É«¿Ø´«Ã½

De nos jours, les cybercriminels gagnent en sophistication et multiplient les formes de ransomware et de vecteurs pour attaquer les entreprises. M¨ºme si les soci¨¦t¨¦s d¨¦veloppent des mesures de pr¨¦vention plus efficaces, les criminels adaptent leurs tactiques et leurs outils pour contourner leurs efforts.?

Mais si les attaques par ransomware peuvent sembler myst¨¦rieuses, elles suivent g¨¦n¨¦ralement la m¨ºme structure de base. Une fois que vous aurez compris leur fonctionnement, vous pourrez pr¨¦parer une strat¨¦gie d¡¯att¨¦nuation plus compl¨¨te qui, esp¨¦rons-le, permettra d¡¯annuler ou de limiter leurs effets.

Int¨¦ressons-nous donc ¨¤ la structure d¡¯une attaque par ransomware, notamment ¨¤ la mani¨¨re dont le pirate acc¨¨de au syst¨¨me et l¡¯infecte.?

Vecteur d¡¯infection et de diffusion

Un ransomware est un type de logiciel malveillant utilis¨¦ pour chiffrer des fichiers informatiques importants ou des donn¨¦es sensibles dans le but de demander une ran?on. L¡¯infection survient lors du t¨¦l¨¦chargement et de l¡¯installation d¡¯un logiciel de ransomware sur les p¨¦riph¨¦riques du r¨¦seau d¡¯entreprise.?

Le ransomware peut acc¨¦der au syst¨¨me cible de diff¨¦rentes mani¨¨res. La m¨¦thode la plus courante consiste ¨¤ envoyer des courriels d¡¯hame?onnage contenant un lien vers un site web compromis ou une pi¨¨ce jointe contenant un malware. Lorsque l¡¯utilisateur clique sur le lien ou la pi¨¨ce jointe, le malware est t¨¦l¨¦charg¨¦ et ex¨¦cut¨¦ sur le syst¨¨me informatique.?

Le protocole RDP (Remote Desktop Protocol) est un autre vecteur d¡¯attaque courant, car il est facile ¨¤ utiliser et offre un acc¨¨s de haut niveau aux pirates. En 2020, il s¡¯agissait du vecteur d¡¯attaque initiale dans?la moiti¨¦ des cas de ransomware signal¨¦s.

Les acc¨¨s RDP compromis se vendent sur le dark web, et pour trouver une connexion RDP expos¨¦e, il suffit de cr¨¦er un script qui cherchera le port par d¨¦faut. Les hackers ont souvent acc¨¨s aux m¨ºmes outils que les professionnels de la s¨¦curit¨¦ et peuvent scruter l¡¯ensemble du r¨¦seau Internet ¨¤ la recherche d¡¯un port ouvert en moins d¡¯une minute.?

D¡¯autres vecteurs de diffusion, comme le ransomware WannaCry, tentent d¡¯infecter les syst¨¨mes directement. WannaCry s¡¯attaque aux ordinateurs fonctionnant sous le syst¨¨me d¡¯exploitation Microsoft Windows et crypte les fichiers du disque dur. Il demande ensuite le paiement d¡¯une ran?on en bitcoins. Publi¨¦ pour la premi¨¨re fois en 2017, WannaCry est toujours actif et a touch¨¦ plus de 100?000?organisations dans le monde entier.

?

Chiffrement

Une fois que le ransomware est install¨¦ dans le syst¨¨me cible, il y reste en silence pour collecter des donn¨¦es et infecter autant de syst¨¨mes que possible. Ensuite, il vole et/ou chiffre les fichiers contenant les donn¨¦es les plus pr¨¦cieuses et sensibles de la soci¨¦t¨¦. Les ransomwares peuvent parfois d¨¦truire les sauvegardes ou subtiliser des donn¨¦es pendant l¡¯attaque, mais l¡¯objectif principal consiste g¨¦n¨¦ralement ¨¤ chiffrer autant de fichiers ou de syst¨¨mes que possible pour mettre l¡¯organisation ¨¤ l¡¯arr¨ºt.

Il existe plusieurs types et variantes de ransomwares ?: le ransomware de chiffrement, de verrouillage, d¡¯extorsion et le ransomware en tant que service (RaaS).

Les ransomwares de chiffrement (ou cryptoransomwares) chiffrent les fichiers en brouillant leur contenu pour le rendre illisible. Une cl¨¦ de d¨¦chiffrement est n¨¦cessaire pour restaurer les fichiers dans un format lisible. Les cybercriminels envoient ensuite des demandes de ran?on en promettant de d¨¦chiffrer les donn¨¦es ou de communiquer une cl¨¦ de d¨¦chiffrement une fois les demandes satisfaites.

Les ransomwares de verrouillage (Locker) ne chiffrent pas les fichiers, mais emp¨ºchent la victime d¡¯acc¨¦der ¨¤ ses syst¨¨mes ou ¨¤ ses p¨¦riph¨¦riques. Les pirates demandent ensuite une ran?on pour d¨¦verrouiller les appareils. En g¨¦n¨¦ral, on peut ¨¦viter les attaques par chiffrements ou assurer la reprise ¨¤ condition de disposer d¡¯un bon syst¨¨me de sauvegarde. Mais la r¨¦cup¨¦ration apr¨¨s une attaque par un ransomware de verrouillage est plus difficile et co?teuse. M¨ºme si les donn¨¦es ont ¨¦t¨¦ sauvegard¨¦es, l¡¯appareil doit ¨ºtre enti¨¨rement remplac¨¦.

Le principal objectif de ces attaques est l¡¯extorsion de fonds. Cependant, les organisations peuvent refuser de payer, surtout lorsqu¡¯elles disposent d¡¯un syst¨¨me de sauvegarde et de reprise performant. C¡¯est pourquoi, ces derni¨¨res ann¨¦es, les pirates ont commenc¨¦ ¨¤ utiliser une nouvelle technique de double extorsion, qui consiste ¨¤ la fois ¨¤ chiffrer et ¨¤ extraire les donn¨¦es. Si la soci¨¦t¨¦ refuse de payer, les hackers menacent de divulguer les informations en ligne ou de les vendre au plus offrant.

Et ce n¡¯est pas le pire. Aussi d¨¦vastatrice que puisse para?tre cette double extorsion, les experts en s¨¦curit¨¦ mettent en garde contre une menace plus importante?: la triple extorsion.? En plus d¡¯extraire des donn¨¦es et de demander une ran?on ¨¤ la cible initiale, les pirates demandent de l¡¯argent aux tiers touch¨¦s.?

Enfin, le ransomware en tant que service (RaaS) utilise les principes du logiciel en tant que service (SaaS). Il s¡¯agit d¡¯un service par abonnement qui permet aux abonn¨¦s d¡¯acc¨¦der ¨¤ des outils pr¨¦d¨¦finis pour lancer des attaques de type ransomware. Les abonn¨¦s sont consid¨¦r¨¦s comme des affili¨¦s et gagnent un pourcentage de chaque ran?on pay¨¦e.

Notes et demandes de ran?on

Lorsque le ransomware a ¨¦t¨¦ d¨¦ploy¨¦ avec succ¨¨s sur le r¨¦seau cible, les demandes de ran?on sont envoy¨¦es. Les hackers informent la victime qu¡¯une attaque a eu lieu et d¨¦taillent la ran?on requise pour annuler l¡¯attaque. Les demandes de ran?on sont affich¨¦es sur les ¨¦crans d¡¯ordinateur ou laiss¨¦es en note dans le dossier contenant les fichiers chiffr¨¦s.?

Les demandes de ran?on contiennent g¨¦n¨¦ralement des informations sur le montant, le mode de paiement requis et la date limite de paiement, ainsi qu¡¯une promesse de rendre l¡¯acc¨¨s aux fichiers chiffr¨¦s une fois la ran?on pay¨¦e. En cas d¡¯exfiltration de donn¨¦es, le hacker peut ¨¦galement promettre de ne pas exposer d¡¯autres donn¨¦es et de fournir la preuve que les donn¨¦es ont ¨¦t¨¦ d¨¦truites. Le paiement est g¨¦n¨¦ralement demand¨¦ en cryptomonnaie (Bitcoin ou Monero, par exemple).

Toutefois, m¨ºme si une ran?on est pay¨¦e, il n¡¯y a aucune garantie que le pirate restaurera les donn¨¦es ou tiendra ses promesses. Il peut conserver une copie des donn¨¦es copi¨¦es pour les utiliser ult¨¦rieurement. Les cl¨¦s de chiffrement peuvent ne pas fonctionner compl¨¨tement, laissant certaines donn¨¦es chiffr¨¦es, ou contenir des logiciels malveillants suppl¨¦mentaires non d¨¦tect¨¦s que le hacker pourra utiliser plus tard.

N¨¦gociation?: faut-il payer??

La d¨¦cision de payer ou non une demande de ran?on peut ¨ºtre compliqu¨¦e et d¨¦pendre de plusieurs facteurs?:

• Quelles sont les cons¨¦quences de l¡¯intrusion sur les op¨¦rations de l¡¯entreprise??
• Les employ¨¦s seront-ils au ch?mage technique?? Combien d¡¯entre eux, et pendant quelle dur¨¦e??
• Le risque de fuite des donn¨¦es est-il important??

Pour conna?tre les arguments pour et contre le paiement de la ran?on, consultez l¡¯article de blog?

Si votre syst¨¨me de sauvegarde et de r¨¦cup¨¦ration n¡¯a pas ¨¦t¨¦ touch¨¦, vous pouvez peut-¨ºtre ¨¦viter de payer la ran?on (cela d¨¦pendra du type de ransomware). Mais si le paiement de la ran?on est vraiment votre seule option, il est conseill¨¦ d¡¯engager une ¨¦quipe d¡¯intervention exp¨¦riment¨¦e pour vous aider dans les n¨¦gociations et faciliter le paiement.

Apr¨¨s l¡¯attaque?: restauration et reprise

Le temps d¡¯arr¨ºt moyen apr¨¨s une attaque par ransomware est de?. Si vous payez la ran?on, il faudra peut-¨ºtre plusieurs jours suppl¨¦mentaires pour recevoir la cl¨¦ et annuler le chiffrement.?

Vous devez savoir que certains ransomwares identifient et d¨¦truisent les sauvegardes sur le r¨¦seau compromis. Si les sauvegardes ont ¨¦t¨¦ d¨¦truites ou chiffr¨¦es, le processus de r¨¦cup¨¦ration peut s¡¯av¨¦rer plus compliqu¨¦. M¨ºme si les sauvegardes sont utilisables, la r¨¦cup¨¦ration peut ¨ºtre un processus long, selon le type de syst¨¨me de sauvegarde et de reprise que vous avez mis en place.

Que vous choisissiez de payer la ran?on ou d¡¯essayer de r¨¦cup¨¦rer les donn¨¦es vous-m¨ºme, pr¨¦voyez plusieurs jours pour l¡¯ensemble du processus de reprise. Anticipez ¨¦galement les pertes financi¨¨res?: paiement de la ran?on, co?t de l¡¯intervention ou perte de revenu li¨¦e ¨¤ l¡¯arr¨ºt.

D¨¦couvrez comment le processus de r¨¦cup¨¦ration peut varier avec l¡¯exemple de deux organisations hypoth¨¦tiques ayant des capacit¨¦s de r¨¦cup¨¦ration diff¨¦rentes dans l¡¯article?

Pr¨¦parez la riposte

Une attaque par ransomware est un risque auquel vous devez absolument vous pr¨¦parer. Vous pensez peut-¨ºtre faire tout ce qu¡¯il faut pour rester en s¨¦curit¨¦, mais les architectures de sauvegarde traditionnelles ne vous prot¨¦geront pas des attaques modernes.?

Quel est le meilleur moyen de contrer une attaque?? Seules les solutions modernes comme ?FlashBlade? de É«¿Ø´«Ã½?, avec des?snapshots SafeMode?,?une?restauration rapide (Rapid Restore?) et des performances de reprise de donn¨¦es pouvant atteindre 270?To/heure, peuvent faire passer votre strat¨¦gie de s¨¦curit¨¦ au niveau sup¨¦rieur.