Attaques de ransomware : n’y succombez pas, grâce à cette stratégie en 4 points

Entre mai 2021 et juin 2022, près de 10 téraoctets de données ont été volés chaque mois par des cybercriminels dans le cadre d’attaques de ransomware (un ransomware, ou rançongiciel, est un logiciel malveillant qui chiffre les fichiers et les données d’une organisation pour empêcher à cette dernière d’y avoir accès. Les pirates auteurs de l’attaque peuvent alors exiger une rançon en échange de la clé de déchiffrement qui permet théoriquement à l’organisation de retrouver ses accès). L’Agence de l’Union européenne pour la cybersécurité (ENISA), qui fournit cette statistique, précise également que ces attaques malveillantes se sont doublées de vols de données. 58,2 % des fichiers dérobés à cette occasion contenaient des données personnelles concernant les collaborateurs des organisations victimes. C’est simple : les attaques de ransomware sont désormais la cybermenace N°1 pour toutes les organisations et les entreprises. En outre, elles sont devenues plus redoutables au cours de ces dernières années. Aussi, avant d’énumérer les mesures essentielles pour les éviter, il est nécessaire de comprendre à quoi vous avez affaire désormais.

Les ransomwares, une cybermenace de plus en plus élaborée

Par le passé, les attaques de ransomwares étaient souvent lancées au moyen d’emails d’hameçonnage (ou phishing) adressés en masse et au hasard dans l’espoir d’atteindre une cible quelconque.

Mais ce modèle a évolué, et de nos jours, ces attaques sophistiquées sont de plus en plus souvent ciblées et préparées en amont. En outre, elles se sont taylorisées : différents groupes de cybercriminels se sont spécialisés sur des aspects déterminés de l’attaque : l’intrusion, le déploiement du ransomware, et l’exécution de l’attaque en elle-même.

Ce découpage des opérations permet aussi de brouiller les pistes pour les services de police. Déterminer quels sont les gangs derrière la création de la porte dérobée nécessaire à l’infection initiale, comme ceux qui gèrent l’infrastructure de l’attaque ou ceux qui l’exécutent est très compliqué.

L’accès initial (l’intrusion)

Dans un grand nombre de cas, les pirates recherchent une potentielle faille de sécurité telle qu’une lacune dans un outil de protection du réseau, ou un compte d’administrateur doté de prérogatives “privilèges”  excessives. Ils peuvent alors exploiter cette faille pour s’arroger la capacité d’intervenir sur le système informatique (SI) afin de l’infecter avec un programme malveillant (le rançongiciel) dans la plus grande discrétion. Parfois, cette intervention est réalisée à distance, au moyen d’outils grand public, tels que l’application de prise de main à distance TeamViewer.

Cette porte d’intrusion peut leur avoir été vendue par un hacker ou un gang de cybercriminels spécialisés dans l’obtention de ce type d’accès.

L’infrastructure : le ransomware as a service (RaaS)

Les pirates ont eux aussi adopté la mode du “as a service”, et désormais, certains gangs proposent des kits pour attaques par ransomware. Ces kits sont mis à disposition sur des plateformes accessibles en ligne, comme votre logiciel de comptabilité. C’est ce que l’on nomme “ransomware as a service” (RaaS).

Bien souvent, les RaaS sont assortis d’une panoplie d’outils étonnamment étoffée pour mener les attaques : email de phishing pour introduire le ransomware, évolutivité du rançongiciel, formation et assistance à l’utilisation, maintenance, et même des forums d’entraide.

Ce niveau de service des Ransomwares as a Service rend des techniques exigeant des connaissances très avancées en informatique et en cybersécurité (telles que l’utilisation d’une porte dérobée) accessibles à des pirates informatiques totalement profanes dans ces domaines. Cette démocratisation a attiré un très grand nombre de candidats et créé un appel d’air qui a largement contribué à l’augmentation dramatique du nombre des attaques.

L’exécution (l’extorsion)

Dès que les pirates parviennent à infiltrer les réseaux de l’entreprise, ils chiffrent (brouillent) les fichiers et les serveurs afin de rendre la poursuite des activités normales impossible. Puis ils exigent le paiement d’une rançon.

C’est généralement à ce moment de la cyberattaque que l’organisation victime réalise qu’elle est au centre d’une attaque par ransomware. Les rançons exigées en échange de la clé de déchiffrement pour recouvrer les données et les fichiers sont de montants très variables, mais dans certains cas, elles peuvent atteindre des millions de dollars. On parle alors de “chasse au gros” (“big game hunting”).

Pire, la rançon ne garantit pas toujours l’interruption de l’attaque et la restitution des données. De plus en plus souvent, les pirates cherchent à optimiser leurs profits et restent implantés dans le système d’information de l’entreprise victime afin de se donner les moyens de lancer de nouvelles attaques à l’avenir.

Au besoin, ces attaques seront initiées avec d’autres types de ransomwares.

En outre, de plus en plus de RaaS permettent de lancer des attaques impliquant une double extorsion. Les pirates ne se contentent pas de geler le système informatique de l’entreprise victime en codant ses données pour les rendre inexploitables.

Ils les recopient dans un environnement cloud au moyen de logiciels tels que Rclone, un outil gratuit de synchronisation de fichiers dans le cloud. Autrement dit, ils volent les données de l’entreprise victime pour exercer un second chantage. Ils peuvent ainsi la menacer de révéler ces données si elle refuse de payer la rançon, voire, exiger une seconde rançon.

attaque ransomware

Les outils traditionnels de cybersécurité ne suffisent pas

Ces attaques par ransomware peuvent cibler tout type d’organisations :

• Celles qui disposent de gros moyens financiers, comme les firmes multinationales ;
• Celles qui traitent des données sensibles, et pour lesquelles la menace de publication de ces données est une catastrophe, comme les institutions du secteur de la santé ou de la finance ;
• Et d’une manière plus générale, les entreprises faiblement sécurisées, comme c’est le cas pour un grand nombre de PME/TPE.

Étant donné que les attaques reposent souvent sur la création de portes dérobées en amont fondées sur des vols d’identifiants de connexion (ou l’acquisition d’identifiants de connexion au moyen d’outils tel que LaZagne par exemple), les outils traditionnels de détection d’activité malveillante tels que les antivirus, les firewalls (pare-feu) et les VPN sont inefficaces pour les éviter.

Les pirates empruntent en effet l’identité d’un utilisateur accrédité (un salarié de l’entreprise, ou un profil créé de toutes pièces et disposant de prérogatives étendues) pour intervenir sur le système informatique de l’entreprise avant la phase d’infection par le rançongiciel. Ils sont donc assimilés à des utilisateurs légitimes, et passent inaperçus.

Le chiffrement des données est inopérant pour les mêmes raisons.

Quant à la réalisation de bonnes sauvegardes, elle constitue une ligne de défense incontournable pour permettre la récupération des données (qui, bien souvent, ne sont restituées que partiellement, voire, pas du tout, même en cas de paiement de la rançon).
Mais elle ne pourra pas vous protéger contre le vol de vos données et la menace de leur divulgation, le cas échéant.

4 axes de lutte contre les ransomwares

De nos jours, la plupart des attaques de ransomware exploitent les vulnérabilités de l’organisation ciblée, en particulier en ce qui concerne l’identification des utilisateurs et la subsistance de paramétrages devenus inadaptés. En voici 3 exemples :

• L’oubli de suppression d’un compte de connexion d’un salarié qui a quitté l’entreprise, ce qui signifie que les identifiants de connexion sont toujours actifs dans le système informatique ;
L’octroi de privilèges d’administrateur étendus à plusieurs collaborateurs de l’entreprise accordés alors que le service informatique était inexistant, et jamais remis en cause depuis ;

La présence d’un programme ancien encore très utilisé comportant une configuration conférant des autorisations maximums à tous ses utilisateurs.

Ce type de faille fournit des points d’entrée sur lesquels les pirates pourront s’appuyer pour réaliser leur intrusion.

La bonne stratégie de lutte contre les attaques de rançongiciels consiste donc à compliquer cette intrusion autant que possible.

1/ La politique du “Zero Trust” 

Dans le modèle Zero Trust, on part du principe que l’on ne peut faire confiance à personne (trust signifie confiance, en anglais), y compris à l’intérieur du périmètre des utilisateurs qui disposent d’identifiants de connexion au sein de l’organisation. On renonce à la confiance implicité accordée aux utilisateurs accrédités pour renforcer les contrôles de sécurité aux points d’accès des données et des logiciels.

Les collaborateurs peuvent se connecter au système informatique avec leurs identifiants de connexion, mais ils ne peuvent accéder à leurs applications et données qu’après avoir été dûment authentifiés. Cela se fait au travers via plusieurs mesures :

– Certaines informations/données/applications ne sont accessibles qu’aux collaborateurs qui en ont besoin dans le cadre de leurs fonctions ;
– Chacun ne doit disposer que du minimum de privilèges dont il a besoin pour faire son travail ;
– L’accès aux données et applications doit être surveillé ;
– Seuls les appareils accrédités peuvent se connecter aux réseaux de l’organisation ;
– Les authentifications et les octrois d’accès doivent être régulièrement réexaminés ;
– Enfin, la politique de Zero trust implique également la mise en œuvre systématique de l’authentification à multiples facteurs .

Par ailleurs, cette stratégie requiert également de prendre des mesures et des solutions de sécurisation (sauvegardes, sécurisation des infrastructures et des centres de données…).

2/ La protection contre une potentielle compromission des identifiants

Compte tenu que les cybercriminels exploitent souvent les identifiants de connexion qu’ils parviennent à récupérer en élargissant leurs prérogatives pour interférer sur le système informatique, il convient d’organiser une surveillance étroite des comptes d’utilisateurs.

Il faut donc mettre en place des outils de contrôle et de détection pour se prémunir contre la compromission des identifiants et sécuriser les comptes d’utilisateurs. En parallèle, l’organisation doit imposer une politique de mots de passe forts.

Elle doit aussi définir un plan d’actions à mener en cas de compromission de comptes pour éviter que les attaquants ne cherchent à s’arroger des privilèges d’administrateur au moyen de ces comptes ou d’appareils compromis.

À cet effet, elle doit restreindre au maximum l’accès aux données sensibles.

3/ Les équipes chargées de la sécurité du SI doivent être outillées pour gérer ces menaces

Les équipes en charge de la sécurisation du système informatique doivent disposer d’outils performants pour être en mesure de prévenir, de détecter et de réagir de manière appropriée à toute menace avancée. Les mises à jour de logiciels doivent être faites régulièrement et le plus rapidement possible afin d’éviter que des pirates informatiques ne tirent parti d’une faille fraîchement révélée pour s’introduire dans le système informatique de l’organisation.

Elles doivent aussi pouvoir utiliser les outils de monitoring pour surveiller le système, examiner toute modification apportée aux paramètres des applicatifs et évaluer les événements susceptibles d’affecter la sécurité des réseaux.

En particulier, les accès à distance, les points de contact avec l’extérieur (outils collaboratifs tels que Teams et emails, et les autres connexions à Internet, notamment) doivent être particulièrement scrutés.

4/ Des sauvegardes rigoureuses et un plan de reprise d’activité

Toutes ces mesures ne remettent pas en cause la nécessité de se doter d’une protection interne fondée sur la sécurisation des données et la protection des données, des systèmes, et des appareils.

C’est pourquoi il faut réaliser régulièrement des sauvegardes de bonne qualité et se doter d’un plan de reprise d’activité  pour permettre à l’entreprise de reprendre ses opérations le plus rapidement possibles, même si ses bases de données sont définitivement compromises.

Les organisations les plus prévoyantes pourront prévoir la création d’une réplique de leur système informatique, c’est-à-dire, un système informatique miroir opérationnel comprenant toutes les applications et données utilisées qui pourra se substituer à leur système informatique réel en cas de désastre.

Beaucoup d’entreprises jugent que les mesures de cybersécurité sont trop coûteuses et estiment qu’elles sont réservées à des firmes de grande taille plus riches qu’elles. Mais ne commettez pas cette erreur. D’abord, parce que c’est une contrevérité : des mesures de sécurité adaptées permettent aux entreprises de faire des économies, parce que leurs équipes consacrent moins de temps et d’argent à résoudre les incidents de cybersécurité. Mais surtout, parce que les hackers savent bien qu’elles font ce calcul et qu’elles négligent leur politique de sécurité en conséquence, ce qui les rend encore plus attractives pour eux.

Vous êtes une entreprise réunionnaise et vous vous sentez démuni pour entamer cette nécessaire montée en puissance de votre protection informatique ? Faites appel à un prestaire expert sur ces questions de cybersécurité pour vous épauler. À La Réunion, Youtell a été labellisé “ExperCyber” par le programme gouvernemental Cybermalveillance.gouv.fr. Appelez-nous immédiatement et érigeons ensemble les cyber-remparts qui protégeront votre entreprise contre les cyberattaques par rançongiciel.

Vous êtes à la recherche d'accompagnement pour votre entreprise ?