Attaques par ransomware
Qu’est-ce qu’une attaque par ransomware ?
Une attaque par ransomware est un type de cyberattaque conçue pour obtenir l’accès à un système et pour crypter les fichiers qui y sont stockés. Les fichiers ne peuvent être décryptés sans une clé privée, en échange de laquelle les pirates demandent une rançon.
Pourquoi les attaques par ransomware deviennent-elles de plus en plus fréquentes ?
Les attaques par ransomware se multiplient car les entreprises privilégient de plus en plus la prise de décision fondée sur les données et considèrent leurs données comme une propriété intellectuelle (PI) précieuse. Outre le cryptage des données, certains pirates subtilisent également des informations en menaçant de les mettre à la disposition d’autres acteurs malveillants, afin d’accroître la pression exercée sur l’entreprise pour qu’elle paie la rançon.
Comment parer une attaque par ransomware ?
Malheureusement, les pirates fournissent rarement la clé de déchiffrement, même après le paiement de la rançon, privant ainsi les victimes du montant de la rançon et de leurs données. On estime le coût des attaques par ransomware subi par leurs victimes à hauteur de 265 milliards de dollars par an d’ici 2031, à raison d’une nouvelle attaque contre une entreprise, un consommateur ou un appareil toutes les deux secondes.
Exemples de programmes de type ransomware
Certaines attaques par ransomware commencent par inciter un utilisateur à ouvrir un fichier, souvent une pièce jointe à un e-mail, qui télécharge ensuite un code malveillant, lequel infecte le réseau. D’autres profitent des vulnérabilités des systèmes d’exploitation, des faiblesses des systèmes de sécurité physique ou des failles logicielles pour accéder à un réseau et s’enraciner dans le système.
La première menace de ransomware à grande échelle a débuté en septembre 2013 avec l’émergence de CryptoLocker, un programme malveillant de type cheval de Troie qui incitait les utilisateurs à télécharger un fichier qui infectait ensuite leur réseau. En mai 2014, à la suite d’une opération conjointe des forces de l’ordre et des agences de sécurité, le cheval de Troie CryptoLocker a été mis hors service. Cependant, de nombreuses imitations de celui-ci circulent encore.
Beaucoup d’autres familles de ransomware ont été développées depuis lors. Parmi les plus courantes, citons Conti, Maze (Egregor), Sodinokibi (REvil), TorrentLocker, WannaCry, Petya (NotPetya), Ryuk et MegaCortex. Quel que soit leur nom, leur objectif est le même : extorquer de l’argent aux victimes en échange du déchiffrement de leurs données et fichiers.
Les nouveaux systèmes de ransomware-as-a-service (RaaS), qui permettent à toute personne ayant des connaissances informatiques de base et un accès à Internet de se lancer dans le commerce du ransomware, contribuent à la croissance significative de ce type d’attaques. L’auteur du ransomware met des ressources, telles que les outils du cryptage, les communications avec les victimes et la collecte de la rançon, à la disposition d’autres cybercriminels en échange d’un pourcentage du paiement de la rançon.
Comment se protéger des attaques par ransomware ?
La plupart des attaques par ransomware actuelles sont difficiles à détecter car elles sont passent de plus en plus inaperçues pour les administrateurs système et les protections des terminaux. Les pirates acquièrent ainsi une persistance durable sur le dispositif et parviennent, par conséquent, à infliger des dommages à tout moment. Le temps de séjour moyen d’un ransomware est de 24 jours, ce qui donne aux pirates tout le temps et l’opportunité d’accéder aux données d’une entreprise et de les altérer.
Il suffit qu’un seul utilisateur gère mal ses mots de passe ou clique sur un lien dans un e-mail de phishing pour mettre en danger le réseau d’une entreprise. Pour de nombreuses entreprises, mettre en place une formation de sensibilisation à la sécurité à l’intention des employés est une étape importante pour minimiser le risque de pénétration des programmes de type ransomware dans leurs réseaux. Cette formation doit être régulièrement mise à jour en fonction de l’évolution des techniques d’attaque.
La meilleure façon de se protéger contre les logiciels malveillants qui exploitent les vulnérabilités logicielles consiste à maintenir les systèmes d’exploitation et les applications critiques à jour en installant tous les correctifs et toutes les mises à jour. La surveillance du réseau, la protection par mot de passe, l’authentification multifactorielle (MFA) et les mesures de sécurité des terminaux sont autant de technologies et de tactiques utiles pour contribuer à réduire le profil d’une entreprise face aux menaces.
Dans la mesure où il est impossible d’éliminer complètement la menace d’une attaque par ransomware, la mise en place d’une stratégie de sauvegarde robuste peut permettre à une entreprise victime d’une attaque d’amorcer une reprise plus rapidement en subissant une interruption minimale de ses opérations. Ces sauvegardes doivent être isolées du réseau afin de bloquer leur accès aux logiciels malveillants, car la plupart des programmes de type ransomware tentent également de chiffrer les sauvegardes.
Comment le ransomware se propage-t-il ?
Le paysage des menaces de ransomware s’élargit car les utilisateurs accèdent de plus en plus aux applications et charges de travail critiques de l’entreprise à partir d’un nombre croissant de lieux : bureaux à domicile, installations sur le terrain, devantures de détaillants, usines de fabrication, chambres d’hôpital et autres emplacements edge. Par ailleurs, un nombre croissant d’appareils connectés constituant l’Internet des objets (IoT) partagent des données entre eux sur les réseaux d’entreprise sans qu’aucune interaction humaine ne soit nécessaire. À mesure que les actions de transformation digitale s’étendent, les vulnérabilités en matière de sécurité deviennent plus apparentes, constituant une menace grandissante pour les entreprises.
Bien que les variantes de ransomware soient nombreuses et évolutives, elles utilisent généralement entre un et trois vecteurs d’attaque principaux pour accéder à un réseau.
E-mails de phishing
L’e-mail de phishing est un vecteur de ransomware très répandu. Les pirates envoient à leurs cibles des messages électroniques qui semblent provenir d’une source fiable. Ces messages tentent généralement d’amener le destinataire à saisir des informations d’identification personnelles sur une page Web usurpée ou à télécharger un fichier contenant un logiciel malveillant.
Protocole de bureau à distance
Le protocole de bureau à distance (Remote Desktop Protocol, RDP) est un protocole Microsoft qui permet aux utilisateurs de se connecter à distance à un système et d’y exécuter des commandes. Malheureusement, la sécurité du protocole RDP dépend fortement du fait que les utilisateurs utilisent des mots de passe forts et uniques, ce qui n’est pas fréquent dans la pratique. Les pirates peuvent facilement craquer les informations d’identification RDP ou acheter des noms d’utilisateur et des mots de passe piratés sur le dark Web pour accéder à un système.
Vulnérabilités logicielles
Les vulnérabilités logicielles constituent une autre méthode courante de diffusion de ransomware. Les logiciels qui n’ont pas été mis à jour peuvent créer des failles dans les architectures de sécurité et offrir une porte ouverte aux intrusions de logiciels malveillants. Ces vulnérabilités constituent une cible relativement facile pour les pirates, car ils n’ont pas besoin de craquer ou d’obtenir des informations d’identification.
Comment HPE peut-elle vous aider à vous protéger contre les attaques par ransomware ?
Malheureusement, même les meilleurs systèmes et pratiques de sécurité n’offrent pas une protection complète contre les attaques par ransomware. Il est essentiel de disposer d’un plan de sauvegarde et restauration des données complet pour restaurer les opérations et minimiser la perte de données potentielle en cas d’infection.
Une solution hyperconvergente HPE SimpliVity consolide l’infrastructure informatique et simplifie à la fois la stratégie de protection des données et le processus de reprise, en particulier pour les entreprises devant gérer des bureaux distants. Ces solutions offrent des fonctions intégrées, notamment la protection des données, pour alléger cette charge et améliorer la protection dans toute l’entreprise, y compris à distance et dans les succursales (ROBO). L’efficacité des données permet de réaliser des sauvegardes plus fréquentes pour assurer une protection des données quasi continue, des périodes de conservation étendues et une reprise accélérée. En cas d’infection par un malware, une machine virtuelle et toutes ses données peuvent être restaurées rapidement et facilement, ce qui minimise le temps d’arrêt du système, les interruptions d’activité et la perte de revenus.
HPE StoreOnce est une appliance (ou une machine virtuelle) de sauvegarde spécialement conçue, qui utilise des magasins HPE StoreOnce Catalyst pour isoler efficacement les données critiques des pirates par ransomware. Par conséquent, les pirates ne peuvent pas avoir d’impact sur les données sans recourir à des interactions physiques directes qui finissent par détruire intégralement ou partiellement le matériel lui-même. Même si le matériel est détruit à un seul emplacement, que ce soit à cause d’un logiciel malveillant ou d’une catastrophe naturelle, la mise en œuvre plus avancée (soit distribuée) des magasins HPE StoreOnce Catalyst protégerait les données critiques en les isolant efficacement des lignes de communication et des jeux de commandes traditionnels exploités par les pirates.
Zerto, une entreprise du groupe Hewlett Packard Enterprise, propose une protection des données en continu (CDP) basée sur des journaux, ainsi qu’une reprise sans équivalent pour les données et les applications virtualisées et conteneurisées de l’edge au cloud. La plateforme de Zerto offre la flexibilité nécessaire pour assurer une protection vers, depuis et entre des clouds de tous types, qu’il s’agisse de déploiements privés, publics ou cloud natifs. Son architecture à évolutivité horizontale est capable de protéger des pétaoctets de données et des milliers de machines virtuelles. La solution exclusivement logicielle copie chaque modification de données, quel que soit le matériel sous-jacent, sans ralentir les systèmes de production.