de passe et des restrictions inappropriées peuvent entraîner des probabilités d'attaque encore plus élevées à ces points." (la source) Cela devrait être en place dans tous les systèmes pour éliminer la possibilité pour les acteurs malveillants d'accéder à d'autres systèmes, comme votre sauvegarde.

Beaucoup de choses jettent de bonnes bases pour les attaques de ransomwares. Les fluctuations des taux de crypto-monnaie, par exemple, peuvent entraîner davantage d'attaques. La pandémie mondiale de coronavirus a également ouvert de nombreuses portes à des attaques à grande échelle. Vigilance, formation des employés, mises à jour rapides de tous les systèmes critiques, sauvegardes décentralisées appropriées et plan BDR hermétique sont votre meilleure forme de défense contre ce genre d'attaque. Si vous ne disposez pas des ressources en interne, envisagez de vous associer à un MSP qui peut vous aider à rester en sécurité. Notre équipe peut vous aider. 

Nous avons créé ce document utile avec certains de nos meilleurs conseils pour la cybersécurité. Nous vous recommandons de l'envoyer à vos employés pour qu'ils la conservent comme ressource de bureau.