Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Comment les organisations peuvent bloquer les menaces de ransomwares de plus en plus complexes ?

juin 2017 par Ixia

Ixia livre trois principes fondamentaux pour se protéger contre les menaces grandissantes et complexes des ransomwares.

Le ransomware est devenu l’outil préféré des pirates pour gagner de l’argent. Le dernier rapport Verizon Data Breach Investigations Report (DBIR) indique que c’est le type d’attaque le plus courant. En effet, la technique qui consiste à crypter des fichiers pour demander une rançon est facile à mettre en place et aisément monnayable, en particulier avec le Bitcoin qui permet de se faire payer de façon totalement anonyme et intraçable. Les attaques ciblant les entreprises ont augmenté de 300% depuis janvier 2016, et une attaque se produit environ toutes les 40 secondes.

La dernière attaque mondiale de ransomware semble être une attaque complexe basée sur plusieurs familles de ransomwares ainsi que de multiples vecteurs. Elle a touché les entreprises du monde entier, y compris les services publics, les sociétés pétrolières, les compagnies maritimes et aériennes, les institutions financières à travers l’Europe…

Cela démontre que les organisations doivent se protéger d’attaques futures et mettre en place des mesures préventives dès aujourd’hui.

Les méthodes de propagation des ransomwares ont évolué à mesure que les cybercriminels cherchent à augmenter le nombre d’infections et à accroître leurs revenus. Les méthodes de livraison habituelles, telles qu’un fichier déjà infecté et attaché à un courriel, serraient aujourd’hui détectées et bloquées très facilement par des antivirus basics. Mais les infections de plus en plus complexes d’aujourd’hui sont spécifiquement conçues pour contourner ces défenses traditionnelles.

Les cybercriminels peuvent facilement muter et adapter le code de ransomware afin qu’il ne soit pas détecté par les logiciels antivirus. Ce n’est qu’une fois que la signature du ransomeware est identifiée et déployée à l’ensemble des bases de données virales, que les logiciels antivirus sont en mesure de les contrer. Mais ce processus peut prendre plusieurs jours pendant lesquels les organisations sont encore vulnérables, et les cybercriminels continuent d’exploiter cette situation à leur avantage.

Les cyberattaques sont de plus en plus complexes. Il semble ici s’agir d’une attaque ciblée et coordonnée qui utilise plusieurs familles de ransomwares et se diffuse via plusieurs vecteurs, ce qui lui a permis d’éviter la détection.
-  Steve McGregory Directeur principal de Application Threat Intelligence • Ixia

Selon Ixia, il existe trois principes fondamentaux dont les organisations doivent être conscientes, si elles veulent développer une résistance appropriée contre les ransomwares :

1. IDENTIFIER SON ORIGINE
L’infection par un ransomware commence par un courriel contenant une pièce jointe. Cette dernière n’est pas directement infectée mais contient une macro apparemment inoffensive qui, dès l’ouverture du document va se connecter au serveur distant de l’attaquant pour télécharger la charge utile du ransomware qu’elle va réécrire au fur et à mesure, de sorte que le contenu semble inoffensif jusqu’à ce qu’il entre réellement dans la machine hôte.

2. COMPRENDRE SON COMPORTEMENT
Cibler la protection contre les ransomwares en se focalisant sur le contenu adressé à l’organisation est une bataille perdue d’avance. Il est peu probable que les macros soient identifiées, même par des sandboxes virtualisées. En effet, leur comportement ne semble pas malveillant à l’examen et ne le devient qu’une fois sur la machine. Les organisations devraient se pencher sur les indices de provenance de l’infection plutôt que sur sa nature.

3. BLOQUER L’INFECTION
La plupart des charges sont délivrées à partir d’adresses IP malveillantes qui à cause de la pénurie d’IP sont connues et ont tendance à être continuellement réutilisées. Même s’il s’agit de nouvelles variantes de logiciels malveillants, ils peuvent être liées à un petit nombre d’adresses IP compromises. Cela signifie que si une machine tente de télécharger du contenu à partir d’une adresse IP malveillante identifiée, c’est probablement qu’elle entre dans les étapes initiales d’une attaque de ransomware. Le moyen le plus simple et le plus rentable d’éviter les attaques est donc de bloquer automatiquement toutes les connexions d’entreprise aux adresses IP malveillantes connues en utilisant un flux de renseignement de menaces mis à jour en permanence. Cela permet d’annuler toutes les nouvelles attaques, ainsi que les infections dormantes existantes.

Steve conclut que « L’attaque survenue cette semaine indique clairement que les organisations ne peuvent pas fermer les yeux sur les ransomwares. Si elles n’ont pas sauvegardé les données critiques, qui résident exclusivement sur les systèmes touchés par une attaque, les coûts pourraient être considérables, tant sur le plan financier que sur leur réputation. La perte de données de clients, les dossiers financiers et toute autre information irremplaçable pourrait rendre une organisation incapable de traiter des affaires et éventuellement laisser des lacunes permanentes dans les enregistrements. »




Voir les articles précédents

    

Voir les articles suivants