Les ransomwares sont sans aucun doute l’une des plus grandes cybermenaces qui touchent aujourd’hui les organisations du monde entier.
Les pirates ont changé de tactique et, au lieu de cibler les consommateurs ordinaires, ils courent après l’argent et concentrent leur attention sur les entreprises où le retour sur investissement est bien plus élevé.
Les attaques de ransomware contre les entreprises ont augmenté de 363 % au cours de l’année dernière, et selon le rapport de Trend Micro sur la sécurité, plus de 61 millions d’attaques de ransomware ont été détectées en 2019.
Les secteurs les plus fréquemment visés sont les administrations locales, les établissements universitaires, le secteur technologique, les soins de santé, l'industrie manufacturière, les services financiers et les entreprises de médias. Cependant, chaque industrie et chaque entreprise est une cible potentielle et devrait prendre toutes les mesures nécessaires pour prévenir une attaque.
Malheureusement, de nombreuses organisations ne prennent pas cette menace suffisamment au sérieux et ce n’est que lorsqu’elles sont victimes d’une attaque de ransomware paralysante qu’elles investissent le temps et les ressources nécessaires pour améliorer leurs défenses en matière de cybersécurité. À ce stade, il est souvent trop tard, car le mal est déjà fait.
Qu’est-ce qu’un ransomware ?
Les ransomwares sont un type de logiciels malveillants qui empêchent les utilisateurs d’accéder à leur système en chiffrant les fichiers et en exigeant le paiement d’une rançon pour que le système soit déverrouillé. Le paiement de la rançon est généralement demandé en bitcoin ou dans d’autres cryptomonnaies difficiles à tracer. Les cybercriminels fixent généralement un délai pour le paiement de la rançon. Si ce délai est dépassé, la rançon est doublée ou les fichiers sont définitivement verrouillés.
Certaines variantes de ransomware sont conçues pour se propager rapidement à d’autres machines sur un réseau. C’est exactement ce qui s’est passé lors de l'attaque WannaCry de 2017, lorsque le ransomware a chiffré des centaines de milliers d’ordinateurs dans plus de 150 pays. En l’espace de quelques heures, le ransomware a fait des ravages dans le monde entier, paralysant un tiers des services britanniques du NHS.
Comment devient-on infecté par un ransomware ?
Les ransomwares ransomwares peuvent infecter votre ordinateur de plusieurs façons. Le moyen le plus courant est l’envoi d'e-mails de phishing contenant des liens ou des pièces jointes malveillants. Les e-mails semblent provenir d’une source fiable et lorsque vous cliquez sur le lien ou que vous ouvrez la pièce jointe, le logiciel malveillant s’installe sur le système et commence à chiffrer les fichiers.
Les ransomwares peuvent également être diffusés par le biais d’une connexion de bureau à distance compromise, de sites Web malveillants, de supports amovibles infectés et même d’applications de messagerie de réseaux sociaux.
Que faire en cas d’attaque par ransomware ?
1. Isolez les machines infectées
Lorsque le ransomware frappe, la rapidité est essentielle. Si vous pensez que votre ordinateur a été infecté, vous devez immédiatement le déconnecter du réseau en débranchant le câble Ethernet et en désactivant les fonctions Wi-Fi, Bluetooth et toute autre fonction réseau. Les ransomwares se propagent via votre connexion réseau. Si vous pouvez isoler la machine infectée, vous l’empêcherez de se propager et d’infecter d’autres appareils sur le réseau. Si vous soupçonnez que plusieurs machines ont été compromises, appliquez les mêmes mesures.
2. Informez votre équipe de sécurité informatique
Votre équipe informatique doit être immédiatement informée afin qu’elle puisse contenir la propagation du ransomware et mettre en place les procédures adéquates pour faire face à l’attaque. C’est là qu’un plan de réponse aux incidents entre en jeu. Ce plan permettra de s’assurer que l’incident est correctement géré, que toutes les preuves sont recueillies, enregistrées et conservées, et que la situation est traitée aussi rapidement et efficacement que possible. Le fait de fournir une chronologie détaillée de la violation permettra d’identifier toute faiblesse dans les procédures et d’améliorer les défenses de sécurité à l’avenir.
3. Identifiez le type de ransomware
Si vous êtes en mesure d’identifier le type de ransomware utilisé dans l’attaque, cela vous aidera à comprendre comment il se propage, quels types de fichiers il chiffre et comment il peut être supprimé. Il existe de nombreuses souches différentes de ransomware, mais les deux plus courantes sont le ransomware de verrouillage d’écran et le ransomware de chiffrement. La première est la plus facile à résoudre et, malgré le verrouillage de l’ensemble du système, les fichiers seront protégés jusqu’au paiement de la rançon. La seconde est beaucoup plus difficile à élucider. Au lieu de refuser l’accès à l’utilisateur, elle trouve toutes les données sensibles, les chiffre, puis exige un paiement pour que les données soient déchiffrées et restaurées.
4. Informez les employés
Vous devez immédiatement informer vos employés qu’une violation s’est produite, expliquer ce que cela signifie pour l’entreprise et exposer les mesures que vous allez prendre pour atténuer l’incident. Que leurs ordinateurs aient été directement infectés ou non, il est probable qu’un certain ralentissement des opérations se produise pendant le déroulement de l’enquête sur l’incident. Les employés s’inquiètent naturellement de l’impact de l’attaque sur leur travail. Il est donc important de faire preuve de transparence et de les tenir informés de l’évolution de la situation.
5. Modifiez les informations d’identification
Les ransomwares peuvent se propager rapidement en recueillant des adresses IP et des informations d’identification. Si les pirates parviennent à compromettre les informations d’identification de l’administrateur, ils peuvent se déplacer latéralement dans les réseaux, chiffrer les fichiers et effacer les sauvegardes par la même occasion. Pour garantir la sécurité de votre système et empêcher les pirates de contrecarrer vos efforts de récupération, vous devez immédiatement modifier tous les identifiants d’administrateur et d’utilisateur.
6. Prenez une photo de la demande de rançon
Si possible, prenez une photo de la demande de rançon sur votre téléphone portable. Celle-ci pourra être utilisée comme preuve lorsque vous signalerez l’incident à la police. Cette preuve est nécessaire si vous déposez une demande d’indemnisation auprès d’une cyberassurance. Cette photo peut également fournir des informations supplémentaires sur la méthode d’attaque.
7. Prévenez les autorités
Il est important de prévenir la police si vous avez été attaqué afin qu’elle puisse mener une enquête approfondie sur l’incident et éviter que d’autres entreprises ne subissent le même sort. Si votre organisation traite des données appartenant à des citoyens de l’UE, vous êtes légalement tenu, en vertu du RGPD, d’informer l’ICO dans les 72 heures suivant la survenue d’une violation. Le non-respect de ces règles peut entraîner des amendes allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (le montant le plus élevé étant retenu).
8. Ne payez jamais la rançon
La National Crime Agency conseille vivement aux organisations de ne pas payer de rançon, car cela encourage les cybercriminels à lancer de nouvelles attaques et le cercle vicieux continue. Si vous choisissez de payer une rançon, il n’est pas certain que vous récupérerez un jour vos fichiers et, en fait, cela augmente vos chances d’être à nouveau ciblé à l’avenir.
9. Mettez à jour les systèmes de sécurité
Une fois l'incident terminé, vous devrez effectuer un audit de sécurité et mettre à jour tous les systèmes. Les mises à jour doivent être installées dès qu'elles sont disponibles afin d'empêcher les pirates d'exploiter les vulnérabilités des anciennes versions des logiciels. L' application régulière de correctifs permettra de maintenir les machines à jour, stables et à l'abri des logiciels malveillants.
10. Récupérez vos données à partir de sauvegardes
La clé d’une récupération rapide après une attaque par ransomware est de s’assurer que vous disposez de sauvegardes à jour des fichiers importants. La règle 3-2-1 est une approche de bonnes pratiques en matière de sauvegarde et de récupération. En suivant cette règle, vous devriez avoir 3 copies de vos données dans deux formats de stockage différents, avec au moins une copie située hors site. Vous pourrez ainsi récupérer rapidement vos données sans subir de chantage au paiement d’une rançon.
Comment prévenir les attaques par ransomware ?
- • Les employés doivent recevoir régulièrement une formation de sensibilisation à la cybersécurité pour les informer de l’évolution des cybermenaces et de la manière de repérer les premiers stades d’une attaque.
- Sauvegardez régulièrement vos données.
- Restreignez les autorisations des utilisateurs à installer et à exécuter des applications logicielles. Vous limiterez ainsi la capacité du logiciel malveillant à se propager dans votre réseau.
- Mettez régulièrement à jour les logiciels et assurez-vous que les correctifs sont installés dès qu’ils sont disponibles.
- Installez un logiciel antivirus sur tous les appareils.
- Analysez tous les e-mails entrants et sortants pour détecter les menaces.
- Suivez les bonnes pratiques de sécurité pour minimiser le risque d’infection. Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de sources inconnues.
- Configurez les pare-feu pour bloquer l’accès aux adresses IP malveillantes.
- Créez des mots de passe forts et activez l’authentification multifactorielle pour une sécurité supplémentaire sur les comptes.
Le phishing est la première cause de toutes les cyberattaques et reste l’un des moyens les plus faciles de voler des données précieuses et de transmettre des ransomwares. MetaPhish a été créé pour fournir une défense puissante contre ces menaces et permet aux organisations de savoir dans quelle mesure leur entreprise est sensible au phishing. Contactez-nous pour obtenir de plus amples informations sur la manière dont MetaPhish peut être utilisé pour protéger votre entreprise.
