Le ransomware est une menace ancienne qui revient en force, ciblant de nombreuses entreprises en France. Selon le FBI, les attaques de ce type ont rapporté à leurs auteurs plus de 209 millions de dollars sous forme en rançons au cours du seul premier trimestre de 2016.
Notre propre analyse révèle que le nombre de variantes de ransomware a progressé de 600 % depuis décembre 2015 alors que les cybercriminels ne cessent d’en diffuser de nouvelles formes et lancent des campagnes d’e-mails volumétriques, qui ne sont autres que des tentatives d’ingénierie sociale afin d’amener les destinataires à cliquer sur un lien ou une pièce jointe. Tandis que les entreprises en France connaissent une recrudescence d’attaques, leurs équipes de sécurité peuvent prendre un certain nombre de précautions afin de se préparer à la menace d’une infection et à l’éventualité d’un verrouillage de leurs fichiers par un ransomware.
Un ransomware, qui infecte un ordinateur, en verrouille les fichiers et exige un paiement pour leur restauration, peut être lourd de conséquences pour la productivité et les finances d’une entreprise. Les fichiers restent inaccessibles jusqu’à ce que la victime verse la rançon demandée en échange d’une clé permettant de les décrypter. Dans bien des cas, la demande de rançon s’accompagne d’un délai. Si ce dernier n’est pas respecté, le montant de la rançon peut doubler ou bien les données peuvent être bloquées à jamais voire détruites. Outre la rançon elle-même (à supposer que les victimes paient), ces attaques peuvent coûter très cher en termes d’interruption de l’activité, de remèdes à appliquer et d’atteinte à l’image de marque.
Si la plupart des ransomwares ciblent leurs victimes sous la forme d’un e-mail de phishing les incitant par tromperie à cliquer sur une pièce jointe ou une URL malveillante, les équipements mobiles et les sites web infectés sont également des vecteurs connus de ces attaques. Proofpoint a dernièrement bloqué plusieurs campagnes expédiant en une seule journée des centaines de millions de messages à travers le monde. Cette récente explosion du ransomware peut s’expliquer principalement par quatre raisons :
Une multiplication des canaux de diffusion
Les cybercriminels peuvent s’attaquer simultanément à des milliers de cibles via différents vecteurs d’attaque, ce qui multiplie leurs chances de succès.
Une baisse du coût
Comme dans toute activité, le succès appelle le succès. Les auteurs de ransomware ont affiné leur technique et des outils élaborés, qui pouvaient n’être à la portée que d’une poignée de cybercriminels il y a encore quelques années, sont aujourd’hui largement accessibles. Il en résulte une augmentation des taux de réussite et, en définitive, des économies d’échelle.
Des cibles plus lucratives
Au lieu de viser des particuliers, les cybercriminels ont de plus en plus dans leur ligne de mire des entreprises possédant des données sensibles, dont les départements informatiques sont débordés et qui ont tout intérêt à régler rapidement le problème.
Le bitcoin et les autres monnaies numériques
Depuis ses débuts en 2009, le bitcoin fait autant le bonheur des défenseurs des libertés civiles que des cybercriminels. Les paiements ne permettent pas de remonter jusqu’à l’expéditeur ou au destinataire, offrant ainsi un moyen de transaction anonyme et fluide.
Par ailleurs, ces derniers mois, de nombreuses nouvelles variantes évoluées de ransomware ont été découvertes, notamment Locky, Bart et CryptXXX, ciblant des entreprises et des consommateurs.
Le cas du Hollywood Presbyterian Medical Centre
Locky, sans aucun doute l’un des ransomwares les plus répandus en 2016, est impliqué dans de nombreuses cyberattaques de grande ampleur qui ont fait les gros titres récemment. C’est ainsi qu’en février 2016, un incident très médiatisé a touché le Hollywood Presbyterian Medical Centre aux Etats-Unis. Le personnel de cet établissement hospitalier a découvert qu’il n’avait plus accès aux ordinateurs ni au réseau car des pirates en avaient pris le contrôle au moyen du ransomware Locky par l’intermédiaire d’un e-mail infecté. Ces pirates exigeaient 40 bitcoins, soit environ 17 000 dollars, pour rétablir l’accès aux fichiers. Alors que les ordinateurs étaient paralysés depuis plus d’une semaine et que les responsables de l’hôpital ne parvenaient pas à trouver une solution, ceux-ci n’ont finalement pas vu d’autre issue que de verser la rançon.
Neuf conseils pour se préparer et faire face aux attaques de ransomware
Bien que le ransomware soit l’un des vecteurs d’attaque les plus dangereux et répandus dans le paysage actuel des menaces, les entreprises françaises peuvent prendre un certain nombre de mesures dans le but d’éviter une infection.
Opérations de sauvegarde et de restauration
Le volet plus important de toute stratégie de sécurité contre le ransomware consiste à sauvegarder régulièrement les données. La plupart des entreprises le font mais, étonnamment, rares sont celles qui se livrent à des exercices de sauvegarde et de restauration.
Mises à jour et correctifs
Veiller à la mise à jour des systèmes d’exploitation, logiciels et correctifs de sécurité sur tous les équipements.
Formation et sensibilisation, mise en garde contre les macros
La formation et la sensibilisation du personnel sont indispensables. Tous les employés doivent savoir que faire ou ne pas faire, comment éviter le ransomware et comment le signaler. Ces attaques jouent sur la méconnaissance des utilisateurs et leur demandent généralement d’ouvrir un document Word ou JavaScript malveillant en pièce jointe et d’activer les macros. Une fois la macro activée par un clic de l’utilisateur, celle-ci télécharge le ransomware et lance l’attaque.
Malheureusement, en dépit d’une sensibilisation du personnel au ransomware, il demeure toujours un risque qu’un employé bien intentionné clique par accident sur un lien malveillant et se retrouve infecté. Par conséquent, quelles sont les mesures les plus efficaces que peuvent prendre les entreprises en cas d’infection par un ransomware ?
Alerter les autorités
Le ransomware est un crime. Nul n’a le droit de prendre le contrôle d’équipements, de réseaux ou de données, a fortiori pour exiger une rançon. Le signalement aux autorités compétentes constitue donc une première étape indispensable.
Déconnecter la machine infectée du réseau
Dès qu’un membre du personnel voit s’afficher une demande de rançon ou remarque une anomalie, par exemple l’impossibilité soudaine d’accéder à ses propres fichiers, il lui faut se déconnecter du réseau et transmettre la machine infectée au service informatique.
Déterminer l’étendue du problème grâce à une analyse des menaces
Si tous les ransomwares sont nuisibles, certaines attaques sont pires que d’autres. Votre réponse – notamment le question de savoir s’il faut ou non verser la rançon – est fonction de plusieurs facteurs. Posez-vous les questions suivantes :
- De quel type d’attaque s’agit-il ? Le ransomware laisse sa carte de visite, et votre réponse peut dépendre de l’identité de l’assaillant et des outils employés.
- Qui est infecté sur votre réseau ?
- De quelles autorisations sur le réseau disposent les comptes infectés, le cas échéant ?
Vos réponses à ces questions doivent aider les administrateurs réseau à déterminer l’étendue du problème, à établir un plan d’action et, le cas échéant, à endiguer l’infection.
Orchestrer une réponse
Suivant la configuration du réseau, il peut être possible de contenir l’infection à un seul poste de travail. Dans le meilleur des cas, un nouvel ordinateur est substitué à la machine infectée et une sauvegarde y est restaurée. Dans le pire des cas, toutes les machines du réseau sont infectées. Cela va nécessiter un rapide calcul coût-bénéfice pour évaluer le nombre d’heures de travail nécessaire afin d’y remédier, par rapport au versement pur et simple de la rançon. Une grande partie de votre réponse consiste à décider s’il faut payer ou non.
Ne pas s’en remettre aux outils gratuits de décryptage
Certains acteurs du secteur de la sécurité proposent des programmes gratuits de décryptage contre le ransomware. Dans certains cas, ceux-ci peuvent vous aider à récupérer vos données sans payer la rançon mais la majorité d’entre eux ne fonctionnent que pour une seule souche de ransomware, voire une seule campagne d’attaques.
Restaurer les données à partir d’une sauvegarde
Le seul moyen de remédier entièrement à une infection par un ransomware est de restaurer la totalité des données à partir d’une sauvegarde, c’est pourquoi les sauvegardes doivent être quotidiennes.
Nous nous attendons à ce que les attaques de ransomware continuent de cibler les entreprises françaises. Ces conseils sont donc destinés à vous aider à y faire face avant, pendant et après une attaque effective. Bien entendu, le moyen le plus facile de combattre le ransomware est de le bloquer aux portes du réseau. Cela nécessite une solution avancée de protection contre les menaces, capable de détecter le ransomware propagé par l’e-mail, les mobiles et les réseaux sociaux. Celle-ci contribuera en outre fortement à la réduction du facteur humain, le maillon faible de la plupart des infrastructures de sécurité.