Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Comment protéger votre réseau contre les ransomwares ?

juin 2015 par Pierre Poggi, Country Manager France de WatchGuard

Disparaissez, Liam Neeson, le kidnapping est tellement ‘has been’. Le cyber kidnapping est la nouvelle menace, et même si le fait d’avoir vos données détenues contre rançon ne sera pas le sujet du prochain film à succès, il s’agit aujourd’hui d’une préoccupation majeure pour les professionnels de l’informatique.

Les ransomwares – ces logiciels de racket en ligne qui verrouillent les ordinateurs à distance, existent sous une forme ou sous une autre depuis plus de vingt ans, mais leurs activités ont explosé ces dernières années. La raison en est simple : les consommateurs et les entreprises sont plus dépendants que jamais des données qui résident uniquement sur leurs ordinateurs. Que ces données prennent la forme de photos de famille, de fichiers musicaux, de déclarations d’impôts, ou de fichiers ou programmes critiques dans les entreprises, les utilisateurs sont prêts à payer pour les récupérer, faisant des ransomwares un levier très lucratif pour des criminels.

Finies les lettres de demande de rançon – Comment fonctionnent les ransomwares ?

Les ransomwares se propagent généralement comme beaucoup d’autres types de malwares – lors d’une simple navigation sur internet, par des emails ou des spams de phishing qui comportent des attachements ou des liens vers des sites de téléchargement ou des botnets. Une fois que l’utilisateur a cliqué innocemment sur le mauvais lien, le ransomware prend le contrôle de l’ordinateur infesté, généralement en employant des méthodes sophistiquées de cryptage pour verrouiller l’accès à des fichiers ou des programmes. Le ransomware communique alors des instructions pouvant inclure un compte à rebours et des sommes à payer de plus en plus élevées au fur et à mesure que le temps passe.

Les ransomwares ont évolué, et de nouvelles variantes ciblent aujourd’hui un large éventail de types de données – comprenant des documents, des photos et même des programmes très spécialisés tels que des fichiers SCADA ou de CAO, et peuvent proliférer via un réseau vers des sites de partage et de stockage de documents en ligne. Les ransomwares ont même investi les mobiles. Ils sont apparus en mai 2014 via Find My iPhone, et des indices montrent que les mobiles sous Android, dont la boutique d’applications est moins restrictive que celle d’Apple, sont également de plus en plus ciblés.

Tendances d’évolution des ransomwares

- Cryptent une plus grande variété de types de fichiers.
- Recherchent des fichiers partagés ou dans le cloud.
- Utilisent des clés de cryptage puissantes et sophistiquées (RSA-4096)
- Sont plus efficaces dans la suppression des fichiers originaux et des sauvegardes.
- Utilisent des technologies évasives : transformation et cryptage des malwares, téléchargement par étapes.
- Ajoutent des fonctions additionnelles telles que des vols de BitCoin.
- Renforcent leur anonymat via l’utilisation intensive du P2P et de Tor. Des modèles Freemium offrent des accès illimités gratuits mais exigent un paiement pour un accès complet.
- Les demandes de rançon s’accroissent au fur et à mesure que le temps passe.

Se défendre contre les ransomwares – même si vous n’êtes pas le héros d’un film d’action –
Si vous avez été infesté par un ransomware, le compte à rebours a commencé. Donc énumérons les moyens de se protéger contre cet insidieux malware, en commençant par les mesures préparatoires et les techniques de prévention, avant d’aborder les moyens d’y répondre, au cas où vous, ou quelqu’un qui vous est cher, devienne une victime.

3…. Préparation

Si vous avez peur d’un kidnapping, vous faites tout ce qui est en votre pouvoir pour éviter de vous mettre, vous ou vos proches, dans des situations potentiellement dangereuses. La même chose est vraie pour le cyber kidnapping. Un ransomware se diffuse de manière identique à celle de la plupart des malwares, en utilisant des emails de phishing ciblés, des spams avec des attachements ou des liens vers des sites de téléchargement.

Les professionnels de l’informatique doivent régulièrement former les utilisateurs à l’identification des emails dangereux et à l’adoption des bonnes pratiques de navigation web, afin de les aider à éviter la face sombre d’Internet.

Tout comme réparer une fenêtre cassée ou un verrou fait partie de vos priorités pour rester en sécurité chez vous, vous devez également maintenir à jour les défenses des ordinateurs de votre entreprise. Beaucoup de vulnérabilités exploitées par les attaquants sont trop anciennes, donc si vous gardez vos systèmes constamment à jour, vous aurez moins de chances d’être attaqués.

Plus important encore pour les ransomwares, la sauvegarde des fichiers et des données a une importance critique. Simplifiez et automatisez vos systèmes de sauvegarde afin qu’ils soient systématiquement utilisés. Créez des partitions de données avec une sauvegarde automatisée, et utilisez des sauvegardes cryptées et offline pour vos fichiers critiques pour vous protéger contre les ransomwares ciblant les fichiers partagés en réseau.

2…. Prévention

La bonne nouvelle est que les fournisseurs de solutions de sécurité réseau traquent les ransomwares comme tous les autres types de malwares, et en conséquence les antivirus de dernière génération en arrêteront quelques-uns. La mauvaise nouvelle est que 88% des malwares transforment leur apparence pour passer au travers des antivirus basés sur des signatures, et de ce fait même les outils les plus récents peuvent fort bien ne pas fonctionner contre des ransomwares pendant quelques semaines après leur apparition. Vous avez donc besoin de solutions de protection avancée contre les menaces pour traiter les malwares qui se transforment et dont la signature n’a pas encore été décelée. Plutôt que de dépendre uniquement de signatures, un système de protection avancée contre les menaces utilise un « bac à sable » virtuel où les fichiers suspects peuvent être scannés et leur comportement analysé afin d’identifier même les ransomwares zero day. Certains « bac à sable » sont même capables de vaincre des malwares sophistiqués qui intègrent du code leur permettant de détecter des sandboxes.

1…. Répondre

Malgré toutes vos mesures préparatoires et préventives, des individus malfaisants peuvent toujours infiltrer vos systèmes. Ne désespérez pas. Tout héros de film d’action digne de ce nom conserve toujours quelques tours dans son sac. Une fois qu’un ransomware aura infiltré votre système, il devra probablement « appeler à la maison » pour obtenir la clé publique ou privée nécessaire pour encrypter vos fichiers. Si vous pouvez détecter et empêcher ce malware d’appeler sa base, vous pourrez déjouer l’attaque. Les filtres URL sont typiquement utilisés comme un outil de productivité pour les entreprises afin d’éviter que les employés n’accèdent à des sites inappropriés ou non liés à leur travail, mais une des fonction les plus sous-estimées de produits tels que WebBlocker de WatchGuard est leur capacité à bloquer également des catégories de sites malicieux tels que des botnets et des centres de contrôle et de commande de menaces avancées.

Malheureusement, de nouvelles variantes de malware de cryptage peuvent fonctionner totalement off line. Toutefois, même si vos données sont bloquées, la messe n’est pas dite. Connaissez votre ennemi. Dans de nombreux cas, identifier un ransomware peut vous aider à la vaincre (BleepingComputer.com est une excellente ressource).

Commencez par télécharger un scanner antivirus qui va s’implanter en mode non-connecté sur votre disque dur et le scanner. Quelques ransomwares bloqueurs d’écran peuvent être éradiqués de cette façon. Dans d’autres cas, des ransomwares plus anciens peuvent avoir un cryptage imparfait que certains outils peuvent casser. De plus, d’autres ransomwares de première génération n’écrivent pas par-dessus les fichiers, donc vous pourrez être capable de trouver les « volumes cachés de Windows ou utiliser des logiciels annulant les effacements pour récupérer certains fichiers. D’anciennes variantes de Cryptolocker ont également été craquées, et des clés privées sont disponibles sur des sites tels que DecryptCryptolocker.com.

Le temps est écoulé

Si le pire se produit, réfléchissez-y à deux fois avant de payer une rançon. Perdre des fichiers importants peut être extrêmement dommageable, mais plus les gens paient, plus les ransomwares deviennent une option intéressante pour les criminels. Les ransomwares, comme n’importe quel autre type de malware, sont diffusés via un grand nombre de vecteurs, donc utilisez des moyens de défense en profondeur tels qu’un firewall de nouvelle génération ou un boîtier UTM, qui vous aideront à mieux vous préserver des attaques.




Voir les articles précédents

    

Voir les articles suivants