09 73 40 00 00
Mon Compte

Ransomware : protégez votre entreprise des logiciels malveillants

Ransomware : protégez votre entreprise des logiciels malveillants
-
Mathieu CARLIER Mathieu CARLIER
Sécurité
3 janvier 2023

Les logiciels malveillants comme un ransomware sont de plus en plus fréquents dans les entreprises. Ces menaces peuvent avoir des conséquences désastreuses, entraînant des pertes de données et des temps d’arrêt couteux. Comment protéger votre entreprise des ransomwares et des logiciels malveillants ?

Découvrez nos conseils et astuces pour vous assurer une sécurité informatique optimale de vos données et savoir comment réagir si vous êtes victime d’une attaque.

Qu’est-ce qu’un ransomware ? Définition !

Un ransomware est un type de logiciel malveillant qui crypte les données de l’utilisateur et demande une rançon en échange de la restauration des données. Les données essentielles d’un utilisateur ou d’une organisation sont cryptées de sorte qu’il ne peut pas accéder aux fichiers, aux bases de données ou aux applications. Une somme d’argent est alors demandée pour y avoir accès.

Les rançongiciels sont souvent conçus pour se propager sur un réseau informatique et cibler les serveurs de bases de données et de fichiers. Ils peuvent donc rapidement paralyser une organisation entière. Il s’agit d’une menace croissante, qui génère des milliards d’euros de paiements aux cybercriminels et inflige des dommages et des dépenses importants aux entreprises et aux organisations gouvernementales.

Comment attaque un rançongiciel ?

Les ransomwares utilisent le cryptage asymétrique. Il s’agit d’une cryptographie qui utilise une paire de clés pour crypter et décrypter un fichier. La paire de clés publique-privée est générée de manière unique par l’attaquant pour la victime ; la clé privée permettant de déchiffrer les fichiers étant stockée sur le serveur de l’attaquant. Le pirate ne met la clé privée à la disposition de la victime qu’après le paiement de la rançon ; bien que, comme on l’a vu dans les récentes campagnes de ransomware, ce ne soit pas toujours le cas. Sans accès à la clé de dé-chiffrement, il est pratiquement impossible de déchiffrer les fichiers qui font l’objet d’une demande de rançon.

Il existe de nombreuses variantes et familles de ransomware. Souvent, les ransomwares (et autres logiciels malveillants) sont distribués par le biais de campagnes de spam par e-mail ou d’attaques ciblées. Les logiciels malveillants ont besoin d’un vecteur d’attaque pour établir leur présence sur un terminal. Une fois sa présence établie, le malware reste sur le système jusqu’à ce que sa tâche soit accomplie.

Après un exploit réussi, le ransomware dépose et exécute un binaire malveillant sur le système infecté. Ce binaire recherche et crypte ensuite des fichiers ; tels que des documents Microsoft Word, des images, des bases de données, etc. Le ransomware peut également exploiter les vulnérabilités du système et du réseau pour se propager à d’autres systèmes ; voire à des organisations entières.

Une fois les fichiers cryptés, le ransomware demande à l’utilisateur de payer une rançon dans les 24 à 48 heures pour décrypter les fichiers ; faute de quoi ils seront perdus à jamais. Si une sauvegarde des données n’est pas disponible ou si ces sauvegardes ont elles-mêmes été cryptées, la victime doit payer la rançon en échange pour récupérer ses fichiers personnels. D’où l’intérêt d’effectuer régulièrement une sauvegarde offline des données. 

Ransomware protégez votre entreprise des logiciels malveillants

Comment se protéger contre les attaques de type ransomware ?

Pour éviter les différents types de ransomwares et limiter les dégâts si vous êtes victime d’une attaque, suivez ces conseils :

Mettez en place une solution de sauvegarde de vos données 

La meilleure façon d’éviter la menace d’un verrouillage de vos fichiers essentiels est de vous assurer que vous en avez toujours des copies de sauvegarde informatique ; de préférence dans le cloud et sur un disque dur externe. Ainsi, en cas d’infection par un ransomware, vous pouvez effacer votre ordinateur ou votre appareil et réinstaller vos fichiers à partir de la sauvegarde. Vos données seront ainsi protégées et vous ne serez pas tenté de céder aux auteurs du malware en payant une rançon. Les sauvegardes n’empêcheront pas les ransomwares, mais elles peuvent en atténuer les risques et les conséquences.

Sécurisez vos sauvegardes

Assurez-vous que les données présentes sur vos serveurs de sauvegardes ne sont pas accessibles pour modification ou suppression depuis les systèmes où elles résident. Les ransomwares rechercheront les sauvegardes de données et les crypteront ou les supprimeront afin qu’elles ne puissent pas être récupérées. Utilisez donc des systèmes de sauvegarde qui ne permettent pas d’accéder directement aux fichiers de sauvegarde.

Utilisez des logiciels de sécurité, anti ransomware et anti virus, et tenez-les à jour

Assurez-vous que tous vos ordinateurs et appareils sont protégés par un logiciel de sécurité informatique complet. Aussi, maintenez tous vos logiciels à jour. Veillez à mettre à jour les logiciels de vos appareils rapidement et régulièrement ; les correctifs pour les failles de sécurité sont généralement inclus dans chaque mise à jour.

Surfez en toute sécurité

Faites attention où vous cliquez. Ne répondez pas aux e-mails et aux SMS de personnes que vous ne connaissez pas. Aussi, ne téléchargez que des applications provenant de sources fiables. C’est important car les auteurs de logiciels malveillants utilisent souvent l’ingénierie sociale pour vous inciter à installer des fichiers dangereux.

N’utilisez que des réseaux sécurisés

Évitez d’utiliser les réseaux Wi-Fi publics. Beaucoup d’entre eux ne sont pas sécurisés et les cybercriminels peuvent espionner votre utilisation d’internet. Envisagez plutôt d’installer un VPN, qui vous fournit une solution d’accès internet sécurisée à l’internet, où que vous soyez.

Restez informé

Tenez-vous au courant des dernières cybermenaces afin de savoir à quoi vous devez faire attention. Si vous êtes victime d’une infection par un ransomware et que vous n’avez pas sauvegardé tous vos fichiers, sachez que certains outils de décryptage sont mis à disposition par des entreprises technologiques pour aider les victimes.

Mettez en place un programme de sensibilisation à la cybersécurité

Dispensez régulièrement une formation de sensibilisation à la cybersécurité à tous les membres de votre entreprise afin qu’ils puissent éviter le phishing et les autres attaques d’ingénierie sociale. Effectuez régulièrement des exercices et des tests pour vous assurer que la formation est bien respectée.

Besoin d’une protection anti-ransomware ?
Un devis ?

Contactez-nous !

9 étapes pour réagir à une attaque par ransomware

Si vous pensez avoir été victime d’une attaque par ransomware, il est important d’agir rapidement. Heureusement, il existe plusieurs mesures que vous pouvez prendre pour mettre toutes les chances de votre côté afin de minimiser les dommages et de reprendre rapidement vos activités habituelles.

Isolez l’appareil infecté par le ransomware

Un ransomware qui affecte un seul appareil est un inconvénient modéré. Un ransomware qui infecte tous les appareils de votre entreprise est une catastrophe majeure. Elle peut même entraîner la fermeture de votre société. La différence entre les deux se résume souvent au temps de réaction. Pour garantir la sécurité de votre réseau informatique, des lecteurs partagés et des autres dispositifs, la première chose à faire est de déconnecter le dispositif affecté du réseau, d’internet et des autres dispositifs aussi rapidement que possible. Plus tôt vous le faites, moins il y a de chances que d’autres appareils soient infectés.

Arrêtez la propagation du ransomware

Comme les ransomwares se déplacent rapidement et que l’appareil infecté n’est pas nécessairement le patient zéro, l’isolement immédiat de l’appareil infecté ne garantit pas que le ransomware n’existe pas ailleurs sur votre réseau. Pour limiter efficacement son champ d’action, vous devez déconnecter du réseau tous les appareils au comportement suspect ; y compris ceux qui fonctionnent hors site. S’ils sont connectés au réseau, ils présentent un risque, où qu’ils soient. Il est également judicieux de couper la connectivité sans fil (Wi-Fi, Bluetooth, etc.) à ce stade.

Évaluez les dommages après la cyberattaque

Pour déterminer quels matériels informatiques ont été infectés, vérifiez si des fichiers récemment cryptés portent des noms d’extension étranges. Aussi, recherchez les rapports de noms de fichiers bizarres ou d’utilisateurs ayant des difficultés à ouvrir des fichiers.

Si vous découvrez des appareils qui n’ont pas été complètement chiffrés, il faut les isoler et les éteindre pour aider à contenir l’attaque et éviter d’autres dommages et pertes de données. Votre objectif est de créer une liste complète de tous les systèmes affectés ; y compris les dispositifs de stockage en réseau, le stockage cloud, le stockage sur disque dur externe (y compris les clés USB), les ordinateurs portables, les smartphones et tout autre vecteur possible. À ce stade, il est prudent de verrouiller les partages. Tous doivent être restreints si possible ; sinon, restreignez-en autant que possible. Cela arrêtera tout processus de chiffrement en cours et empêchera d’autres partages d’être infectés pendant la durée de la remédiation.

Mais avant de faire cela, vous devez jeter un coup d’œil aux partages cryptés. Cela peut fournir une information utile. Si un appareil a un nombre de fichiers ouverts beaucoup plus élevé que d’habitude, vous venez peut-être de trouver votre patient zéro.

Localisez le patient zéro

Le suivi de l’infection devient considérablement plus facile une fois que vous avez identifié la source.

Pour ce faire, vérifiez les alertes qui ont pu être émises par votre antivirus/antimalware, votre EDR ou toute autre plateforme de surveillance active. Et comme la plupart des ransomwares pénètrent dans les réseaux par le biais de liens et de pièces jointes malveillants, qui nécessitent une action de la part de l’utilisateur final, il peut également être utile d’interroger les gens sur leurs activités, comme l’ouverture d’e-mails suspects, et sur ce qu’ils ont remarqué. 

Enfin, l’examen des propriétés des fichiers eux-mêmes peut également fournir un indice. La personne indiquée comme propriétaire est probablement le point d’entrée. N’oubliez pas, cependant, qu’il peut y avoir plus d’un Patient Zéro !

Identifiez le ransomware

Avant d’aller plus loin, il est important de découvrir la variante du ransomware à laquelle vous avez affaire. Vous pouvez par exemple vous rendre sur le site No More Ransom.

Le site propose une série d’outils pour vous aider à libérer vos données ; notamment l’outil Crypto Sheriff. Il suffit de télécharger l’un de vos fichiers cryptés pour qu’il effectue une analyse afin de trouver une correspondance. Vous pouvez également utiliser les informations incluses dans la note de rançon. Si elle n’indique pas directement la variante du ransomware, l’utilisation d’un moteur de recherche pour interroger l’adresse électronique ou la note elle-même peut vous aider.

Une fois que vous avez identifié le ransomware et effectué quelques recherches rapides sur son comportement, vous devez alerter tous les employés non affectés dès que possible afin qu’ils sachent comment repérer les signes de l’infection.

Signalez le ransomware aux autorités

Dès que le ransomware est maîtrisé, vous devez contacter les forces de l’ordre, comme le commissariat de police, pour plusieurs raisons. Tout d’abord, les ransomwares sont contraires à la loi et, comme tout autre crime, ils doivent être signalés aux autorités compétentes.

Deuxièmement, les enquêteurs peuvent être en mesure d’utiliser des autorités et des outils juridiques qui ne sont pas disponibles pour la plupart des organisations. Des partenariats avec les services répressifs internationaux peuvent être mis à profit pour aider à retrouver les données volées ou cryptées et à traduire les auteurs en justice.

Enfin, l’attaque peut avoir des implications en matière de conformité. Selon les termes du RGPD, si vous n’informez pas l’OIC dans les 72 heures d’une violation impliquant des données de citoyens européens, votre entreprise pourrait encourir de lourdes amendes.

Évaluez vos sauvegardes

Il est maintenant temps de commencer le processus de réponse. La façon la plus rapide et la plus simple de le faire est de restaurer vos systèmes à partir d’une sauvegarde. Idéalement, vous disposerez d’une sauvegarde complète et non infectée ; créée assez récemment pour être utile.

Si c’est le cas, l’étape suivante consiste à utiliser un antivirus professionnel et un antimalware pour s’assurer que tous les systèmes et appareils infectés sont débarrassés du ransomware ; sans quoi il continuera à verrouiller votre système et à crypter vos fichiers. Ce qui pourrait corrompre votre sauvegarde. Une fois toutes les traces de logiciels malveillants éliminées, vous pourrez restaurer vos systèmes à partir de cette sauvegarde. Et, une fois que vous aurez confirmé que toutes les données ont été restaurées et que toutes les applications et tous les processus fonctionnent à nouveau normalement, vous pourrez reprendre vos activités comme avant.

Malheureusement, de nombreuses entreprises ne réalisent pas l’importance de créer et de conserver des sauvegardes jusqu’à ce qu’elles en aient besoin et qu’elles ne soient plus là. Les ransomwares modernes étant de plus en plus sophistiqués et résistants, certaines de celles qui créent des sauvegardes découvrent rapidement que le ransomware les a également corrompues ou cryptées ; les rendant complètement inutiles.

Recherchez vos options de décryptage

Si vous vous retrouvez sans sauvegarde viable, vous avez encore une chance de récupérer vos données. Comme nous vous le disions, vous trouverez un nombre croissant de clés de décryptage gratuites sur le site No More Ransom.

Si l’une d’entre elles est disponible pour la variante de ransomware à laquelle vous avez affaire (et en supposant que vous avez déjà effacé toute trace de malware de votre système), vous pourrez utiliser la clé de décryptage pour déverrouiller vos données. Cependant, même si vous avez la chance de trouver un décrypteur, vous n’avez pas encore terminé. Vous devez vous attendre à des heures ou des jours d’interruption de service pendant que vous travaillez à la résolution du problème.

Passez à autre chose

Malheureusement, si vous n’avez pas de sauvegardes viables et que vous ne parvenez pas à localiser une clé de décryptage, votre seule option peut être d’arrêter les frais et de repartir de zéro. La reconstruction ne sera pas un processus rapide ou peu coûteux, mais une fois que vous avez épuisé vos autres options, c’est le mieux que vous puissiez faire.

Besoin d’un audit de cybersécurité ?
Un devis ?

Contactez-nous !

Pourquoi ne devrais-je pas payer la rançon ?

Face à la possibilité d’une récupération de plusieurs semaines ou mois de travail, il peut être tentant de céder à une demande de rançon. Mais il y a plusieurs raisons pour lesquelles c’est une mauvaise idée.

Vous risquez de ne jamais obtenir de clé de décryptage

Lorsque vous payez une demande de rançon, vous êtes censé obtenir une clé de décryptage en retour. Mais lorsque vous effectuez une transaction, vous dépendez de l’intégrité des criminels. De nombreuses personnes et organisations victimes de cyberattaques ont payé la rançon pour ne rien recevoir en retour. Elles ont alors perdu des centaines, des milliers ou des millions d’euros et doivent reconstruire leurs systèmes à partir de zéro.

Vous pouvez recevoir des demandes de rançon répétées

Une fois que vous avez payé la rançon, les cybercriminels qui ont déployé le ransomware savent que vous êtes à leur merci. Ils peuvent vous donner une clé de décryptage si vous êtes prêt à payer un peu ou beaucoup plus.

Vous pouvez recevoir une clé de décryptage qui fonctionne … en quelque sorte

Les créateurs de ransomwares ne cherchent pas à récupérer des fichiers, mais à gagner de l’argent. En d’autres termes, le décrypteur que vous recevez peut être juste assez bon pour que les criminels puissent dire qu’ils ont respecté leur part du marché. En outre, il n’est pas rare que le processus de cryptage lui-même corrompe certains fichiers de manière irrémédiable. Si cela se produit, même une bonne clé de décryptage ne pourra pas déverrouiller vos fichiers ; ils seront perdus à jamais.

Vous risquez de vous faire une cible dans le dos

Lorsque vous payez une rançon, les criminels savent que vous êtes un bon investissement. Une organisation qui a l’habitude de payer la rançon est une cible plus attrayante qu’une nouvelle cible qui peut ou non payer. Qu’est-ce qui empêchera le même groupe de criminels d’attaquer à nouveau dans un an ou deux ; ou de se connecter à un forum et d’annoncer aux autres cybercriminels que vous êtes une cible facile ?

Même si tout se passe bien, vous financez quand même une activité criminelle

Supposons que vous payiez la rançon, que vous receviez une bonne clé de décryptage et que tout soit à nouveau opérationnel. C’est le meilleur scénario possible ; et pas seulement parce que vous avez perdu beaucoup d’argent. Lorsque vous payez la rançon, vous financez des activités criminelles. Sans parler des implications morales évidentes, vous renforcez l’idée que les rançongiciels sont un modèle économique qui fonctionne. Réfléchissez-y : si personne ne payait jamais la rançon, pensez-vous qu’ils continueraient à diffuser des ransomwares.

Forts de leur succès et de leurs gains exceptionnels, ces criminels continueront à faire des ravages dans des entreprises peu méfiantes et à consacrer du temps et de l’argent au développement de nouvelles souches de ransomwares encore plus infâmes ; dont certaines pourraient se retrouver sur vos appareils à l’avenir.

FAQ autour du sujet des ransomwares

FAQ autour du sujet des ransomwares

Pourquoi les ransomwares se répandent-ils ?

Les attaques par ransomware et leurs variantes évoluent rapidement pour contrer les technologies préventives, et ce pour plusieurs raisons :

  • La disponibilité facile de kits de logiciels malveillants qui peuvent être utilisés pour créer de nouveaux échantillons de logiciels malveillants à la demande.
  • Utilisation de bons interprètes génériques connus pour créer des ransomwares multiplateformes (par exemple, Ransom32 utilise Node.js avec une charge utile JavaScript).
  • Utilisation de nouvelles techniques, telles que le chiffrement de l’ensemble du disque au lieu de certains fichiers.
  • Les voleurs d’aujourd’hui n’ont même pas besoin d’être des experts en technologie. Des places de marché pour les rançongiciels sont apparues en ligne ; proposant des souches de logiciels malveillants à tous les cybercriminels en herbe et générant des profits supplémentaires pour les auteurs des logiciels malveillants, qui demandent souvent une part du produit de la rançon.

Pourquoi est-il si difficile de trouver les auteurs de rançonnage ?

L’utilisation de crypto-monnaies anonymes pour le paiement, comme le bitcoin, rend difficile de suivre la piste de l’argent et de retrouver les criminels. De plus en plus, les groupes cybercriminels conçoivent des ransomwares pour faire un profit rapide. La facilité d’accès au code source ouvert et aux plates-formes « glisser-déposer » pour développer des ransomwares a accéléré la création de nouvelles variantes de ransomwares et aidé les novices en matière de script à créer leurs propres ransomwares.

En général, les logiciels pirates de pointe comme les ransomwares sont polymorphes de par leur conception. Ce qui permet aux cybercriminels de contourner facilement la sécurité traditionnelle basée sur la signature et le hachage des fichiers.

Qu’est-ce qu’un ransomware-as-a-service (RaaS) ?

Le Ransomware-as-a-Service (RaaS) est un modèle économique de cybercriminalité qui permet aux développeurs de logiciels malveillants de gagner de l’argent pour leurs créations ; sans avoir à distribuer leurs menaces.

Des pirates non techniques achètent leurs produits et lancent les infections ; tout en versant aux développeurs un pourcentage de leurs gains. Les développeurs courent relativement peu de risques et leurs clients font le gros du travail. Certains cas de ransomware-as-a-service utilisent des abonnements ; tandis que d’autres nécessitent une inscription pour accéder au ransomware.

Comment se débarrasser d’un ransomware

Les cyberattaques par ransomware passent inévitablement à travers les défenses de sécurité ; malgré une préparation et une hygiène de sécurité appropriées. À ce stade, il est essentiel de détecter l’attaque le plus tôt possible et d’empêcher sa propagation à d’autres systèmes et appareils.

Si vous êtes victime d’un ransomware, vous pouvez suivre les étapes suivantes pour supprimer un ransomware. Les employés touchés par un ransomware doivent en informer immédiatement leur responsable et l’équipe du service d’assistance.

Étape 1. Isolez l’appareil infecté par le ransomware

Déconnectez immédiatement l’appareil concerné de toute connexion filaire ou sans fil ; y compris d’internet, des réseaux, des appareils mobiles, des lecteurs flash, des disques durs externes, des comptes de stockage en nuage et des lecteurs réseau. Cela empêchera le ransomware de se propager à d’autres appareils.

Vérifiez également si les appareils connectés à l’appareil infecté ont été infectés par le ransomware.

Si la rançon n’a pas encore été exigée, supprimez immédiatement le logiciel malveillant du système. Si la rançon a été demandée, soyez prudent dans votre engagement avec les auteurs ; si tant est qu’ils le fassent. De nombreuses autorités judiciaires, dont le FBI ou Interpol, recommandent de ne pas payer la rançon.

Étape 2. Déterminez le type de ransomware

Le fait de savoir quelle souche de ransomware a infecté l’appareil peut faciliter les efforts de remédiation. Si l’accès à l’appareil est bloqué, comme dans le cas d’un ransomware à casier, cela peut être impossible. L’appareil infecté devra peut-être être examiné par un prestataire informatique expérimenté ou diagnostiqué à l’aide d’un outil logiciel. Certains outils sont disponibles en tant que freeware ; tandis que d’autres nécessitent un abonnement payant.

Étape 3. Supprimez le ransomware

Avant de récupérer le système, le ransomware doit être supprimé. Lors du piratage initial, le logiciel ransomware infecte un système et crypte les fichiers et/ou verrouille l’accès au système. Seul un mot de passe ou une clé de décryptage permettra de déverrouiller ou de décrypter la restriction.

Il existe quelques solutions pour supprimer un ransomware :

  • Vérifier si le ransomware est supprimé. Les ransomwares se suppriment parfois d’eux-mêmes après avoir infecté un système. D’autres fois, ils restent sur un appareil pour infecter d’autres appareils ou fichiers.
  • Utilisez un antimalware/anti-ransomware. La plupart des logiciels anti-malware et anti-ransomware peuvent mettre en quarantaine et supprimer le logiciel malveillant.
  • Demandez de l’aide à des professionnels de la sécurité comme EXTER. Travaillez avec un professionnel de la sécurité, que ce soit au sein de l’organisation ou avec une assistance technique tierce, pour vous aider à supprimer le ransomware.
  • Supprimez-le manuellement. Si possible, vérifiez les logiciels installés sur un appareil et désinstallez le fichier ransomware. Cette opération n’est recommandée qu’aux professionnels de la sécurité chevronnés.
  • Notez que, même si le ransomware est supprimé, il peut être difficile d’accéder aux fichiers cryptés. Des outils de décryptage des ransomwares sont disponibles. De nombreuses options antimalware et anti-ransomware offrent cette fonctionnalité. Mais n’oubliez pas que les outils de décryptage ne sont pas disponibles pour toutes les souches de ransomware.

Dans le cadre des activités médico-légales, les équipes informatiques doivent effectuer une analyse détaillée de l’appareil ou du système pour s’assurer qu’il ne reste aucun vestige de ransomware. Il peut être nécessaire de mettre en quarantaine les appareils concernés pour s’assurer qu’ils sont nettoyés en profondeur avant de les remettre en service.

Étape 4. Récupérez le système avant l’infection par le ransomware

Récupérez les fichiers en restaurant une version antérieure du système d’exploitation avant l’attaque. Si les sauvegardes n’étaient pas cryptées ou verrouillées, restaurez-les en utilisant la fonction de restauration du système. Remarque : les fichiers créés après la dernière date de sauvegarde ne seront pas récupérés.

La plupart des systèmes d’exploitation courants disposent d’outils permettant de récupérer les fichiers et offrent d’autres possibilités pour restaurer les systèmes compromis.

Après avoir restauré le système, veillez à effectuer les opérations suivantes :

  • Mettez à jour tous les mots de passe et codes d’accès de sécurité dès que possible.
  • Vérifiez que les règles du pare-feu et le logiciel anti-malware sont à jour. Remplacez les logiciels de sécurité par des logiciels plus puissants si nécessaire.
  • Suivez les mesures de prévention des ransomwares pour éviter de futures infections par ransomware.
DEVIS EXTER GRATUIT

Recevez votre devis personnalisé dans la journée

Dites-nous ce qu'il vous faut, on s'occupe de tout !

Demander un devis
Mathieu CARLIER
Mathieu CARLIER
CMO

Spécialiste des télécommunications, de l'informatique et de la cybersécurité depuis 2005, Mathieu CARLIER a travaillé pour plusieurs opérateurs télécoms B2B et des éditeurs de logiciels.

Related Posts
Close
Search

Hit enter to search or ESC to close