Ransomware : que faire face à cette menace ?

Un ransomware, ou rançongiciel en français, est un logiciel informatique malveillant, prenant en otage les données. Le ransomware chiffre et bloque les fichiers contenus sur votre ordinateur. Ensuite, il demande une rançon en échange d’une clé permettant de les déchiffrer.

La première attaque informatique de l’histoire ayant pour vocation la récupération d’une somme d’argent à la suite d’un chiffrement de donnée fût orchestrée par Joseph L. Popp, biologiste de métier, à la fin des années 80. Ce dernier, en pleine explosion du SIDA, profita de la peur générée par le virus inconnu pour diffuser des disquettes d’informations à ce sujet. La disquette, une fois insérée libérait un logiciel chiffrant les données de la victime. La rançon réclamée par Popp à l’époque était de 189 dollars.

Il faut attendre une quinzaine d’années avant que ce mode opératoire ne soit réutilisé à grande échelle par des groupes cybercriminels, majoritairement russes.

Les attaques par ransomwares se sont répandues dans les systèmes du monde entier, et principalement aux États-Unis, en Australie ou en Allemagne. Bien souvent, le ransomware s’infiltre via un « Cheval de Troie », celui-ci étant un fichier téléchargé ou reçu par email. Une fois entré dans le système, il chiffre les données et les fichiers de la victime.

La finalité est d’extorquer une somme à payer pour obtenir la clé de déchiffrage, le plus souvent par monnaie virtuelle (bitcoin), afin d’éviter toute possibilité de remonter la trace du cybercriminel.

Quelles sont les différentes méthodes d’infection des ransomwares ?

Il existe une bonne dizaine de méthodes pour effectuer une cyberattaque de type ransomware. Elles sont classées en deux types distincts :

  1. Le malware bloque l’accès aux données.
  2. Les données sont chiffrées et deviennent illisibles sans une clé de déchiffrement.

Afin de se protéger de ces menaces, il importe de comprendre leurs méthodes d’infections et de propagations ainsi que leurs différents comportements. Ainsi, Digitemis présente brièvement les manières dont ces logiciels peuvent infecter votre SI et les risques post infections qu’ils induisent.

Méthodes d’infections

L’hameçonnage par courriel (phishing)

Premier vecteur d’infection, qu’il soit issu d’une attaque à l’aveugle, impliquant l’envoi massif de courriels frauduleux, ou ciblé sur quelques personnes – souvent détentrices de hauts privilèges sur le SI, le phishing consiste à inciter au téléchargement et à l’exécution d’une charge utile sur l’ordinateur de la victime.

Les scarewares ou alarmiciels

Comme son nom l’indique, ce type de cyberattaque mise sur l’angoisse ou la peur de l’utilisateur concerné. Généralement, celui-ci reçoit un message l’avertissant d’une fausse attaque, et l’invite à télécharger le logiciel de protection payant (lequel est bien souvent le véritable malware).

Il s’agit là d’une stratégie fusionnant l’exécution d’un logiciel malveillant et la tactique d’ingénierie sociale. En effet, le scareware a bien souvent un impact néfaste limité sur votre SI, se contentant de perturber votre expérience utilisateur via l’affichage de messages alarmants, le retour monétaire provenant de l’achat de la solution proposée.

La bonne réaction dans ce cas-là est de prévenir au plus vite le service informatique de votre société.

Les différents ransomwares

Les ransomwares Lockers

Ce malware empêche l’utilisation normale des systèmes et des appareils en bloquant les fonctions de base, telles que l’utilisation du clavier et de la souris, ou en refusant les autorisations de connexion.

Bien que ce type de cyberattaque ne vise pas à endommager ou à compromettre les données, son objectif est d’extorquer de l’argent en échange du rétablissement des fonctionnalités de l’ordinateur infecté.

Les cryptolockers

Également appelé « crypto-ransomware », ou « ransomcrypt », ce type de ransomware commence par s’immiscer dans l’ordinateur cible puis accède aux fichiers de données et procède au chiffrement. C’est le type d’attaque par ransomware le plus dangereux et le plus répandu.

Les cybercriminels utilisent des algorithmes de chiffrement à clés asymétriques, impossibles à décrypter dans un temps raisonnable.  Disposer de la clé ayant servi au chiffrement est alors impératif. Même si vous parvenez à vous débarrasser du programme malveillant, vos données sont irrécupérables.

L’un des plus tristement célèbres, Wannacry, s’est répandu dans le monde entier en mai 2017, utilisant l’exploit développé par la NSA : EternalBlue. Beaucoup auraient pu l’éviter s’ils avaient simplement procédé à la mise à jour de leur version de Windows, avant son attaque !

Les Doxwares

A l’instar des ransomware de type « Crypto », les Doxwares chiffrent les données, en revanche, ces derniers procèdent également à une exfiltration des données chiffrées. L’objectif recherché pour l’équipe de cybercriminel est d’obtenir une double intimidation. Non seulement, la victime ne récupéra pas l’intégralité de ses données, mais celles-ci seront diffusées publiquement ou vendues sur le Darkweb.

Ce mode opératoire est largement répandu lorsque les cibles sont des instituts de santé, des entreprises juridiques ou tout organisme manipulant des données confidentielles.

Ce type d’attaque se multiplie en France, en particulier auprès des hôpitaux publics, souvent mal protégés. Voir l’exemple du centre hospitalier de Dax.

Comment former et sensibiliser ses employés aux ransomwares ?

La première action à mettre en place consiste à informer vos collaborateurs sur les méthodes permettant d’identifier une menace potentielle. C’est particulièrement utile pour toutes les tentatives d’attaque basées sur l’ingénierie sociale, dans lesquelles le cybercriminel mise sur la peur ou la naïveté de sa victime potentielle.

Les conseils de sécurité de Digitemis

Les conseils suivants font partie d’un ensemble de « mesures d’hygiène informatique » qui devraient être un réflexe chez tous les collaborateurs d’une entreprise. Digitemis met à votre disposition son livre blanc sur l’hygiène numérique.

1. Toujours vérifier le risque de phishing (hameçonnage)

Si vous doutez de l’origine d’un lien placé dans un message, le premier réflexe est de passer le pointeur de la souris sur le lien, sans cliquer pour l’activer. Vous verrez alors apparaître l’URL de ce lien et le nom de domaine du site qui l’a envoyé. Par exemple, pour le site des impôts en France, si le nom de domaine ne se termine pas par la séquence de caractères « impots.gouv.fr », alors c’est que vous n’êtes pas sur une adresse du site officiel des impôts. Une manière sécurisée de consulter une information est de ne pas ouvrir l’application Web via le lien, mais de se connecter sur son espace et, le cas échéant, retrouver l’information.

Si vous souhaitez tester la façon dont vos collaborateurs se comportent lors d’une tentative de phishing, Digitemis vous propose sa prestation « campagne de phishing« .

2. Toujours scanner un fichier avec son antivirus avant utilisation

Ce conseil vaut surtout pour les supports amovibles tels que les clés USB ou les disques durs externes. Ce sont les premiers vecteurs de transmission de virus informatiques entre machines, car ils échappent souvent aux firewalls et autres systèmes de protection mis en place dans le réseau d’une entreprise. De plus, hormis les contraintes métiers propres, il est fortement recommandé de bloquer les ports USB sur les machines des employé.es d’une entreprise.

Si vous souhaitez proposer un gros fichier à d’autres personnes lors d’un déplacement, privilégiez les plateformes de dépôt de fichiers dans le Cloud qui sont munies d’antivirus puissants.

3. Ne pas trop faire confiance au cadenas de protection HTTPS

Les sites de confiance disposent d’un certificat de sécurité SSL qui est représenté par un petit cadenas visible à gauche de l’URL du site visité par votre navigateur. Si ce cadenas est visible, alors le site web est accessible via une URL du type https://.

On vous a probablement répété qu’un site disposant d’un certificat de sécurité était toujours fiable et sécurisé. Ceci est en parti vrai, cependant ce cadenas indique seulement un chiffrement des données transmises entre vous et ledit site. En somme, aucune personne malintentionnée ne pourra lire ces données en se situant entre vous et le site.

Malheureusement, ce cadenas ne garantit en rien l’honnêteté du site internet que vous visitez. Les cyberpirates savent comment obtenir une adresse de ce type. Il faut donc plutôt miser sur la notoriété du nom de domaine que sur son certificat SSL.

4. Toujours installer les mises à jour les plus récentes de vos logiciels

Dès qu’une faille de sécurité est identifiée dans le monde, les éditeurs des logiciels concernés s’efforcent de la corriger et proposent un patch en téléchargement. La plupart des attaques ont lieu sur des ordinateurs n’ayant pas encore procédé à l’installation de cette mise à jour fixant le défaut.

Si vous souhaitez former vos collaborateurs aux bonnes pratiques en matière de sécurité informatique, Digitemis vous propose ses ateliers de sensibilisation à la sécurité.

Comment reconnaître les signes d’une attaque par ransomware ?

Vous venez de réaliser que vous n’auriez pas dû cliquer sur le lien de ce message ou que vous n’auriez pas dû laisser ce fichier se télécharger sur votre ordinateur ?

Il est encore temps de limiter l’attaque en déconnectant immédiatement votre ordinateur du réseau, puis en demandant à votre antivirus de scanner l’ensemble de votre système.

Si, malheureusement, vous n’avez pas eu ce bon réflexe, votre machine est alors infectée. Voici ce qui se passe en général lorsqu’un ransomware se manifeste sur un ordinateur :

  • Votre ordinateur devient plus lent à réagir
  • Vous n’accédez plus à vos navigateurs Internet
  • Certains de vos fichiers deviennent illisibles
  • Un avis de rançon apparait sur votre écran

Attaque par ransomware : que faire ?

Encore une fois, le premier réflexe à adopter est de déconnecter immédiatement votre ordinateur du réseau. Le but est d’isoler votre machine afin que le ransomware ne puisse pas se propager à d’autres ordinateurs.

Le second réflexe consiste bien entendu à demander à votre antivirus de tenter de détecter l’intrus. Cependant, si le ransomware a réussi à passer, c’est probablement que sa signature était inconnue de votre logiciel de protection.

La meilleure chose à faire est de contacter immédiatement votre RSSI afin qu’il puisse analyser le risque et prendre les décisions qui s’imposent.

Comment renforcer la sécurité de votre réseau ?

Installer un firewall

Lorsqu’on pense à la sécurité d’un réseau informatique, on imagine toujours que les attaques vont provenir de l’extérieur et qu’il suffit de mettre en place un pare-feu efficace (firewall) pour détecter les tentatives d’intrusion.

C’est une mesure indispensable, mais insuffisante, car, si le ransomware a réussi à passer, alors l’attaquant se retrouvera à l’intérieur de vos défenses, libre d’agir à sa guise ! Cela peut être le cas par exemple si le ransomware a été recopié depuis une clé USB.

Segmenter votre réseau informatique

Le but d’un ransomware est de se propager le plus possible dans votre réseau. Une bonne précaution consiste donc à le segmenter La segmentation est un travail de longue haleine, demandant une maintenance de chaque instant. Ardue à mettre en place, elle peut néanmoins ralentir efficacement le travail de potentiels attaquants.

Journalisation, détection, réponse

SOC, SIEM, EDR.. Derrière ces acronymes se trouve des remparts aux risques cyber. Le SOC (Security Operation Center) est une équipe chargée de surveiller et quantifier les menaces d’un SI.

Cette dernière utilise des outils, ceux-ci sont les SIEM, EDR… le SIEM (Security Information Management System) est un outil de collection et de traitement de données journalisées afin d’y détecter une menace afin de soulever une alerte.  

L’EDR (Endpoint Detection Response) analyse le comportement des machines reliées au réseau (et non le réseau). L’EDR soulevèra une alerte en cas de détection d’une signature virale mais également d’un comportement suspect.

Installer une sandbox (bac à sable informatique)

La sandbox est un mécanisme d’isolation d’une partie de vos composants réseaux. Elle permet de créer un environnement de tests pour de nouveaux programmes sans prendre de risques pour le reste de votre réseau. C’est un excellent moyen de vérifier l’innocuité d’une nouvelle application avant de la laisser s’installer sur l’ensemble de votre parc informatique.

Enfin, il est à noter qu’aucun de ces éléments pris séparément ne constitue une défense efficace et inviolable.  A l’image des fortifications Vauban la défense en Cyber repose sur l’accumulation de remparts sur différentes couches, entravant ainsi la progression de l’attaquant. Dans le cadre d’une attaque à visée pécuniaire, une défense correctement organisée décourage les criminels, ne trouvant aucune rentabilité dans la persévérance et préférant se tourner vers des cibles plus faciles.  

Auditer régulièrement un SI via des prestations de Pentest ou  de Redteam permet également de mesurer la robustesse de ces remparts.

Comment sauvegarder et récupérer ses données ?

Si un ransomware a chiffré vos données, la meilleure façon de les récupérer est de disposer d’une copie récente. Il faut également vous assurer que vos données de sauvegarde sont correctement protégées. Voici une liste de conseils que vous suggère Digitemis pour protéger vos données.

Les bonnes pratiques pour sauvegarder vos données numériques

Systématisez vos sauvegardes

Selon la fréquence de création de nouvelles données, faites une sauvegarde hebdomadaire ou journalière de tous vos fichiers informatiques, de préférence sur un support extérieur à votre ordinateur (disque dur externe, espace dans le Cloud, NAS correctement isolé).

Protégez l’accès à vos fichiers

Si vous partagez vos fichiers avec d’autres personnes de votre entreprise, utilisez un système de fichiers partagés et déclarez les collaborateurs ayant le droit d’accès à ces fichiers. Pensez à protéger vos fichiers par mot de passe s’ils contiennent des données sensibles pour votre entreprise.

Chiffrez vos données les plus sensibles

Un cybercriminel ne pourra rien faire de fichiers dont les données ont été chiffrées. C’est la solution la plus sûre pour protéger l’accès aux informations les plus sensibles de votre entreprise. Digitemis peut vous conseiller sur le choix de solution de chiffrage de documents.

Vous pouvez par exemple utiliser le système de fichiers chiffrés (EFS) qui est une fonctionnalité de Windows pour chiffrer vos fichiers et les protéger contre les accès non autorisés.

Gestion des privilèges d’accès

La gestion des privilèges d’accès (PAM) est une mesure de sécurité qui permet aux organisations de se protéger contre les menaces en ligne. Elle aide à contrôler et à surveiller l’accès aux ressources sensibles, en empêchant les accès non autorisés, et la distribution de droits privilégiés.

La PAM limite le nombre d’accès à vos données importantes et empêche un accès non autorisé depuis l’intérieur de votre réseau. Elle est souvent utilisée pour créer des comptes de super administrateurs qui seront les seuls à pouvoir accéder aux données les plus sensibles de votre entreprise.

La gestion des sessions à privilèges va également permettre à ces super administrateurs d’auditer l’utilisation des comptes des autres utilisateurs afin d’en surveiller le bon fonctionnement.


Offre Digitemis : audit robustesse et résilience face au ransomware

Digitemis vous propose une démarche accessible permettant de mesurer l’efficacité de ses moyens de protection et de reprise d’activité face au Rançongiciel

Robustesse :

  • L’architecture de votre Système d’Information, la sensibilisation de vos utilisateurs, l’état d’obsolescence et de mise à jour de votre parc, les outils de sécurité ou encore les configurations en place vous permettent-ils de limiter efficacement le risque de cyberattaque par Rançongiciel ?

Résilience :

  • Etes-vous certain de l’efficacité de vos capacités de réponse à une cyberattaque par Rançongiciel ? Etes-vous préparés à la gestion d’une crise de ce type ?
  • Serez-vous en mesure d’investiguer et de restaurer des systèmes sains ? Vos sauvegardes sont-elles à l’abris de toute compromission ?

Cet audit consiste à vérifier que l’organisation a mis en place des moyens de protection et de reprise d’activité suffisants pour répondre à la menace spécifique qu’est le Rançongiciel. Les points de contrôle sont d’ordre techniques (conception de l’architecture, pertinence des choix technologiques, analyse de l’efficacité des fonctions de sécurité implémentées) mais aussi organisationnels (documentation, procédures, pratiques d’administration et d’exploitation, sensibilisation, organisation de la réponse aux cyberattaques).

La démarche est réalisée de manière déclarative (85 questions) auprès d’acteurs internes et externes à l’organisation (personnel informatique interne et/ou prestataire), les points de contrôle critiques faisant l’objet d’une récupération de preuves.

Le rapport fait apparaître les forces et les faiblesses du Système d’Information, focalisées sur la menace du Ransomware. Un plan d’action priorisé est constitué. La démarche fait l’objet d’une restitution technique et d’une restitution managériale, permettant de s’assurer d’une compréhension du sujet par tous les acteurs.

Contactez-nous

Je partage

Derniers articles

Illustration de sécurité WordPress avec logo central et éléments numériques de sécurité

Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur

Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !

Lire l'article

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article