guide d`entreprise sur les ransomwares
Transcription
guide d`entreprise sur les ransomwares
EBOOK GUIDE D’ENTREPRISE SUR LES RANSOMWARES Tout ce que vous devez savoir pour préserver votre entreprise INTRODUCTION More and more, ransomware has emerged as a major threat to individuals and businesses alike. Ransomware, a type of malware that encrypts data on infected systems, has become a lucrative option for cyber extortionists. When the malware is run, it locks victim’s files and allows criminals to demand payment to release them. À moins de vivre en ermite, tout le monde est probablement au courant de ces ransomwares, qui sont actuellement un sujet brûlant dans la presse. Des entreprises de toutes sortes et de toutes les tailles ont été touchées, mais la petite entreprise est particulièrement vulnérable à ces attaques. Et les ransomwares sont à la hausse. Au cours d’une étude menée récemment par le fournisseur de logiciels de sécurité McAfee Labs, les chercheurs ont identifié plus de 4 millions d’échantillons de ransomwares au cours du 2ème trimestre 2015, dont 1,2 million d’échantillons nouveaux. Par comparaison, on en avait relevé moins de 1,5 million au 3ème trimestre 2013 (dont 400 000 nouveaux). Il existe une multitude de modes de distribution des ransomwares, et il est difficile de se protéger contre ces maliciels car, tout comme les virus, ils évoluent constamment. Il existe des moyens de protéger votre entreprise contre les attaques aux ransomwares. Dans le présent livre électronique, on vous apprend comment se propagent les maliciels, quels sont les types de ransomwares qui prolifèrent actuellement, comment éviter les attaques ou vous remettre d’une attaque. Il ne sert à rien d’ignorer le problème : l’escroc moderne ne fait pas de sentiment. Vous devez vous assurer que votre entreprise est protégée. LES RANSOMWARES AUJOURD’HUI On distingue actuellement quelques types dominants, ou familles, de ransomwares. Chacun présente ses propres variantes. Il est à prévoir que de nouvelles familles continueront de voir le jour. Sur un plan historique, Microsoft Office, Adobe PDF et des fichiers d’images ont été ciblés, mais McAfee prévoit que d’autres types de fichiers viendront s’ajouter à la liste des fichiers ciblés, au fur et à mesure de l’évolution des ransomwares. Le kit Angler exploit utilise HTML et JavaScript pour identifier le navigateur de la victime et les plugins installés, en permettant ainsi au hacker de sélectionner l’attaque qui a le plus de chances de réussir. En utilisant une série de techniques de brouillage, Angler évolue constamment afin d’échapper à toute détection par des logiciels de sécurité. La plupart des ransomwares utilisent l’algorithme AES pour le cryptage de fichiers, bien que certains en utilisent d’autres. Pour décrypter les fichiers, les cyber extorqueurs exigent généralement le versement d’une rançon sous forme de Bitcoins ou par le biais de bons de paiement en ligne, comme Ukash ou Paysafecard. Le tarif standard est d’environ 350 GBP, mais nous avons vu beaucoup plus « salé ». Les cybercriminels qui se cachent derrière ces campagnes de ransomwares concentrent généralement leurs attaques sur des pays et des villes riches, où les particuliers et les entreprises ont les moyens de verser une rançon. Au cours des derniers mois, nous avons noté des attaques répétées sur des secteurs verticaux, plus particulièrement celui des soins de santé. Comment se propagent les ransomwares Le spam est la méthode la plus fréquente de distribution des ransomwares. Le spam est généralement distribué par le biais de l’ingénierie sociale, en faisant croire aux victimes qu’elles doivent télécharger une pièce jointe, ou cliquer sur un lien. Les faux messages par courriel pourront se présenter sous forme d’une note d’un ami ou d’un collègue, priant l’utilisateur de vérifier un fichier joint, par exemple. Ou encore, le courriel pourra provenir d’une institution de confiance (une banque, par exemple) vous priant d’effectuer une opération de routine. Dans certains cas, le ransomware fait usage de tactiques alarmistes afin de contraindre la victime, en déclarant par exemple que l’ordinateur a été utilisé pour des activités illicites. Dès que l’utilisateur intervient, le maliciel s’installe sur le système et commence à crypter des fichiers. Cela peut se produire en un clin d’œil, en un seul clic. Une autre méthode utilisée fréquemment pour répandre le ransomware est l’emploi d’un progiciel appelé « exploit kit ». Ces progiciels ont été conçus pour identifier des vulnérabilités et les exploiter pour installer le ransomware. Dans ce type d’attaque, les hackers installent un code dans un site Web légitime, qui redirige l’internaute vers un site malicieux. Contrairement à la méthode du spam, cette approche ne nécessite parfois aucune action supplémentaire de la part de la victime. C’est ce que l’on appelle une attaque à « téléchargement drive-by ». 3 | datto.com L’exploit kit le plus répandu actuellement est appelé Angler. Une étude menée en mai 2015 par la maison de logiciels de sécurité Sophos révèle que des milliers de nouvelles pages Web utilisant Angler sont créées chaque jour. Le kit Angler exploit utilise HTML et JavaScript pour identifier le navigateur de la victime et les plugins installés, en permettant ainsi au hacker de sélectionner l’attaque qui a le plus de chances de réussir. En utilisant une série de techniques de brouillage, Angler évolue constamment afin d’échapper à toute détection par des logiciels de sécurité. Angler n’est qu’un exploit kit parmi tant d’autres utilisés actuellement. Les réseaux botnets de spam et les exploit kits sont relativement simples d’emploi, mais ils nécessitent néanmoins une certaine compétence technique. Ceci dit, il existe également des options pour les hackers en herbe qui ne possèdent que des compétences de base en informatique. D’après McAfee, il y a même des produits Ransomware-as-a-Service (RaaS) proposés sur le réseau Tor, permettant à pratiquement n’importe qui d’effectuer ce type d’attaque malicieuse. Les hackers en herbe disposent également d’options qui ne nécessitent que des compétences minimales en informatique. D’après McAfee, il y a même des produits Ransomware-as-a-Service (RaaS) proposés sur le réseau Tor, permettant à pratiquement n’importe qui d’effectuer ce type d’attaque malicieuse. TYPES COURANTS DE RANSOMWARES Comme nous l’avons mentionné ci-dessus, les ransomwares évoluent constamment, et de nouvelles variantes apparaissent constamment. Par conséquent, il serait difficile, voire impossible, de dresser une liste de tous les types de ransomwares qui prolifèrent actuellement. Bien que la liste ci-après ne soit pas un répertoire complet des ransomwares actuels, elle fournit néanmoins une idée des principaux acteurs et de la diversité des ransomwares en circulation. CryptoLocker Les ransomwares existent, sous une forme ou une autre, depuis une vingtaine d’années, mais ils ont pris de l’importance en 2013, avec CryptoLocker. Le botnet CryptoLocker d’origine a été éliminé en mai 2014, mais, à cette date, les hackers qui l’avaient conçu avaient déjà extorqué plus de 2 millions de GBP à leurs victimes. Depuis, l’approche de CryptoLocker a été largement copiée, bien que les variantes utilisées actuellement n’ait pas de lien direct à l’original. Tout comme les mots Xerox et Kleenex dans leurs domaines respectifs, le mot CryptoLocker est désormais synonyme de ransomware. 4 | Guide D’entreprise Sur Les Ransomwares CryptoLocker est distribué à travers des exploit kits et le spam. Lors de son exécution, le maliciel s’installe dans le dossier Profil Utilisateur Windows, et crypte des fichiers sur les disques durs locaux et des disques réseaux mappés. Il ne crypte que des fichiers avec des extensions spécifiques, notamment des fichiers Microsoft Office, OpenDocument, des fichiers d’images et AutoCAD. Lorsque sa sale besogne est terminée, un message informant l’utilisateur que des fichiers ont été cryptés s’affiche sur son écran, en exigeant un paiement par Bitcoin. CryptoWall CryptoWall est devenu célèbre suite à la chute du CryptoLocker d’origine. Il a fait son apparition début 2014 ; depuis, différentes variantes, portant toute une série de noms, ont vu le jour, y compris : Cryptorbit, CryptoDefense, CryptoWall 2.0 et CryptoWall 3.0, entre autres. Tout comme CryptoLocker, CryptoWall est distribué par le spam ou exploit kit. La version initiale de CryptoWall utilisait une clé publique de chiffrement RSA, mais des versions ultérieures (y compris la toute dernière version CryptoWall 3.0) utilisent une clé privée AES, elle-même masquée à l’aide d’une clé AES publique. Lorsque l’on ouvre la pièce jointe du maliciel, le CryptoWall binaire se copie dans le dossier temp. de Microsoft et il se met à coder des fichiers. CryptoWall crypte un éventail plus large de types de fichiers que CryptoLocker, mais lorsque le cryptage est terminé, il affiche également un message de rançon sur l’écran de l’utilisateur, réclamant un versement. Les campagnes de spam qui propagent Locky se déploient à très grande échelle. Le maliciel est répandu par du spam, généralement sous forme d’un message par courriel déguisé en facture. Une fois ouverte, la facture est brouillée, et on demande à la victime d’activer des macros pour lire le document. CTB-Locker Les criminels qui se cachent derrière CTB-Locker adoptent une méthode d’approche différente en matière de distribution des virus. En s’inspirant des modèles des Girl Scout Cookies et de Mary Kay Cosmetics, ces hackers externalisent le processus d’infection à des partenaires, en échange d’un pourcentage des bénéfices. Il s’agit là d’une stratégie éprouvée pour réaliser de gros volumes d’infections par maliciels à un rythme plus rapide. Lorsque CTB-Locker s’exécute, il se copie dans le répertoire temp. de Microsoft. Contrairement à la plupart des formes de ransomwares actuelles, CTB-Locker utilise la cryptographie à courbe elliptique (CCE) pour crypter des fichiers. CTBLocker affecte plus de types de fichiers que CryptoLocker. Lorsque les fichiers ont été cryptés, CTB-Locker affiche un message demandant une rançon en, vous l’avez deviné, bitcoins. Locky Locky est un type de ransomware relativement récent, mais son approche est similaire. Le maliciel est répandu par du spam, généralement sous forme de message par courriel déguisé en facture. Une fois ouverte, la facture est brouillée, et on demande à la victime d’activer des macros pour lire le document. Dès que des macros ont été activés, Locky commence à crypter une vaste gamme de types de fichiers, en utilisant le chiffrement AES. La rançon en Bitcoin est réclamée lorsque le chiffrement est terminé. Cela vous rappelle quelque chose ? 5 | datto.com Les campagnes de spam qui propagent Locky se déploient à une échelle considérable. Une entreprise a signalé que sur une période de deux jours, elle avait bloqué cinq millions de courriels associés à des campagnes Locky. TeslaCrypt Autre acteur sur la scène des ransomwares : TeslaCrypt. Comme pour la plupart des autres exemples, TeslaCrypt utilise un algorithme AES pour le chiffrement des fichiers. Il est généralement distribué par l’exploit kit Angler, et attaque spécifiquement les vulnérabilités d’Adobe. Après avoir exploité une vulnérabilité, TeslaCrypt s’installe dans le dossier temp. de Microsoft. Lorsque le moment est venu pour que les victimes casquent, TeslaCrypt leur donne plusieurs options de paiement : Bitcoin, PaySafeCard et Ukash sont tous acceptés. C’est quand même sympa d’avoir le choix ! TorrentLocker Bien qu’ils soient indispensables, les logiciels de sécurité ne suffisent pas à eux-mêmes. Une stratégie efficace de protection contre les ransomwares nécessite une approche à trois volets : formation, sécurité et sauvegarde. TorrentLocker, généralement distribué par des campagnes de spam, cible géographiquement, les courriels délivrés dans des régions spécifiques. TorrentLocker, souvent appelé CryptoLocker, utilise un algorithme AES pour le chiffrement des types de fichiers. En plus du chiffrement de fichiers, il prélève également des adresses électroniques dans le carnet d’adresses de sa victime afin de propager le maliciel au-delà de l’ordinateur / du réseau infecté initialement, une caractéristique unique à TorrentLocker. TorrentLocker utilise une technique appelée « process hollowing », par laquelle un procédé du système Windows est lancé à l’état suspendu, un code malicieux est installé, et le procédé est repris. Pour le process hollowing, il utilise explorer.exe. En outre, ce maliciel supprime Microsoft Volume Shadow Copies, afin d’empêcher tout rétablissement à l’aide d’outils de récupération de fichiers. Comme pour les autres exemples susmentionnés, Bitcoin est, ici aussi, la monnaie préférée pour le paiement de la rançon. KeRanger D’après ArsTechnica, KeRanger ransomware a été récemment découvert sur un client du populaire BitTorrent. Pour le moment, KeRanger n’est pas encore très répandu, mais nous le signalons quand même, car il s’agirait du premier ransomware parfaitement fonctionnel conçu pour bloquer des applications sur Mac OS X. 6 | Guide D’entreprise Sur Les Ransomwares PROTECTION CONTRE LES RANSOMWARES Les cybercriminels armés de ransomwares sont des adversaires redoutables. Bien que les petites ou moyennes entreprises ne soient pas ciblées spécifiquement par les campagnes de ransomwares, elles sont peut-être plus susceptibles d’être victimes d’une attaque. Le service informatique des petites entreprises est souvent mis à rude épreuve, et dans certains cas, il fait confiance à une technologie dépassée en raison de contraintes budgétaires. Sur le plan de la vulnérabilité aux ransomwares, il s’agit d’une recette idéale. Heureusement, il existe des moyens éprouvés de protéger votre entreprise contre l’attaque de ransomwares. Bien qu’ils soient indispensables, les logiciels de sécurité ne suffisent pas à eux-mêmes. Une stratégie efficace de protection contre les ransomwares nécessite une approche à trois volets : formation, sécurité et sauvegarde. Compte tenu de la nature évolutive constante du ransomware, même les meilleurs logiciels de sécurité ne sont pas infaillibles. C’est pour cela que la présence d’une deuxième ligne de défense est indispensable pour l’entreprise, afin d’assurer la reprise en cas d’attaque par un maliciel : Sauvegarde. Formation: En tout premier lieu, une bonne formation est nécessaire pour protéger votre entreprise contre les ransomwares. Il est indispensable que votre personnel comprenne ce que sont les ransomwares et les menaces qu’ils engendrent. Fournissez à votre équipe des exemples spécifiques de courriels suspects, en lui donnant des instructions claires sur ce qu’elle doit faire en présence des ruses éventuellement utilisées par les ransomwares (entre autres : n’ouvrez pas de pièces jointes ; si vous trouvez quelque chose, dites-le etc.). Menez une séance de formation biannuelle pour mettre le personnel au courant des risques que posent les ransomwares et autres cyber-attaques. Lorsque de nouveaux employés rejoignent l’équipe, vous devez leur envoyer un courriel pour les mettre à jour sur les meilleures pratiques de sécurité informatique. Il est important de veiller à ce que le message soit communiqué clairement à tous les membres de l’organisation, et non pas simplement transmis de bouche à oreille. Enfin, tenez le personnel au courant au fur et à mesure de l’introduction de nouveaux ransomwares sur le marché, ou de leur évolution progressive. Sécurité: Le logiciel antivirus doit être considéré comme une nécessité incontournable pour la protection de l’entreprise contre les ransomwares et autres risques divers. Assurez-vous que votre logiciel de sécurité est à jour, afin de vous protéger contre de nouvelles menaces identifiées. Veillez à ce que toutes les applications de l’entreprise soient bien patchées et mises à jour, afin de minimiser les vulnérabilités. Certains logiciels antivirus offrent des fonctions spécifiques aux ransomwares. Sophos, par exemple, propose une technologie contrôlant les systèmes afin de détecter des activités malicieuses, 7 | datto.com comme des changements d’extension de fichier ou de registre. En cas de détection d’un ransomware, le logiciel est en mesure de le bloquer et d’alerter les utilisateurs. Toutefois, compte tenu de la nature évolutive constante du ransomware, même les meilleurs logiciels de sécurité ne sont pas infaillibles. C’est pour cela que la présence d’une deuxième ligne de défense est indispensable pour l’entreprise, afin d’assurer la reprise en cas d’attaque par un maliciel : Sauvegarde. Sauvegarde : Des solutions modernes de protection totale des données, comme Datto, effectuent des sauvegardes incrémentales à base d’instantanés, d’une fréquence pouvant atteindre cinq minutes, afin de créer une série de points de reprise. Si votre entreprise est victime d’une attaque par un ransomware, cette technologie vous permet de ramener vos données à un moment précis antérieur à la corruption. Sur le plan des ransomwares, ceci présente un double avantage. En premier lieu, vous n’avez pas à payer de rançon pour récupérer vos données. En deuxième lieu, étant donné que vous êtes en mesure de revenir en arrière à un moment antérieur à l’infection de vos systèmes par le ransomware, vous avez la certitude que tout ce que vous trouvez est propre et que le maliciel ne pourra pas être à nouveau déclenché. En outre, certains produits de protection des données permettent aujourd’hui aux utilisateurs d’exécuter des applications à partir de sauvegardes basées sur image de machines virtuelles. Cette capacité est souvent appelée reprise sur place (« recovery-in-place ») ou reprise instantanée (« instant recovery »). Cette technologie peut être également utile pour une reprise à la suite d’une attaque par un ransomware, car elle vous permet de poursuivre les opérations pendant le rétablissement de vos systèmes primaires, avec un minimum de temps morts, voire aucun. La version de Datto de cette technologie de protection des entreprises est appelée Virtualisation instantanée, car elle virtualise des systèmes sur place ou à distance, dans un Cloud sécurisé, en l’espace de quelques secondes. Cette solution permet de maintenir les entreprises en exploitation lorsque survient une catastrophe. 8 | The Business Guide to Ransomware CONCLUSION Les cyber-extorqueurs utilisant des ransomwares constituent une véritable menace pour l’entreprise moderne, de la pizzeria du coin jusqu’à l’entreprise cotée au Fortune 500. Ceci dit, une petite formation et des solutions appropriées peuvent contribuer considérablement à votre protection. En veillant à ce que vos employés comprennent réellement les menaces qui pèsent sur l’entreprise, vous pouvez éviter bien des tracas. Vous ne devez jamais sous-estimer la détermination et les connaissances des hackers modernes. Ils passent leur temps à adapter et à perfectionner leur arme de prédilection. Voilà pourquoi vous devez vous munir des meilleures solutions logicielles et de sauvegarde possibles. Protégez votre entreprise et épargnez-vous une crise de nerfs. Bref, avec une bonne diffusion des connaissances et un logiciel de sécurité, vous pouvez éviter des attaques cybernétiques. Une gestion des correctifs est indispensable. Soyez certain que votre logiciel est à jour et sécurisé. Au bout du compte, ce sont vos sauvegardes qui vous permettront de vous remettre sur pied lorsque vous avez essayé tout le reste. Envisagez l’emploi d’un produit de sauvegarde moderne, possédant des fonctions en mesure d’éliminer définitivement les temps morts. Vous pourriez être également intéressé par… L’E-BOOK GRATUIT Les 4 principes essentiels de la panification de la continuité opérationnelle Préparez votre entreprise pour qu’elle soit prête à tout TÉLÉCHARGEZ MAINTENANT