Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Wannacry, Petya … que faut-il faire pour se prémunir et éviter les dommages liés aux ransomwares ?

août 2017 par Gonzague Dupont, Manager, DACH & Southern Europe chez Zerto

Récemment, une nouvelle cyberattaque nommée Petrwrap (petya) - rappelant le mode d’action du rançongiciel WannaCry, qui avait défrayé la chronique au mois de mai dernier - a frappé beaucoup d’entreprises et institutions dans le monde entier. Plus inquiétant, le virus a réussi à pénétrer le système informatique de la centrale nucléaire de Tchernobyl, en Ukraine. Se protéger contre ces ransomwares et éviter ses conséquences potentiellement désastreuses devient une nécessité pour chaque organisation IT.

CryptoLocker, CTB-Locker, CryptoWall, Locky, et les autres…
Ces logiciels malveillants sont conçus pour accéder et chiffrer des données et des fichiers en générant une paire de clés privée/publique. Les données sont impossibles à décrypter sans la clé privée, qui est généralement stockée sur le serveur du cyber-attaquant, jusqu’à ce que la rançon soit payée. Malheureusement, dans de nombreux cas, même la rançon payée, les attaquants ne fournissent pas la clé de décryptage, laissant les victimes impuissantes. Les menaces de ransomwares ont commencé fin de 2013 avec l’émergence de CryptoLocker. Des imitations de cette famille de ransomwares et de beaucoup d’autres sont apparues comme CTB-Locker, CryptoWall, TorrentLocker et plus récemment, Locky et TeslaCrypt. Ces ransomwares visent tous à faire la même chose : extorquer de l’argent aux victimes en échange du décryptage de leurs données et fichiers.

Ces attaques représentent des dangers considérables :

Ils utilisent des techniques très intelligentes pour contourner les logiciels de sécurité. Cela entraîne souvent la création de « Malware Zero-Day », c’est-à-dire que le cheval de Troie sera inconnu pour les experts de la sécurité et ne sera donc pas identifié comme un risque.

Les experts en sécurité estiment que les données chiffrées ne sont pas récupérables. Nombre de victimes signalent que la clé de décryptage n’est pas fournie même si la rançon a été payée, il n’est donc pas recommandé de céder à la demande des cyber-attaquants.

Grâce à l’utilisation du réseau Tor et des monnaies virtuelles telles que Bitcoin, les pirates sont en grande partie introuvables par les agences de sécurité.
L’utilisation du réseau Tor a également permis aux cybercriminels d’offrir des modèles de Ransomware-as-A-Service (RaaS), ce qui signifie que les cybercriminels moins expérimentés pourront également tirer parti de ces attaques.
Les attaques de cybercriminels se tournent de plus en plus vers le monde de l’entreprise. En effet, les entreprises comptent tout particulièrement sur leurs systèmes d’information pour fonctionner et les cyber-attaquants les considèrent susceptibles de payer un montant très élevé pour déchiffrer leurs données.

Pour se protéger et éviter les dommages de cyberattaques au ransomware, que faut-il faire à l’avenir ?

Les Ransomwares peuvent proliférer de nombreuses façons, soit par le biais de sessions Web, de mails et de leurs pièces jointes, de fichiers sur des périphériques USB ou de tout autre périphérique qui pourrait être utilisé dans le cadre d’une politique BYOD.
En sécurisant les points d’entrée dans le réseau, le risque d’infection peut être réduit. Les méthodes simples telles que le filtrage du trafic Web, la numérisation des pièces jointes, le cloisonnement des réseaux BYOD et le blocage de l’accès Web sur les VMs devraient tous être considérés comme des cas d’usages.
L’éducation et la formation des utilisateurs pour comprendre les dangers et reconnaître ce qui devrait ou ne devrait pas être consulté sont essentielles pour prévenir cette infection initiale. Malgré l’erreur humaine, il faut s’assurer que l’antivirus et les logiciels de sécurité appropriés soient en place et à jour.

Il est aussi important de vérifier les fichiers partagés, de restreindre les utilisateurs inutiles - ne pas donner aux personnes un accès à des données dont elles n’ont pas besoin. Assurez-vous également qu’il existe des règles de pare-feu entre les différents serveurs et composants, verrouillez uniquement l’accès aux ports que l’application requiert.
À mesure que les cybercriminels utilisent de plus en plus des méthodes d’attaques intelligentes, le besoin de protection des données devient de plus en plus crucial. Les solutions traditionnelles de sauvegarde et de protection des données peuvent offrir un certain degré d’assurance, mais une quantité inévitable de perte de données et de temps d’arrêt peuvent avoir un coût exorbitant pour l’entreprise.
Une fois qu’une organisation devient la victime malheureuse d’une attaque de Ransomware, les fichiers sont verrouillés et la dernière sauvegarde peut aussi bien dater de la nuit dernière, de la semaine dernière, que du mois dernier. Combien de données peuvent avoir disparu ? Quel est le coût pour une entreprise ? Combien de temps cela prendra-t-il à une société pour redevenir opérationnelle ?
Les crypto-virus créés sont souvent nouveaux pour les experts en sécurité (définis comme "Malware Zero-Day") et peuvent donc contourner tous les systèmes de sécurité mis en place. Un grand nombre d’infections par ransomware se produisent dans des entreprises qui ont suivi certaines, voire toutes les pratiques citées ci-dessus. Dans de tels cas, un plan de reprise après sinistre est nécessaire pour permettre la récupération totale des informations et données.
Cela ne s’applique pas uniquement dans le cas d’une attaque de ransomware : un changement de hardware ou de stockage (consolidation des datacenters, déménagements), une migration vers le Cloud, une défaillance matérielle, les conditions météorologiques, ou encore une erreur humaine, peuvent avoir un impact similaire.

La meilleure stratégie pour limiter les risques est d’implémenter une solution de sécurité et de l’accompagner d’une solution de PRA/PCA permettant d’effectuer une restauration à tout point dans le temps et ainsi d’éviter des dommages importants. La reprise après sinistre offre aux entreprises la confiance de pouvoir surmonter toute interruption, la capacité d’intégrer facilement de nouvelles technologies et la possibilité de s’adapter rapidement à l’évolution des priorités de l’IT. Avec une meilleure préparation, se prémunir contre de telles attaques devrait n’être qu’un vague souvenir…


Voir les articles précédents

    

Voir les articles suivants