Le ransomware est sans aucun doute l’une des plus grandes cybermenaces
affectant les organisations du monde entier aujourd’hui.

Les pirates ont changé de tactique et plutôt que de cibler les consommateurs lambda sur
, ils chassent l’argent et concentrent leur attention sur
, où le retour sur investissement est bien plus élevé.

Les attaques de ransomware contre les entreprises ont augmenté de 363 % au cours de l’année dernière et, selon le rapport Security Roundup de Trend Micro, plus de 61 millions d’attaques de ransomware ont été détectées en 2019.

Les secteurs les plus fréquemment visés sont les administrations locales, les établissements universitaires, le secteur technologique, les soins de santé, l’industrie manufacturière, les services financiers et les entreprises de médias. Cependant, chaque secteur et chaque entreprise est une cible potentielle et doit prendre toutes les mesures nécessaires pour prévenir une attaque.

Malheureusement, de nombreuses organisations ne prennent pas la menace
suffisamment au sérieux et ce n’est que lorsqu’elles sont victimes d’une attaque de ransomware paralysante qu’elles investissent le temps et les ressources nécessaires pour
améliorer leurs défenses en matière de cybersécurité. À ce stade, il est souvent trop tard, car
le mal est déjà fait.

Qu’est-ce qu’un rançongiciel ?

Les ransomwares sont des logiciels malveillants qui empêchent les utilisateurs d’accéder à leur système en chiffrant les fichiers et en exigeant le paiement d’une rançon pour déverrouiller le système. Le paiement de la rançon est généralement demandé en bitcoins ou dans d’autres crypto-monnaies difficiles à tracer. Les cybercriminels fixent généralement une date limite pour le paiement de la rançon et, si cette date est dépassée, le montant de la rançon est doublé ou les fichiers sont définitivement verrouillés.

Certaines variantes de ransomware sont conçues pour se propager rapidement à d’autres machines sur un réseau. C’est exactement ce qui s’est passé lors de l’attaque WannaCry de 2017, lorsque le ransomware a chiffré des centaines de milliers d’ordinateurs dans plus de 150 pays. En l’espace de quelques heures, le ransomware a fait des ravages dans le monde entier, entraînant la quasi-paralysie d’un tiers des services du NHS au Royaume-Uni.

Qu'est-ce qu'un ransomware ? MetaCompliance
Note de rançon de WannaCry (Source : Bleeping Computer)

Comment
pouvez-vous attraper un Ransomware ?

Les ransomwares peuvent infecter votre ordinateur de différentes manières. La méthode la plus courante consiste à envoyer des courriels d’hameçonnage contenant des liens ou des pièces jointes malveillants. Ces courriels semblent provenir d’une source fiable et une fois que vous avez cliqué sur le lien ou ouvert la pièce jointe, le logiciel malveillant s’installe sur le système et commence à crypter les fichiers.

Les ransomwares peuvent également être diffusés par le biais d’une connexion à distance compromise, de sites web malveillants, de supports amovibles infectés et même d’applications de messagerie sur les réseaux sociaux.

Que faire en cas d’attaque de ransomware ?

1. Isolez les machines infectées

Lorsqu’un ransomware frappe, la rapidité est essentielle. Si vous pensez que votre ordinateur a été infecté, vous devez immédiatement le déconnecter du réseau en débranchant le câble Ethernet et en désactivant le Wi-Fi, le Bluetooth et toute autre capacité de mise en réseau. Le ransomware se propage via votre connexion réseau. Si vous pouvez isoler la machine infectée, vous l’empêcherez de se propager et d’infecter d’autres appareils sur le réseau. Si vous pensez que plusieurs machines ont été compromises, appliquez les mêmes mesures.

2. Prévenez votre équipe de sécurité informatique

Votre équipe informatique doit être immédiatement informée afin qu’elle puisse contenir la propagation du ransomware et mettre en place les procédures adéquates pour faire face à l’attaque. C’est là qu’un plan d’intervention en cas d’incident entre en jeu. Ce plan permettra de s’assurer que l’incident est correctement géré, que toutes les preuves sont rassemblées, enregistrées et conservées, et que la situation est traitée aussi rapidement et efficacement que possible. Le fait de fournir une chronologie détaillée de la violation permettra d’identifier les faiblesses des procédures et d’améliorer les défenses de sécurité à l’avenir.

3. Identifiez le type de ransomware

Identifier le type de ransomware | MetaCompliance

Si vous êtes en mesure d’identifier le type de ransomware utilisé dans l’attaque, vous comprendrez mieux comment il se propage, quels types de fichiers il crypte et comment il peut être supprimé. Il existe de nombreuses souches différentes de ransomwares, mais les deux plus courantes sont les ransomwares de verrouillage d’écran et les ransomwares de chiffrement. Le premier est le plus facile à résoudre et, malgré le verrouillage de l’ensemble du système, les fichiers seront en sécurité jusqu’au paiement d’une rançon. Le second est beaucoup plus difficile à résoudre. Au lieu de refuser l’accès à l’utilisateur, il trouve toutes les données sensibles, les crypte, puis exige un paiement pour que les données soient décryptées et restaurées.

4. Informer les employés

Vous devez immédiatement informer vos employés qu’il y a eu une violation, leur expliquer ce que cela signifie pour l’entreprise et décrire les mesures que vous allez prendre pour atténuer les conséquences de l’incident. Que leurs ordinateurs aient été directement infectés ou non, il est probable qu’il y aura un ralentissement des opérations pendant que l’enquête sur l’incident se déroulera. Les employés s’inquiéteront naturellement de l’impact de l’attaque sur leur travail. Il est donc important de faire preuve de transparence et de les tenir informés de l’évolution de la situation.

5. Modifier les identifiants de connexion

Les ransomwares peuvent se propager rapidement en collectant des adresses IP et des informations d’identification. Si les pirates parviennent à compromettre les identifiants administratifs, ils peuvent se déplacer latéralement dans les réseaux, chiffrer les fichiers et effacer les sauvegardes dans le processus. Pour garantir la sécurité de votre système et empêcher les pirates de contrecarrer vos efforts de récupération, vous devez immédiatement modifier tous les identifiants d’administrateur et d’utilisateur.

6. Prenez une photo de la demande de rançon

Prenez une photo de la demande de rançon | MetaCompliance

Si possible, prenez une photo de la demande de rançon sur votre téléphone portable. Cette photo peut servir de preuve lorsque vous signalez l’incident à la police. Cette preuve est nécessaire si vous déposez une demande d’indemnisation au titre de la cyberassurance et la photo peut également fournir des informations supplémentaires sur la méthode d’attaque.

7. Notifier les autorités

Il est important d’informer la police si vous avez été attaqué afin qu’elle puisse mener une enquête approfondie sur l’incident et éviter que d’autres entreprises ne subissent le même sort. Si votre organisation traite des données appartenant à des citoyens de l’UE, vous êtes légalement tenu, en vertu du GDPR, d’informer l’ICO dans les 72 heures suivant une violation. Si vous ne le faites pas, vous risquez des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (le montant le plus élevé étant retenu).

8. Ne payez jamais la rançon

Ne payez jamais la rançon | MetaCompliance

La National Crime Agency conseille vivement aux organisations de ne pas payer de rançon, car cela encourage les cybercriminels à lancer d’autres attaques et le cercle vicieux continue. Si vous décidez de payer une rançon, il n’y a aucune garantie que vous récupériez un jour vos fichiers et vous augmentez même vos chances d’être à nouveau pris pour cible à l’avenir.

9. Mettre à jour les systèmes de sécurité

Une fois l’incident terminé, vous devrez procéder à un audit de sécurité et mettre à jour tous les systèmes. Les mises à jour doivent être installées dès qu’elles sont disponibles afin d’empêcher les pirates d’exploiter les vulnérabilités des anciennes versions du logiciel. L’application régulière de correctifs permet de s’assurer que les machines sont à jour, stables et à l’abri des logiciels malveillants.

10. Récupérer à partir de sauvegardes

La clé d’une récupération rapide après une attaque de ransomware est de s’assurer que vous disposez de sauvegardes à jour des fichiers importants. La règle 3-2-1 est une approche de meilleure pratique pour la sauvegarde et la récupération. Selon cette règle, vous devez disposer de trois copies de vos données dans deux formats de stockage différents, dont au moins une copie hors site. Cela vous permettra de récupérer rapidement vos données sans être soumis à un chantage au paiement d’une rançon.

Comment prévenir les attaques de ransomware sur

  • Les employés devraient recevoir régulièrement une formation de sensibilisation à la cybersécurité afin de les informer sur l’évolution des cybermenaces et sur la manière de repérer les premiers stades d’une attaque.

  • Sauvegardez régulièrement les données.

  • Restreindre les autorisations d’installation et d’exécution des applications logicielles par les utilisateurs. Cela peut limiter la capacité du logiciel malveillant à se propager dans un réseau.

  • Mettez régulièrement à jour les logiciels et veillez à ce que les correctifs soient installés dès qu’ils sont disponibles.

  • Installez un logiciel antivirus sur tous les appareils.

  • Analysez tous les courriels entrants et sortants pour détecter les menaces.

  • Suivez les bonnes pratiques de sécurité pour minimiser le risque d’infection – Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de sources inconnues.

  • Configurez les pare-feu pour bloquer l’accès aux adresses IP malveillantes.

  • Créez des mots de passe forts et activez l’authentification multifactorielle pour renforcer la sécurité des comptes.

Le phishing est la première cause de toutes les cyberattaques et reste l’un des moyens les plus faciles de voler des données précieuses et de diffuser des ransomwares. Le logiciel de simulation de phishing MetaPhish de MetaCompliance a été créé pour fournir une défense puissante contre ces menaces et permet aux organisations de découvrir à quel point leur entreprise est vulnérable au phishing. N’hésitez pas à nous contacter pour obtenir de plus amples informations sur la manière dont MetaPhish peut être utilisé pour protéger votre entreprise.