Depuis plusieurs années, le marché des ransomwares a gagné en popularité parmi les cybercriminels.
En 2015, le FBI a reçu 2 453 plaintes suite aux attaques par ces logiciels malveillants qui prennent en otage des données en les chiffrant pour ensuite demander à leur propriétaire (particulier ou entreprise) une rançon en échange de la clé qui permettra de les déchiffrer. Le coût s’élèverait à plus de 24 millions de dollars pour leurs victimes. Un chiffre qui ne tient compte que des cas déclarés, et est susceptible d’augmenter drastiquement en 2016.
Pas un jour ne passe sans que n’émergent de nouveaux cas de vols de données ou de chantage par le biais de ransomwares. Ce qui pousse les RSSI et autres hauts responsables de la sécurité IT à mettre la priorité sur ces menaces, notamment pour éviter que les hackers ne prennent le contrôle total de leur entreprise et la paralysent. Ces ransomwares se répartissent en deux catégories distinctes. Le premier, standard, est identique à celui qui cible les réseaux domestiques des particuliers. Il est opportuniste et cause généralement peu de dégâts aux organisations car celles-ci sauvegardent leurs données critiques sur des serveurs séparés et dans des bases de données qui sont hors de portée des cybercriminels. Les informations présentes sur les postes de travail des utilisateurs sont ainsi facilement remplaçables. Le second, beaucoup plus dangereux, a le même profil général que les attaques réseau ciblées, mais un objectif totalement différent. Au lieu de subtiliser des informations, ces malwares cherchent à semer le chaos à grande échelle par une infection massive et un chiffrement des données des utilisateurs. Pour ce faire, les cybercriminels tentent souvent de pirater des comptes à privilèges, qui sont des comptes utilisateurs ou des comptes d’application privilégiés utilisés par les processus automatisés, les services et les applications, afin de les exploiter et diffuser leur ransomware à travers les systèmes.
Face à ces attaques, la suppression des privilèges locaux peut en partie aider une organisation à s’en prémunir. Toutefois, elle doit mettre en place des mesures supplémentaires car les malwares ont seulement besoin de droits d’utilisateurs standards pour chiffrer les données. Il n’est donc pas possible de réduire les risques simplement en supprimant ou restreignant les droits administrateurs locaux. Par ailleurs, afin de lutter efficacement contre ce type d’attaques, les entreprises, à présent plus attentives à ces menaces, doivent combiner le principe du moindre privilège au contrôle des applications. Cette approche permet de réduire la surface d’attaque et de bloquer la progression des malwares dans l’organisation.
En outre, pour minimiser les risques d’attaque, les entreprises peuvent effectuer des sauvegardes régulières, des contrôles ou mises sur liste blanche des applications. Elles peuvent également déployer des solutions anti-malware concentrées sur la détection et sur le blocage de ces menaces à leur point d’entrée. Toutefois, ces solutions ne sont efficaces que si on sait précisément ce qu’on recherche. En effet, de nouvelles variantes des ransomwares voient le jour à chaque attaque, et il est difficile d’anticiper les agissements des cybercriminels et donc de bloquer l’ensemble des déclinaisons qui tentent de s’infiltrer dans un réseau. Les organisations peuvent adopter une autre approche de protection proactive des fichiers sensibles d’une organisation ciblée : le ransomware inconnu est placé automatiquement dans une liste grise qui lui permet de s’exécuter et identifie qu’il s’agit d’un malware, il est ensuite bloqué et ne peut donc pas accéder aux fichiers pour les chiffrer.
Les entreprises ont besoin de se doter d’outils flexibles capables d’automatiser la gestion des privilèges administrateurs locaux et de contrôler les applications sur les serveurs et points périphériques pour optimiser la protection contre les ransomwares. La combinaison du principe de moindre privilège et du contrôle des applications peut aider les organisations à réduire la surface d’attaque, à se protéger face aux menaces qui ont réussi à pénétrer dans l’infrastructure, et à alerter leurs équipes de sécurité au moindre soupçon d’attaque en cours, tout cela sans perturber la productivité des utilisateurs ou accabler les équipes de sécurité IT.