Les ransomwares gagnent du terrain
Actuellement, les nouvelles d'attaques réussies de ransomware ne cessent de tomber. Qu'il s'agisse d'un grand pipeline américain, d'un producteur et distributeur de viande actif dans le monde entier, de développeurs de jeux vidéo, d'autorités gouvernementales ou de ministères. Partout, les attaques sont actives et les rapports d'attaques réussies arrivent presque quotidiennement.
Mais qu'est-ce qu'un ransomware au juste ?
Un ransomware est un logiciel malveillant qui crypte soit des données sélectionnées, soit des systèmes complets et laisse ensuite un message demandant à la victime de payer une rançon. Les rançons sont souvent calculées en fonction de la taille de l'entreprise et des données cryptées.
Toutefois, les données sont également de plus en plus souvent exfiltrées. Cela signifie qu'elles sont copiées et téléchargées sur les systèmes des auteurs. Cela est ensuite utilisé pour faire du chantage à la victime en publiant ces données.
Comme de plus en plus d'entreprises ont des concepts de sauvegarde qui fonctionnent, elles sont de moins en moins nombreuses à être prêtes à payer la rançon. Mais lorsque le fait que des documents internes importants pourraient être publiés apparaît soudain, de nombreuses entreprises sont prêtes à payer la rançon.
Mais il n'y a aucune garantie que les auteurs de l'attaque respectent leurs déclarations et ne publient pas les données.
Il est donc important de veiller à ce que cela ne puisse pas arriver.
Comment peut-on se protéger contre les ransomwares ?
- Une protection antivirus sur tous les systèmes si possible. Idéalement combinée à un système EDR. Dans ce domaine, Fortinet propose par exemple avec FortiEDR une solution de protection des terminaux de haute qualité avec fonctionnalité DER. Cela permet de détecter les attaques à un stade précoce et même d'annuler les dommages.
- Réduction de la surface d'attaque ; avoir une vue d'ensemble de son propre réseau est devenu presque impossible. C'est là que des pentesters professionnels ou des solutions de gestion des vulnérabilités peuvent aider. Pour les scanners de vulnérabilité, nous travaillons avec le fabricant allemand Greenbone.
- Segmentez les réseaux ! Même si cela fait partie de la réduction de la surface d'attaque, c'est mentionné séparément. Beaucoup trop peu d'entreprises
- Avec une gestion des droits, vous pouvez faire en sorte que chaque collaborateur ne travaille pas avec des droits d'administrateur locaux. Ainsi, les éventuels logiciels malveillants ne peuvent travailler qu'avec les droits dont ils disposent. La capacité d'action des logiciels malveillants est ainsi fortement limitée, voire rendue impossible selon le logiciel malveillant.
- Sensibilisation des collaborateurs. Toujours volontiers sous-estimée. On connaît le proverbe : la solidité d'une chaîne dépend de celle de son maillon le plus faible. Si un collaborateur réfléchit à deux fois avant d'ouvrir la pièce jointe de cet e-mail inattendu ou pourquoi il faut activer les macros dans les documents Microsoft Office, c'est déjà beaucoup de gagné.
Que faire si l'on en arrive là ?
Le BSI fait les propositions suivantes :
- Ne pas payer. Cela devrait démotiver les auteurs à poursuivre leurs activités. D'autant plus qu'il n'est pas garanti que l'on reçoive ensuite un outil de décryptage et que les données qui ont été volées soient également détruites.
-
Déposer une plainte auprès de la police. Des experts et des enquêteurs peuvent éventuellement sauver les données ou au moins poursuivre les auteurs afin de les traduire en justice.
Vous trouverez un point de contact des offices régionaux de police criminelle compétents sur les pages web de l'Alliance pour la cybersécurité. - Isoler les systèmes concernés afin qu'ils ne puissent pas en compromettre d'autres. Laisser ces systèmes dans un état de compromission jusqu'à ce que la police scientifique ait pu les examiner afin de préserver les preuves et d'obtenir des informations sur la manière dont le système a été pénétré et s'il y a des signes que d'autres systèmes ont été touchés.
-
Restaurer les sauvegardes. S'il existe des sauvegardes sûres qui n'ont pas été compromises, elles peuvent être utilisées pour restaurer le système. Pour ce faire, il convient en tout cas de réinitialiser complètement le système et de s'assurer que toutes les données du système ont été supprimées avant la restauration de la sauvegarde.
Si vous ne disposez pas d'une équipe de sécurité informatique / d'une équipe d'intervention en cas d'urgence informatique dans votre entreprise, le BSI peut vous recommander des entreprises qui peuvent vous fournir le soutien nécessaire.
Si vous êtes intéressé par la sécurisation de votre réseau d'entreprise, nous pouvons vous conseiller. N'hésitez pas à nous contacter par e-mail, par téléphone ou via notre formulaire de contact.