Comment protéger et récupérer votre entreprise contre les ransomwares

Les États-Unis se préparent à l'impact d'une épidémie mondiale de ransomware basée sur la souche de malware Wanna Decryptor. Il est important de protéger votre entreprise et vos données de cette menace qui se propage rapidement, mais une fois que nous l'avons dépassée, vous devez vous rappeler que Wanna Decryptor n'est que l'exemple le plus bruyant du problème des ransomwares.

Il y a trois choses à savoir sur le ransomware: c'est effrayant, il se développe rapidement et c'est une grosse affaire. Selon le Internet Crime Complaint Center (IC3) du FBI, plus de 992 plaintes relatives à CryptoWall ont été reçues entre avril 2014 et juin 2015, entraînant des pertes de plus de 18 millions de dollars. Ce succès malin se reflète dans le taux de croissance du ransomware avec l'indice de menace DNS d'Infoblox, qui indique une multiplication par 35 du nombre de nouveaux domaines créés pour le ransomware au premier trimestre de 2016 (par rapport au quatrième trimestre de 2015).

En général, les ransomwares suppriment un mur crypté entre une entreprise et les données et applications internes que l'entreprise doit exploiter. Mais ces attaques peuvent être beaucoup plus graves que la simple inaccessibilité des données. Si vous n’êtes pas préparé, votre entreprise pourrait s’arrêter.

Il suffit de demander au centre médical presbytérien de Hollywood. Longtemps avant Wanna Decryptor, l'hôpital avait appris une douloureuse leçon lorsque le personnel avait perdu l'accès à son ordinateur lors d'une épidémie de ransomware au début de 2016. L'hôpital a payé la rançon de 17 000 $ après 10 jours d'utilisation par des employés utilisant des télécopieurs et des cartes papier. Ou demandez au département de police de Tewksbury. En avril 2015, ils ont payé la rançon pour retrouver l'accès aux enregistrements cryptés des arrestations et des incidents.

Comment les entreprises sont-elles infectées?

S'il existe un bon côté pour Wanna Decryptor à quelque niveau que ce soit, c'est que cela sert à prouver, sans aucun doute, que la menace présentée par les logiciels ransomware est réelle. Aucune entreprise ou employé n’est à l’abri d’une éventuelle attaque par ransomware. Il est important de comprendre en quoi un ransomware infecte les ordinateurs avant de discuter de la façon de protéger votre entreprise contre ce virus ou de réagir en cas de compromission. Comprendre l'origine et le mode d'infection permet de mieux se protéger.

Ransomware provient généralement de l'une des deux sources suivantes: sites Web compromis et pièces jointes. Un site Web légitime qui a été compromis peut héberger un kit d'exploitation qui infecte votre ordinateur, généralement via un exploit du navigateur. La même méthodologie peut être utilisée par un site Web de phishing. Un téléchargement drive-by installe un ransomware et il commence à chiffrer vos fichiers.

Dans le cas d'une pièce jointe malveillante, les utilisateurs sont amenés à ouvrir la pièce jointe, ce qui installe ensuite un ransomware. Cela peut être aussi simple qu'un faux message électronique avec une pièce jointe exécutable, un fichier Microsoft Word infecté qui vous incite à activer des macros ou un fichier avec une extension renommée telle qu'un fichier qui se termine par "PDF" mais est en réalité un fichier EXE (un exécutable).

"Dans les deux cas, une sorte d'ingénierie sociale est utilisée pour inciter l'utilisateur à s'infecter", explique Luis Corrons, directeur technique de PandaLabs chez Panda Security. "Cela offre aux entreprises une excellente occasion d'éduquer leurs utilisateurs pour qu'elles évitent ces risques, mais malheureusement, la plupart des petites entreprises négligent cela et passent à côté de la chance de se sauver un gros casse-tête."

Actuellement, il n'y a pas de solution miracle pour assurer la sécurité de votre entreprise contre les ransomwares. Mais chaque entreprise doit suivre cinq étapes qui peuvent réduire considérablement leurs risques d’infection et atténuer la douleur si une attaque réussissait.

Préparer

Un élément clé de la préparation à une attaque par ransomware consiste à développer une stratégie de sauvegarde robuste et à effectuer des sauvegardes régulières. "Les sauvegardes robustes sont un élément clé d'une stratégie anti-ransomware", a déclaré Philip Casesa, stratège en développement de produits chez ISC2, une organisation mondiale à but non lucratif qui certifie les professionnels de la sécurité. "Une fois vos fichiers cryptés, votre seule option viable consiste à restaurer la sauvegarde. Vos autres options consistent à payer la rançon ou à perdre les données."

"Vous devez avoir une sorte de sauvegarde, une vraie solution de sauvegarde des actifs que vous avez déterminés est essentielle pour votre entreprise", a poursuivi Casesa. "La sauvegarde en temps réel ou la synchronisation de fichiers ne feront que sauvegarder vos fichiers cryptés. Vous avez besoin d'un processus de sauvegarde robuste qui vous permet de restaurer plusieurs jours et de restaurer des applications et des données locales et serveur."

Corrons de Panda Security offre une précaution supplémentaire: les sauvegardes "sont essentielles en cas d'échec de vos défenses, mais assurez-vous d'avoir supprimé le ransomware avant de restaurer les sauvegardes. Chez PandaLabs, nous avons vu le ransomware chiffrer les fichiers de sauvegarde."

Une solution de sauvegarde à prendre en compte est une solution de sauvegarde distribuée ou à plusieurs niveaux qui conserve plusieurs copies de fichiers de sauvegarde dans différents emplacements et sur différents supports (un noeud infecté n'a donc pas immédiatement accès aux référentiels de fichiers actuels et aux archives de sauvegarde). De telles solutions sont disponibles auprès de plusieurs fournisseurs de sauvegarde en ligne de petites et moyennes entreprises (PME), ainsi que de la plupart des fournisseurs DRaaS (Disaster-Recovery-as-a-Service).

Prévenir

Comme mentionné précédemment, la formation des utilisateurs est une arme puissante mais souvent négligée dans votre arsenal contre les ransomwares. Formez les utilisateurs à reconnaître les techniques d'ingénierie sociale, à éviter les clickbait et à ne jamais ouvrir une pièce jointe de quelqu'un qu'ils ne connaissent pas. Les pièces jointes de personnes qu’ils connaissent devraient être examinées et ouvertes avec prudence.

"Comprendre comment les ransomwares se propagent identifie les comportements des utilisateurs qui doivent être modifiés pour protéger votre entreprise", a déclaré Casesa. "Les pièces jointes aux courriels constituent le principal risque d'infection, les téléchargements au numéro 2 et les liens malveillants dans les e-mails le troisième. L'homme joue un rôle important dans l'infection par le ransomware."

Former les utilisateurs à la menace des ransomwares est plus facile que vous ne le pensez, en particulier pour les PME. Bien sûr, il peut prendre la forme traditionnelle d’un long séminaire interne, mais il peut aussi s'agir simplement d’une série de déjeuners de groupe au cours desquels les informaticiens ont la possibilité d’informer les utilisateurs via une discussion interactive, pour le prix modique de quelques pizzas. Vous pouvez même envisager de faire appel à un consultant externe en sécurité pour dispenser la formation, avec quelques vidéos supplémentaires ou des exemples concrets.

Protéger

Le meilleur endroit pour commencer à protéger votre PME contre les ransomwares est de choisir parmi les quatre meilleures stratégies d’atténuation: liste blanche des applications, correction des applications, correction des systèmes d’exploitation (OS) et réduction des privilèges d’administration. Casesa n'a pas tardé à souligner que "ces quatre contrôles gèrent au moins 85% des menaces de logiciels malveillants".

Pour les PME qui s'appuient toujours sur un antivirus (AV) PC individuel pour la sécurité, le passage à une solution de sécurité des points de terminaison gérés permet au service informatique de centraliser la sécurité pour l'ensemble de l'entreprise et de prendre le contrôle intégral de ces mesures. Cela peut considérablement augmenter l'efficacité de l'AV et de l'anti-malware.

Quelle que soit la solution que vous choisissez, assurez-vous qu'elle inclut des protections basées sur le comportement. Nos trois experts ont convenu que l'anti-malware basé sur la signature n'était pas efficace contre les menaces logicielles modernes.

Ne payez pas

Si vous ne vous êtes pas préparé pour et ne vous êtes pas protégé contre les ransomwares et que vous êtes infecté, il peut être tentant de payer la rançon. Cependant, lorsqu'on leur a demandé s'il s'agissait d'une décision judicieuse, nos trois experts ont été unis dans leur réponse. Corrons a rapidement fait remarquer que "payer, c'est risqué. Maintenant, vous perdez certainement votre argent et peut -être que vos fichiers sont non chiffrés." Après tout, pourquoi un criminel deviendrait-il honorable après l’ avoir payé?

En payant les criminels, vous leur donnez une incitation et les moyens de développer un meilleur logiciel de ransomware. "Si vous payez, vous aggravez encore la situation pour tous les autres", déclare Casesa. "Les méchants utilisent votre argent pour développer des programmes malveillants plus malveillants et en infecter d'autres."

Protéger les futures victimes n'est peut-être pas une priorité lorsque vous essayez de gérer une entreprise avec ses données en otage, mais examinez-le sous cet angle: cette prochaine victime pourrait bien être à nouveau votre cas, cette fois encore plus malware efficace que vous avez aidé à payer pour développer.

Casesa fait remarquer qu '"en payant la rançon, vous êtes désormais une cible privilégiée pour les criminels, car ils savent que vous allez payer". Vous devenez, dans le langage commercial, un prospect qualifié. Tout comme il n'y a pas d'honneur parmi les voleurs, il n'y a aucune garantie que le logiciel de ransomware sera complètement supprimé. Le criminel a accès à votre ordinateur et peut déchiffrer vos fichiers et y laisser le programme malveillant pour surveiller vos activités et voler des informations supplémentaires.

Restez productif

Si les dommages causés par les ransomwares concernent uniquement votre entreprise, pourquoi ne pas prendre des mesures pour accroître la continuité de vos activités en passant au cloud? "Le niveau de protection et la sécurité globale que vous obtenez avec le cloud sont bien supérieurs à ce que les petites entreprises pourraient se permettre", souligne Brandon Dunlap, RSSI mondial de Black & Veatch. "Les fournisseurs d'informatique en nuage disposent d'une analyse des logiciels malveillants, d'une authentification améliorée et de nombreuses autres protections qui réduisent considérablement le risque qu'ils soient victimes d'une attaque par ransomware."

À tout le moins, déplacez les serveurs de messagerie vers le cloud. Dunlap souligne que "le courrier électronique est un énorme vecteur d’attaque pour les ransomwares. Déplacez-le vers le cloud où les fournisseurs intègrent plusieurs contrôles de sécurité, tels que l’analyse des programmes malveillants et le DLP". Des couches de sécurité supplémentaires, telles que la réputation du site basée sur un proxy et l'analyse du trafic, peuvent être ajoutées par le biais de nombreux services cloud et peuvent limiter davantage votre exposition au ransomware.

Dunlap est enthousiasmé par les protections offertes par le cloud contre les ransomwares. "Nous sommes à un moment fantastique dans l'histoire de la technologie avec une multitude de solutions à faible frottement pour résoudre de nombreux problèmes auxquels sont confrontées les petites entreprises", a déclaré M. Dunlap. "Cela rend les petites entreprises plus agiles du point de vue informatique."

Si votre ordinateur local est infecté par un ransomware, le fait que vos données se trouvent dans le nuage n’importe plus. Essuyez votre ordinateur local, re-imaginez-le, reconnectez-vous à vos services cloud et vous êtes de retour dans les affaires.

N'attendez pas que la chaussure tombe

Ce n'est pas une de ces situations dans lesquelles une approche attentiste est votre meilleure tactique. Wanna Decryptor montre clairement que le ransomware existe déjà; il progresse à pas de géant, tant par son raffinement que par sa popularité - et il vous cherche sans aucun doute. Même après que la menace actuelle se soit dissipée, il est extrêmement important que vous preniez des mesures pour protéger les données et les ordinateurs d'extrémité des infections.

Créez des sauvegardes régulières, formez les employés à éviter les infections, corrigez les applications et les systèmes d'exploitation, limitez les privilèges d'administrateur et exécutez un logiciel anti-malware non basé sur les signatures. Si vous suivez ces conseils, vous pourrez alors empêcher toutes les infections, à l'exception des plus saignantes (et celles qui ne ciblent probablement pas les PME). Dans le cas où une attaque traverse vos défenses, disposez d'un plan clair et éprouvé permettant au service informatique de nettoyer l'infection, de restaurer les sauvegardes et de reprendre les opérations commerciales normales.

Si vous ne suivez pas ces meilleures pratiques et que vous êtes infecté, sachez que le paiement de la rançon ne donne aucune garantie, vous qualifie de ventouse pour les criminels et leur donne les moyens de développer des ransomwares encore plus insidieux (et les incitatifs). l'utiliser sur vous aussi souvent que possible). Ne sois pas une victime. Au lieu de cela, prenez le temps maintenant de récolter les avantages plus tard: préparer, prévenir, protéger et rester productif.