Ransomwares : que faire ?
Ce type d’attaque occupe le devant de la scène et semble inarrêtable tant les cas de réussites sont importants. Malgré les mises en garde et les conseils, les entreprises sont encore victimes. Alors, que faire ?
Les attaques de rançongiciels ( ransomwares) deviennent de plus en plus virulentes et leurs conséquences de plus en plus graves. Très récemment une personne est décédée à Dusseldörf, en Allemagne, du fait que l’hôpital qui devait l’accueillir en urgence était sous le feu d’une attaque de ce type. Elle a succombé lors du transfert vers un autre hôpital à 30 kilomètres de là. La plupart des attaques de ce type n’ont pas de conséquences aussi dramatiques mais elles deviennent endémiques du fait des rançons récoltées. Selon une étude réalisée pour le compte de Crowdstrike, un éditeur de solutions de sécurité, 39 % des victimes paient la rançon, un chiffre en forte augmentation, malgré les recommandations unanimes de ne pas payer. Ce sont pourtant des rançons à 6 chiffres qui sont demandées. Certaines sources indiquent que Garmin aurait été jusqu’à payer 10 M$ pour retrouver ses données. Selon le FBI, ce seraient 140 M$ qui auraient été ainsi récoltés par les auteurs de ces attaques depuis six ans. Un joli matelas pour perpétrer des crimes qui valent des peines de prison relativement légères et un investissement modeste.
Un écosystème fort
Avec de tels moyens récoltés il n’est pas étonnant que les attaquants aient industrialisé leurs méthodologies qui reposent sur un écosystème puissant. Laurent Maréchal, chez Mcafee, pointe la professionnalisation des cybercriminels qui ont entamé depuis des années les évolutions et la sophistication des modes d’attaques. Loïc Guézo, de Proofpoint renchérit : « Le temps du “j’entre et je chiffre”, c’est fini. Les schémas d’attaques sont de niveaux APT. Ils y ajoutent une connaissance pour faire pression. La sortie des données reflète aussi le manque de visibilité que les entreprises ont sur leurs opérations quotidiennes. Les données extorquées peuvent parfois réapparaître plusieurs
mois plus tard dans un contexte différent qui peut poser des problèmes. Avec les réseaux sociaux, cela peut aller vite. »
Dans ces schémas d’attaques renouvelées, vous pouvez être un porteur sain et être juste le point d’entrée du cybercriminel qui va profiter des liens ou des connexions que vous pouvez avoir avec d’autres entreprises qui sont sa véritable cible. Toutes les personnes que nous avons interrogées sur le sujet indiquent un nombre important d’attaques perpétrées par le biais d’un partenaire ou d’un prestataire mal protégé ou ayant cliqué sur une pièce jointe infectée ou ayant fait une visite sur un site web vérolé. Les e- mails et les connexions RDP du fait du travail à distance pendant la pandémie sont les vecteurs majeurs pour débuter ce type d’attaque. Bruno Leclerc, chez Sophos, ajoute : « Avoir un poste de travail avec juste des signatures antivirales c’est suicidaire. » Ivan Rogissart, chez Zscaler, met en avant les avantages des bacs à sable pour éviter les rançongiciels. Mais même cela n’est pas forcément suffisant ! Alors, que faire ? Un ensemble de bonnes pratiques peut éviter de grandes déconvenues. Elles ont été rassemblées dans un guide récent émis par l’anssi ( Agence nationale de la sécurité des systèmes d’information). Il est en libre accès sur le site de l’agence et il rappelle des notions qui peuvent sembler évidentes mais qui en réalité ne semblent pas forcément acquises dans le quotidien des entreprises, comme la sauvegarde des données sur un modèle 3/ 2/ 1 dont une sauvegarde sur un support ou un site qui ne soit pas connecté à Internet. Autre conseil martelé depuis des années : mettre constamment à jour les logiciels et systèmes ainsi que les protections antivirales, segmenter et cloisonner le réseau et le système d’information, limiter le droit des utilisateurs et les autorisations vers les applications, etc. Bref, une lecture utile pour un phénomène qui prend de l’ampleur et qui ne semble pas prêt de s’arrêter ! ✖