Table des matières:
- Comment éviter une attaque de ransomware
- Pourquoi Ransomware est différent
- Comment se protéger
- Avertissements et protections précoces
- Devez-vous payer la rançon?
Vidéo: "La khota" de Tebboune ou comment l'Algérie peine à récupérer l'argent volé et détourné à l'étranger (Novembre 2024)
Nous savons tous que le ransomware est l’une des variantes de malware les plus destructrices. Vous parlez de cliquer sur le mauvais lien et de faire disparaître les données de votre entreprise dans un chaos de charabia chiffré, voire de supprimer les systèmes d'exploitation de son serveur (OS) et autres fichiers critiques. Vous pouvez payer la rançon, mais cela peut non seulement être coûteux, mais ne garantit en aucun cas que les méchants vous rendront vos données.
Comment éviter une attaque de ransomware
La première étape est ce que Israel Barak, responsable de la sécurité de l’information (CISO) en charge du développeur de logiciels de détection et de réponse des terminaux, Cybereason, appelle "l’hygiène et la sécurité". Cela signifie qu’il faut éviter les vulnérabilités et filtrer les e-mails et le trafic Web. Cela implique également de former les utilisateurs et de veiller à ce que les correctifs de votre système d'exploitation, de vos applications et de vos produits de sécurité soient parfaitement à jour.
La deuxième étape consiste à mettre en place une stratégie de continuité et de reprise des activités. Cela signifie qu’il faut en fait planifier ce qui ne va pas au lieu d’espérer. Barak a expliqué que cela impliquait d'avoir des sauvegardes en place et testées, de savoir comment vous allez restaurer les services concernés, de savoir où vous allez obtenir des ressources informatiques pour la récupération et de savoir que votre plan de récupération complet fonctionnera, car vous l'avez réellement testé.
La troisième étape consiste à mettre en place une protection anti-malware. Barak a déclaré que cela incluait des protections contre les logiciels malveillants entrant sur votre réseau et contre les logiciels malveillants exécutés sur vos systèmes. Heureusement, la plupart des logiciels malveillants sont assez faciles à détecter car leurs auteurs partagent souvent des routines efficaces.
Pourquoi Ransomware est différent
Malheureusement, les ransomwares ne sont pas comme les autres logiciels malveillants. Barak a déclaré que, comme les ransomwares résidaient brièvement sur un ordinateur, il était facile d'éviter la détection avant d'avoir terminé le cryptage et envoyé le message de ransomware. En outre, contrairement aux autres types de programmes malveillants, le logiciel malveillant qui effectue le chiffrement des fichiers peut arriver sur les ordinateurs de la victime quelques instants avant le début du chiffrement.
Deux types de logiciels malveillants relativement récents, Ryuk et SamSam, pénètrent dans vos systèmes sous la supervision d'un opérateur humain. Dans le cas de Ryuk, cet opérateur est probablement situé en Corée du Nord et avec SamSam en Iran. Dans chaque cas, l'attaque commence par la recherche d'informations d'identification permettant l'accès au système. Une fois là-bas, l'opérateur examine le contenu du système, décide des fichiers à chiffrer, élève les privilèges, recherche et désactive les logiciels anti-programmes malveillants et les liens vers les sauvegardes afin de les chiffrer ou, dans certains cas, les désactive. Ensuite, après peut-être des mois de préparation, le logiciel malveillant de chiffrement est chargé et lancé; il peut finir son travail en quelques minutes, beaucoup trop rapidement pour qu'un opérateur humain puisse intervenir.
"Dans SamSam, ils n'utilisaient pas le phishing conventionnel", a expliqué Carlos Solari, vice-président du développeur de solutions de cybersécurité, Comodo Cybersecurity, et ancien CIO de la Maison Blanche. "Ils ont utilisé des sites Web, volé les identifiants de personnes et utilisé la force brutale pour obtenir les mots de passe."
Solari a déclaré que ces intrusions n'étaient souvent pas détectées car il n'y avait pas de logiciels malveillants impliqués jusqu'à la fin. Mais il a dit que, bien fait, il y a moyen d'arrêter l'attaque à ce stade. Habituellement, a-t-il déclaré, les criminels attaqueront les services d'annuaire du réseau et les attaqueront afin d'obtenir les privilèges d'administration requis pour leur mise en scène. À ce stade, un système de détection d'intrusion (IDS) peut détecter les modifications et, si les opérateurs de réseau savent ce qu'il faut rechercher, ils peuvent alors verrouiller le système et expulser les intrus.
"S'ils font attention, alors ils se rendront compte que quelqu'un est à l'intérieur", a déclaré Solari. "Il est important de trouver des informations sur les menaces internes et externes. Vous recherchez des anomalies dans le système."
Comment se protéger
Pour les petites entreprises, Solari suggère aux entreprises de trouver un centre d'opérations de sécurité géré (MDR) pour la détection et la réponse. Il a ajouté que les grandes entreprises pourraient vouloir trouver un fournisseur de services de sécurité gérés (MSSP). L'une ou l'autre solution permettra de garder un œil sur les événements de sécurité, y compris la mise en place avant une attaque majeure de ransomware.
En plus de surveiller votre réseau, il est également important de rendre votre réseau aussi peu accueillant que possible pour les criminels. Selon Adam Kujawa, directeur de Malwarebyte Labs, une étape cruciale consiste à segmenter votre réseau afin qu'un intrus ne puisse pas simplement se déplacer sur votre réseau et avoir accès à tout. "Vous ne devriez pas conserver toutes vos données au même endroit", a déclaré Kujawa. "Vous avez besoin d'un niveau de sécurité plus profond."
Mais s'il s'avère que vous n'avez pas détecté les étapes invasives avant l'attaque du ransomware, il existe une autre couche ou réponse, à savoir la détection du comportement du logiciel malveillant lorsqu'il commence à chiffrer des fichiers.
"Nous avons ajouté un mécanisme comportemental qui s'appuie sur un comportement typique des ransomwares", explique Barak. Il a ajouté qu'un tel logiciel surveillait ce que les ransomwares pourraient faire, tels que le cryptage de fichiers ou l'effacement de sauvegardes, puis qu'il prenait des mesures pour mettre fin au processus avant qu'il ne puisse causer de dommages. "Il est plus efficace contre des souches de ransomware jamais vues auparavant."
Avertissements et protections précoces
Pour fournir une forme d'alerte précoce, Barak a déclaré que Cybereason faisait un pas de plus. "Nous avons utilisé un mécanisme d'exception", a-t-il déclaré. "Lorsque le logiciel Cybereason est installé sur un terminal, il crée une série de fichiers de base, placés dans des dossiers du disque dur, qui inciteraient les logiciels ransomware à les chiffrer en premier." Il a dit que les modifications apportées à ces fichiers sont détectées immédiatement, Ensuite, le logiciel Cybereason ou un logiciel similaire de Malwarebytes met fin au processus et, dans de nombreux cas, conteneurise le logiciel malveillant afin qu'il ne puisse plus causer de dommages.
Donc, plusieurs couches de défense peuvent empêcher une attaque par ransomware et, si vous les avez toutes fonctionnelles et en place, une attaque réussie devra suivre une série d'échecs pour se produire. Et vous pouvez arrêter ces attaques n'importe où le long de la chaîne.
Devez-vous payer la rançon?
Mais supposons que vous décidiez de payer la rançon et de restaurer les opérations immédiatement? "Pour certaines organisations, c'est une option viable", a déclaré Barak.
Il vous faudrait évaluer le coût de l'interruption d'activité pour déterminer si le coût de la remise en service est supérieur au coût de la restauration, tout compte fait. Barak a déclaré que, dans le cas des attaques de ransomware, "dans la plupart des cas, vous récupérez les fichiers".
Mais Barak a déclaré que, si payer la rançon est une possibilité, alors vous avez d'autres considérations. "Comment pouvons-nous nous préparer à l'avance pour avoir le mécanisme permettant de négocier le coût de la restitution des services? Comment les payons-nous? Comment formons-nous le mécanisme permettant de négocier ce type de paiement?"
Selon Barak, presque chaque attaque par ransomware inclut un moyen de communication avec l'attaquant, et la plupart des entreprises tentent de négocier un accord auquel les attaquants pour ransomware sont généralement ouverts. Par exemple, vous pouvez décider que vous n'avez besoin que d'une partie des machines cryptées et négocier le retour de ces machines.
- La meilleure protection Ransomware pour 2019 La meilleure protection Ransomware pour 2019
- Les pirates SamSam Ransomware gagnent 5, 9 millions de dollars Les pirates SamSam Ransomware gagnent 5, 9 millions de dollars
- 2 Iraniens derrière les attaques de SamSam Ransomware, selon les Etats-Unis 2 Iraniens derrière les attaques de SamSam Ransomware, selon les Etats-Unis
"Le plan doit être mis en place à l'avance. Comment allez-vous réagir, qui va communiquer, comment vous allez payer la rançon?" Dit Barak.
Bien que le paiement soit une option viable, il reste pour la plupart des organisations une option ultime, et non une solution miracle. Il existe de nombreuses variables que vous ne pouvez pas contrôler dans ce scénario. De plus, après avoir payé une fois, vous ne pouvez jamais garantir que vous ne serez pas attaqué pour plus d'argent dans le futur. Un meilleur plan consiste à utiliser une défense solide qui est assez difficile à déjouer pour la plupart des attaques de logiciels malveillants et à vaincre ceux qui réussissent. Mais quoi que vous décidiez, souvenez-vous que pratiquement toutes les solutions nécessitent une sauvegarde religieuse. Faites-le maintenant, faites-le souvent et testez-le souvent pour vous assurer que tout fonctionnera sans heurts.
