Ransomwares : Détecter les attaques et y répondre

4 octobre 2023 par
Ransomwares : Détecter les attaques et y répondre
Fabrice ADZRAKOU

Un ransomware est un logiciel malveillant qui bloque l’accès à un ordinateur ou aux données qu’il contient jusqu’à ce que la victime verse un montant déterminé à l’auteur de l’attaque. En 2022, 493,33 millions d’attaques par ransomware ont été recensées dans le monde, ce qui en fait l’une des cybermenaces les plus graves auxquelles sont confrontées les entreprises aujourd’hui. Ce guide décrit les attaques par ransomware les plus courantes et explique comment s’en protéger.

Si vous êtes préoccupé par les ransomwares, sécurisez dès aujourd’hui vos données avec la protection anti-ransomware de Veeam.


Ransomwares : une menace croissante pour les entreprises modernes

Les attaques par ransomware sont désormais monnaie courante. Si la plupart des gens savent à peu près de quoi il s’agit, peu comprennent réellement comment elles fonctionnent et pourquoi elles sont si graves. Selon le rapport britannique Economic and Social Costs of Crime, le coût global de la cybercriminalité au Royaume-Uni se chiffre « en milliards ». À l’échelle mondiale, le coût des attaques par ransomware devrait atteindre 265 milliards de dollars d’ici 2031.

Si certaines victimes ont la chance de pouvoir déchiffrer leurs données, rares sont les ransomwares pour lesquels des outils de déchiffrement existent. Dans ce cas, la victime n’a qu’une solution : restaurer ses sauvegardes. Si elle n’en dispose pas ou si elles ont également été attaquées, le coût en termes de perte de données et de temps peut être lourd. Notre rapport sur les tendances des ransomwares en 2023 démontre combien une attaque par ransomware peut être grave pour certaines entreprises.


Comprendre la protection anti-ransomware

La protection anti-ransomware requiert différentes stratégies. Outre les meilleures pratiques de cybersécurité de base, elle implique l’utilisation de stratégies et technologies plus ciblées pour détecter les attaques par ransomware et y répondre, y compris celles en cours.

Si les pares-feux et antivirus classiques peuvent prévenir certaines attaques, il convient aussi de former l’ensemble des équipes à détecter les courriels de phishing, les sites Web malveillants et les fichiers exécutables potentiellement dangereux. Néanmoins, les outils modernes de protection anti-ransomware vont plus loin en supervisant l’activité du réseau et du système de fichiers pour identifier les signes d’une attaque tels que des schémas de communication ou des activités d’accès aux fichiers/chiffrement inhabituels.

Les administrateurs réseau peuvent utiliser un certain nombre d’outils informatiques et de sécurité pour se protéger contre les ransomwares. La protection des terminaux et les systèmes de détection et de prévention des intrusions peuvent être associés à des techniques d’analyses basées sur les comportements pour détecter rapidement les attaques et limiter les dégâts.

S’il est peu probable que ces stratégies suffisent individuellement à protéger le système informatique d’une entreprise contre les ransomwares, associer différentes techniques de protection, une analyse passive et des mesures proactives permet de réduire la surface d’attaque et d’augmenter les chances de réussite des mesures correctives en cas de besoin.


Composants clés d’une protection anti-ransomware

Une protection efficace contre les ransomwares nécessite une approche multidimensionnelle.

Sécurité et supervision du réseau

Les pares-feux et systèmes de détection des intrusions constituent la première ligne de défense contre les différentes attaques, et pas uniquement les ransomwares. Un pare-feu analyse l’activité entrante et sortante du réseau, et bloque les connexions qu’il considère non autorisées.

Une activité non autorisée peut prendre la forme d’une analyse des ports permettant à un attaquant de se connecter au hasard pour essayer de découvrir les services en cours d’exécution sur un serveur. Ou bien un attaquant pourrait tenter de se connecter à un serveur en utilisant la force brute ou de perpétrer simplement une attaque par déni de service sur un serveur en envoyant successivement des requêtes en très grand nombre.

Les systèmes de détection des intrusions détectent les activités malveillantes, et sont en ce sens similaires aux pares-feux. Ces outils fonctionnent selon un ensemble de règles prédéfinies. Ils peuvent par exemple déclencher l’exécution d’autres outils ou alerter l’administrateur systèmes afin qu’il analyse le problème et intervienne manuellement.

La protection anti-ransomware est une véritable course à l’armement dans laquelle il est impossible de compter uniquement sur des règles statiques et des définitions de logiciels malveillants. Même l’analyse heuristique des virus ne garantit pas l’identification de tous les codes malveillants. Il est donc important de privilégier une supervision en temps réel et une analyse comportementale pour suivre l’évolution de l’activité sur les systèmes et augmenter la probabilité de détecter une activité suspecte. 

Par exemple, la supervision en temps réel permet de détecter tout accès à un grand nombre de fichiers ou leur modification dans un court laps de temps. Elle permet également de détecter l’ouverture soudaine de fichiers qui n’ont pas été utilisés depuis longtemps. Et quand bien même il ne s’agirait pas d’un ransomware, cela peut révéler un tout autre problème de sécurité tel qu’une menace interne.


Réponse aux incidents et restauration

Les outils de sécurité ne représentent qu’une partie de l’équation. Même en déployant des outils sophistiqués, le risque d’atteinte à la sécurité demeure. Il est donc vital de mettre en place un plan de réponse aux incidents efficace pour minimiser les dégâts en cas d’attaque.

Un plan de réponse aux incidents liés aux ransomwares se déroule en plusieurs étapes :

  • Déterminer les systèmes touchés.
    Déconnecter si possible les périphériques du réseau.
    Mettre hors tension les équipements touchés si nécessaire.
    Consulter les journaux système pour déterminer comment s’est déroulée l’attaque.
    Identifier le ransomware et déterminer si un autre logiciel malveillant est présent sur le système.


Selon la nature de l’attaque, les étapes à suivre peuvent varier. Les administrateurs doivent évaluer s’il vaut mieux financièrement laisser des appareils infectés allumés (et donc laisser l’attaque se poursuivre) ou mettre le système hors tension (et donc perdre toute preuve stockée dans la mémoire volatile).

Lorsque des sauvegardes récentes sont disponibles et protégées/isolées des ransomwares, il peut être intéressant de laisser les systèmes infectés allumés, en les déconnectant du Wi-Fi ou du LAN pour les analyser.

La restauration des données ne représente qu’une partie de l’équation. Idéalement, l’attaque est stoppée rapidement pour éviter qu’elle ne s’étende. Dans de nombreux cas, les ransomwares accèdent à un réseau via une attaque de phishing ciblée sur l’ordinateur d’un employé. Le logiciel malveillant se propage ensuite aux lecteurs réseau et aux autres systèmes, à la recherche d’une cible à infecter.

Lorsque l’attaque est identifiée rapidement, le logiciel malveillant a moins de temps pour se propager et infecter les lecteurs. Selon le système initialement infecté et la configuration des privilèges d’accès aux fichiers sur le réseau, les dommages seront limités à l’ordinateur de l’utilisateur et à quelques partages réseau non stratégiques.

Adopter une approche systématique de la maîtrise et de la restauration


Les administrateurs systèmes doivent toujours garder à l’esprit que les ransomwares peuvent agir de différentes façons. Certains se contenteront de chiffrer des fichiers ; d’autres scripts malveillants supprimeront les données de la victime en cas de refus de paiement de la rançon. Il existe également des ransomwares particulièrement dangereux qui analysent les fichiers à la recherche de données potentiellement intéressantes et les envoient à l’attaquant. Celui-ci menace alors la victime de publier ses données si elle refuse de payer la rançon.

De telles brèches de données peuvent porter gravement atteinte à une entreprise. Il est donc important de prendre toutes ses précautions face à une attaque par ransomware. Plutôt que de précipiter l’étape de restauration des données, il vaut mieux prendre le temps de nettoyer minutieusement tous les systèmes infectés. Selon la gravité de l’attaque, il peut être plus efficace d’effacer simplement ces systèmes ou de réinstaller leur image système.

Pour réduire le risque d’une nouvelle attaque, modifiez tous les mots de passe de votre système et vérifiez les règles de tous vos pares-feux, bloquez les listes et les systèmes de détection des logiciels malveillants pour vérifier qu’ils sont à jour et fonctionnent correctement. Formez vos équipes aux attaques par phishing et ingénierie sociale.

Lorsque vous êtes sûr que le logiciel malveillant est totalement supprimé de votre réseau, vous pouvez démarrer le processus de restauration des données stratégiques de vos sauvegardes. Assurez-vous de bien analyser les sauvegardes avant de les restaurer : elles pourraient être infectées. Une éventualité peu probable si l’attaque a été déjouée rapidement. Néanmoins, si vous réalisez fréquemment des sauvegardes, il se peut que la dernière soit infectée et que vous deviez restaurer une sauvegarde « froide » ou « hors site » à la place.

Éviter le paiement de la rançon


Bien que certaines attaques très médiatisées aient ciblé de grandes entreprises en leur demandant d’énormes sommes d’argent, la plupart des attaques par ransomware sont opportunistes. Leurs auteurs demandent en général de petites sommes, entre 700 et 1 500 $, en pensant que s’ils demandent une rançon peu élevée, la victime sera plus encline à la payer pour récupérer ses fichiers le plus rapidement possible.

Les modes de paiement des rançons s’appuient le plus souvent sur des cryptomonnaies (Bitcoin, Litecoin ou même Dogecoin). Largement disponibles sur les marchés d’échange, elles sont donc faciles à acquérir par les victimes. Les attaquants utilisent souvent des « mixeurs » de cryptomonnaies afin de réduire la traçabilité de l’origine des fonds qu’ils reçoivent, et donc de les convertir aisément en monnaie réelle.

Pour un dirigeant d’entreprise pris par le temps devant l’écran verrouillé de son ordinateur, il peut être tentant de payer la rançon. Mais avant de choisir entre restaurer les données ou payer, il est important d’examiner l’impact de chaque décision. La promesse du développeur du ransomware est la seule garantie que vous ayez de récupérer vos données en payant la rançon, et son sens de l’éthique reste à prouver. En outre, même si vous récupérez vos données, rien ne certifie que le logiciel malveillant n’infectera pas vos autres systèmes à l’avenir si vous ne les nettoyez pas.

Autre élément à considérer : les problèmes d’éthique autour du paiement de la rançon. Les cryptomonnaies sont souvent utilisées pour financer drogues, blanchiment d’argent, trafic humain et activités terroristes. Lorsque vous en achetez, vous soutenez indirectement de telles activités, et en payant la rançon vous récompensez le cybercrime.

Dans certaines régions du monde, payer une rançon est même illégal, car cela revient à verser de l’argent à une entité qui fait l’objet de sanctions financières. Cela n’est pas le cas dans tous les pays, mais c’est un fait à considérer. Si vous êtes victime d’une attaque par ransomware et réfléchissez à payer la rançon, demandez conseil à un avocat avant de prendre votre décision.

Amélioration et formation continues


Vous pouvez vite ressentir une gêne si votre entreprise est victime d’un ransomware : vous vous demandez comment cela a pu se produire et si vous auriez pu éviter l’attaque. Gardez toujours à l’esprit que même les plus grandes entreprises dotées d’équipes IT dédiées et de budgets importants sont victimes de cybercrimes. Essayez de tirer des leçons de l’incident et concevez de nouvelles stratégies pour contrer les ransomwares.

Si vous y parvenez sans violer d’accords de confidentialité ni partager de données d’entreprise, communiquez publiquement sur l’attaque pour aider les autres à en tirer des leçons. Expliquez ce qu’il s’est passé et échangez sur les moyens d’améliorer votre protection. 

Une autre possibilité consiste à simuler des ransomwares afin de tester votre préparation et d’identifier les domaines dans lesquels vos équipes auraient besoin d’une formation supplémentaire ou dans lesquels vos systèmes de détection des intrusions ou autres présentent des lacunes.


Autres aspects liés aux ransomwares


Nous nous concentrons exclusivement ici sur la protection anti-ransomware, mais d’autres points connexes pourraient être évoqués :

La prévention précoce des attaques ;
La réponse aux attaques identifiées ;
La restauration des données après une attaque.


En associant tous ces éléments, il est possible de concevoir une stratégie anti-ransomware efficace. Cela dit, ils se recoupent beaucoup : une stratégie efficace de protection contre les ransomwares utilisera les mêmes outils que la prévention des ransomwares, et inclura un plan de réponse rapide. Néanmoins, il peut être intéressant de développer chaque stratégie individuellement pour s’assurer des systèmes de sécurité et de sauvegarde performants.


Renforcer la protection anti-ransomware de votre entreprise


Si l’impact potentiel des ransomwares sur votre entreprise vous préoccupe, saisissez cette opportunité de vérifier votre stratégie de protection.

Concevoir une stratégie complète


Examinez vos mesures de cybersécurité existantes et effectuez un audit de sécurité complet. Envisagez d’effectuer des simulations d’incidents afin d’identifier d’éventuelles lacunes. 

Après cet examen, élaborez un plan qui intègre prévention, protection et réponse pour couvrir toutes les éventualités. Ne vous contentez pas de copier le plan d’une autre entreprise ; assurez-vous d’adapter votre propre stratégie aux besoins spécifiques de votre entreprise.

Tirer parti de la technologie et de la collaboration

Les ransomwares sont si répandus aujourd’hui qu’il existe de nombreux outils de supervision et de détection des intrusions, et les menaces sont très documentées. N’essayez pas de fabriquer vos propres outils. Tirez profit de la riche expertise disponible et collaborez avec vos pairs. Ensemble, nous pouvons combattre les ransomwares.


Les ransomwares ne font aucune discrimination


Les ransomwares constituent une menace omniprésente et opportuniste. Ils peuvent aussi bien toucher l’ordinateur d’un utilisateur particulier que les systèmes informatiques d’une multinationale. C’est pourquoi il est si important, pour les personnes préoccupées par la protection de leurs données, de déployer une stratégie de défense proactive.

En concevant une stratégie de protection anti-ransomware à composantes multiples combinant prévention, protection, réponse et restauration, il est possible de déployer une infrastructure de cybersécurité résiliente capable de combattre efficacement des ransomwares en évolution constante.


Source : Blog partenaire VEEAM


Si vous souhaitez en savoir plus sur la manière dont nous pouvons vous aider à protéger les données de votre entreprise



Lire aussi :
Your Dynamic Snippet will be displayed here... This message is displayed because you did not provided both a filter and a template to use.



Archiver