guide d`entreprise sur les ransomwares

EBOOK
GUIDE D’ENTREPRISE
SUR LES RANSOMWARES
Tout ce que vous devez savoir pour préserver votre entreprise
INTRODUCTION
More and more, ransomware has emerged as a major threat to
individuals and businesses alike. Ransomware, a type of malware
that encrypts data on infected systems, has become a lucrative
option for cyber extortionists. When the malware is run, it locks
victim’s files and allows criminals to demand payment to release
them.
À moins de vivre en ermite, tout le monde est probablement au
courant de ces ransomwares, qui sont actuellement un sujet
brûlant dans la presse. Des entreprises de toutes sortes et de
toutes les tailles ont été touchées, mais la petite entreprise est
particulièrement vulnérable à ces attaques. Et les ransomwares
sont à la hausse. Au cours d’une étude menée récemment par le
fournisseur de logiciels de sécurité McAfee Labs, les chercheurs
ont identifié plus de 4 millions d’échantillons de ransomwares
au cours du 2ème trimestre 2015, dont 1,2 million d’échantillons
nouveaux. Par comparaison, on en avait relevé moins de 1,5 million
au 3ème trimestre 2013 (dont 400 000 nouveaux). Il existe une
multitude de modes de distribution des ransomwares, et il est
difficile de se protéger contre ces maliciels car, tout comme les
virus, ils évoluent constamment.
Il existe des moyens de protéger votre entreprise contre les
attaques aux ransomwares. Dans le présent livre électronique,
on vous apprend comment se propagent les maliciels, quels sont
les types de ransomwares qui prolifèrent actuellement, comment
éviter les attaques ou vous remettre d’une attaque. Il ne sert à rien
d’ignorer le problème : l’escroc moderne ne fait pas de sentiment.
Vous devez vous assurer que votre entreprise est protégée.
LES RANSOMWARES AUJOURD’HUI
On distingue actuellement quelques types dominants, ou familles,
de ransomwares. Chacun présente ses propres variantes. Il est à
prévoir que de nouvelles familles continueront de voir le jour. Sur
un plan historique, Microsoft Office, Adobe PDF et des fichiers
d’images ont été ciblés, mais McAfee prévoit que d’autres types de
fichiers viendront s’ajouter à la liste des fichiers ciblés, au fur et à
mesure de l’évolution des ransomwares.
Le kit Angler exploit utilise HTML
et JavaScript pour identifier le
navigateur de la victime et les
plugins installés, en permettant
ainsi au hacker de sélectionner
l’attaque qui a le plus de chances de
réussir.
En utilisant une série de techniques
de brouillage, Angler évolue
constamment afin d’échapper à
toute détection par des logiciels de
sécurité.
La plupart des ransomwares utilisent l’algorithme AES pour le
cryptage de fichiers, bien que certains en utilisent d’autres. Pour
décrypter les fichiers, les cyber extorqueurs exigent généralement
le versement d’une rançon sous forme de Bitcoins ou par le biais
de bons de paiement en ligne, comme Ukash ou Paysafecard. Le
tarif standard est d’environ 350 GBP, mais nous avons vu beaucoup
plus « salé ». Les cybercriminels qui se cachent derrière ces
campagnes de ransomwares concentrent généralement leurs
attaques sur des pays et des villes riches, où les particuliers et
les entreprises ont les moyens de verser une rançon. Au cours
des derniers mois, nous avons noté des attaques répétées sur des
secteurs verticaux, plus particulièrement celui des soins de santé.
Comment se propagent les ransomwares
Le spam est la méthode la plus fréquente de distribution des
ransomwares. Le spam est généralement distribué par le biais de
l’ingénierie sociale, en faisant croire aux victimes qu’elles doivent
télécharger une pièce jointe, ou cliquer sur un lien. Les faux
messages par courriel pourront se présenter sous forme d’une
note d’un ami ou d’un collègue, priant l’utilisateur de vérifier un
fichier joint, par exemple. Ou encore, le courriel pourra provenir
d’une institution de confiance (une banque, par exemple) vous
priant d’effectuer une opération de routine. Dans certains cas, le
ransomware fait usage de tactiques alarmistes afin de contraindre
la victime, en déclarant par exemple que l’ordinateur a été utilisé
pour des activités illicites. Dès que l’utilisateur intervient, le
maliciel s’installe sur le système et commence à crypter des
fichiers. Cela peut se produire en un clin d’œil, en un seul clic.
Une autre méthode utilisée fréquemment pour répandre le
ransomware est l’emploi d’un progiciel appelé « exploit kit ». Ces
progiciels ont été conçus pour identifier des vulnérabilités et les
exploiter pour installer le ransomware. Dans ce type d’attaque, les
hackers installent un code dans un site Web légitime, qui redirige
l’internaute vers un site malicieux. Contrairement à la méthode
du spam, cette approche ne nécessite parfois aucune action
supplémentaire de la part de la victime. C’est ce que l’on appelle une
attaque à « téléchargement drive-by ».
3 | datto.com
L’exploit kit le plus répandu actuellement est appelé Angler. Une
étude menée en mai 2015 par la maison de logiciels de sécurité
Sophos révèle que des milliers de nouvelles pages Web utilisant
Angler sont créées chaque jour. Le kit Angler exploit utilise HTML
et JavaScript pour identifier le navigateur de la victime et les
plugins installés, en permettant ainsi au hacker de sélectionner
l’attaque qui a le plus de chances de réussir. En utilisant une série
de techniques de brouillage, Angler évolue constamment afin
d’échapper à toute détection par des logiciels de sécurité. Angler
n’est qu’un exploit kit parmi tant d’autres utilisés actuellement.
Les réseaux botnets de spam et les exploit kits sont relativement
simples d’emploi, mais ils nécessitent néanmoins une certaine
compétence technique. Ceci dit, il existe également des options
pour les hackers en herbe qui ne possèdent que des compétences
de base en informatique. D’après McAfee, il y a même des produits
Ransomware-as-a-Service (RaaS) proposés sur le réseau Tor,
permettant à pratiquement n’importe qui d’effectuer ce type
d’attaque malicieuse.
Les hackers en herbe disposent
également d’options qui ne
nécessitent que des compétences
minimales en informatique.
D’après McAfee, il y a même des
produits Ransomware-as-a-Service
(RaaS) proposés sur le réseau
Tor, permettant à pratiquement
n’importe qui d’effectuer ce type
d’attaque malicieuse.
TYPES COURANTS DE RANSOMWARES
Comme nous l’avons mentionné ci-dessus, les ransomwares
évoluent constamment, et de nouvelles variantes apparaissent
constamment. Par conséquent, il serait difficile, voire impossible,
de dresser une liste de tous les types de ransomwares qui
prolifèrent actuellement. Bien que la liste ci-après ne soit pas
un répertoire complet des ransomwares actuels, elle fournit
néanmoins une idée des principaux acteurs et de la diversité des
ransomwares en circulation.
CryptoLocker
Les ransomwares existent, sous une forme ou une autre, depuis
une vingtaine d’années, mais ils ont pris de l’importance en 2013,
avec CryptoLocker. Le botnet CryptoLocker d’origine a été éliminé
en mai 2014, mais, à cette date, les hackers qui l’avaient conçu
avaient déjà extorqué plus de 2 millions de GBP à leurs victimes.
Depuis, l’approche de CryptoLocker a été largement copiée,
bien que les variantes utilisées actuellement n’ait pas de lien
direct à l’original. Tout comme les mots Xerox et Kleenex dans
leurs domaines respectifs, le mot CryptoLocker est désormais
synonyme de ransomware.
4 | Guide D’entreprise Sur Les Ransomwares
CryptoLocker est distribué à travers des exploit kits et le spam.
Lors de son exécution, le maliciel s’installe dans le dossier Profil
Utilisateur Windows, et crypte des fichiers sur les disques durs
locaux et des disques réseaux mappés. Il ne crypte que des fichiers
avec des extensions spécifiques, notamment des fichiers Microsoft
Office, OpenDocument, des fichiers d’images et AutoCAD. Lorsque
sa sale besogne est terminée, un message informant l’utilisateur
que des fichiers ont été cryptés s’affiche sur son écran, en exigeant
un paiement par Bitcoin.
CryptoWall
CryptoWall est devenu célèbre suite à la chute du CryptoLocker
d’origine. Il a fait son apparition début 2014 ; depuis, différentes
variantes, portant toute une série de noms, ont vu le jour, y
compris : Cryptorbit, CryptoDefense, CryptoWall 2.0 et CryptoWall
3.0, entre autres. Tout comme CryptoLocker, CryptoWall est
distribué par le spam ou exploit kit.
La version initiale de CryptoWall utilisait une clé publique de
chiffrement RSA, mais des versions ultérieures (y compris la
toute dernière version CryptoWall 3.0) utilisent une clé privée AES,
elle-même masquée à l’aide d’une clé AES publique. Lorsque l’on
ouvre la pièce jointe du maliciel, le CryptoWall binaire se copie
dans le dossier temp. de Microsoft et il se met à coder des fichiers.
CryptoWall crypte un éventail plus large de types de fichiers que
CryptoLocker, mais lorsque le cryptage est terminé, il affiche
également un message de rançon sur l’écran de l’utilisateur,
réclamant un versement.
Les campagnes de spam qui
propagent Locky se déploient à
très grande échelle. Le maliciel
est répandu par du spam,
généralement sous forme d’un
message par courriel déguisé
en facture. Une fois ouverte,
la facture est brouillée, et on
demande à la victime d’activer
des macros pour lire le
document.
CTB-Locker
Les criminels qui se cachent derrière CTB-Locker adoptent une
méthode d’approche différente en matière de distribution des
virus. En s’inspirant des modèles des Girl Scout Cookies et de Mary
Kay Cosmetics, ces hackers externalisent le processus d’infection
à des partenaires, en échange d’un pourcentage des bénéfices. Il
s’agit là d’une stratégie éprouvée pour réaliser de gros volumes
d’infections par maliciels à un rythme plus rapide.
Lorsque CTB-Locker s’exécute, il se copie dans le répertoire
temp. de Microsoft. Contrairement à la plupart des formes de
ransomwares actuelles, CTB-Locker utilise la cryptographie à
courbe elliptique (CCE) pour crypter des fichiers. CTBLocker
affecte plus de types de fichiers que CryptoLocker. Lorsque
les fichiers ont été cryptés, CTB-Locker affiche un message
demandant une rançon en, vous l’avez deviné, bitcoins.
Locky
Locky est un type de ransomware relativement récent, mais son
approche est similaire. Le maliciel est répandu par du spam,
généralement sous forme de message par courriel déguisé en
facture. Une fois ouverte, la facture est brouillée, et on demande
à la victime d’activer des macros pour lire le document. Dès que
des macros ont été activés, Locky commence à crypter une vaste
gamme de types de fichiers, en utilisant le chiffrement AES. La
rançon en Bitcoin est réclamée lorsque le chiffrement est terminé.
Cela vous rappelle quelque chose ?
5 | datto.com
Les campagnes de spam qui propagent Locky se déploient à une
échelle considérable. Une entreprise a signalé que sur une période
de deux jours, elle avait bloqué cinq millions de courriels associés
à des campagnes Locky.
TeslaCrypt
Autre acteur sur la scène des ransomwares : TeslaCrypt.
Comme pour la plupart des autres exemples, TeslaCrypt
utilise un algorithme AES pour le chiffrement des fichiers. Il
est généralement distribué par l’exploit kit Angler, et attaque
spécifiquement les vulnérabilités d’Adobe. Après avoir exploité
une vulnérabilité, TeslaCrypt s’installe dans le dossier temp. de
Microsoft. Lorsque le moment est venu pour que les victimes
casquent, TeslaCrypt leur donne plusieurs options de paiement
: Bitcoin, PaySafeCard et Ukash sont tous acceptés. C’est quand
même sympa d’avoir le choix !
TorrentLocker
Bien qu’ils soient indispensables,
les logiciels de sécurité ne
suffisent pas à eux-mêmes.
Une stratégie efficace
de protection contre les
ransomwares nécessite une
approche à trois volets :
formation, sécurité et sauvegarde.
TorrentLocker, généralement distribué par des campagnes de
spam, cible géographiquement, les courriels délivrés dans des
régions spécifiques. TorrentLocker, souvent appelé CryptoLocker,
utilise un algorithme AES pour le chiffrement des types de fichiers.
En plus du chiffrement de fichiers, il prélève également des
adresses électroniques dans le carnet d’adresses de sa victime
afin de propager le maliciel au-delà de l’ordinateur / du réseau
infecté initialement, une caractéristique unique à TorrentLocker.
TorrentLocker utilise une technique appelée « process hollowing
», par laquelle un procédé du système Windows est lancé à
l’état suspendu, un code malicieux est installé, et le procédé est
repris. Pour le process hollowing, il utilise explorer.exe. En outre,
ce maliciel supprime Microsoft Volume Shadow Copies, afin
d’empêcher tout rétablissement à l’aide d’outils de récupération de
fichiers. Comme pour les autres exemples susmentionnés, Bitcoin
est, ici aussi, la monnaie préférée pour le paiement de la rançon.
KeRanger
D’après ArsTechnica, KeRanger ransomware a été récemment
découvert sur un client du populaire BitTorrent. Pour le moment,
KeRanger n’est pas encore très répandu, mais nous le signalons
quand même, car il s’agirait du premier ransomware parfaitement
fonctionnel conçu pour bloquer des applications sur Mac OS X.
6 | Guide D’entreprise Sur Les Ransomwares
PROTECTION CONTRE
LES RANSOMWARES
Les cybercriminels armés de ransomwares sont des adversaires
redoutables. Bien que les petites ou moyennes entreprises
ne soient pas ciblées spécifiquement par les campagnes de
ransomwares, elles sont peut-être plus susceptibles d’être
victimes d’une attaque. Le service informatique des petites
entreprises est souvent mis à rude épreuve, et dans certains cas, il
fait confiance à une technologie dépassée en raison de contraintes
budgétaires. Sur le plan de la vulnérabilité aux ransomwares, il
s’agit d’une recette idéale. Heureusement, il existe des moyens
éprouvés de protéger votre entreprise contre l’attaque de
ransomwares. Bien qu’ils soient indispensables, les logiciels de
sécurité ne suffisent pas à eux-mêmes. Une stratégie efficace de
protection contre les ransomwares nécessite une approche à trois
volets : formation, sécurité et sauvegarde.
Compte tenu de la nature évolutive
constante du ransomware, même
les meilleurs logiciels de sécurité
ne sont pas infaillibles. C’est
pour cela que la présence d’une
deuxième ligne de défense est
indispensable pour l’entreprise,
afin d’assurer la reprise en cas
d’attaque par un maliciel :
Sauvegarde.
Formation: En tout premier lieu, une bonne formation est
nécessaire pour protéger votre entreprise contre les ransomwares.
Il est indispensable que votre personnel comprenne ce que sont
les ransomwares et les menaces qu’ils engendrent. Fournissez
à votre équipe des exemples spécifiques de courriels suspects,
en lui donnant des instructions claires sur ce qu’elle doit faire en
présence des ruses éventuellement utilisées par les ransomwares
(entre autres : n’ouvrez pas de pièces jointes ; si vous trouvez
quelque chose, dites-le etc.).
Menez une séance de formation biannuelle pour mettre le
personnel au courant des risques que posent les ransomwares et
autres cyber-attaques. Lorsque de nouveaux employés rejoignent
l’équipe, vous devez leur envoyer un courriel pour les mettre à
jour sur les meilleures pratiques de sécurité informatique. Il
est important de veiller à ce que le message soit communiqué
clairement à tous les membres de l’organisation, et non pas
simplement transmis de bouche à oreille. Enfin, tenez le personnel
au courant au fur et à mesure de l’introduction de nouveaux
ransomwares sur le marché, ou de leur évolution progressive.
Sécurité: Le logiciel antivirus doit être considéré comme une
nécessité incontournable pour la protection de l’entreprise contre
les ransomwares et autres risques divers. Assurez-vous que
votre logiciel de sécurité est à jour, afin de vous protéger contre
de nouvelles menaces identifiées. Veillez à ce que toutes les
applications de l’entreprise soient bien patchées et mises à jour,
afin de minimiser les vulnérabilités.
Certains logiciels antivirus offrent des fonctions spécifiques aux
ransomwares. Sophos, par exemple, propose une technologie
contrôlant les systèmes afin de détecter des activités malicieuses,
7 | datto.com
comme des changements d’extension de fichier ou de registre. En
cas de détection d’un ransomware, le logiciel est en mesure de le
bloquer et d’alerter les utilisateurs.
Toutefois, compte tenu de la nature évolutive constante du
ransomware, même les meilleurs logiciels de sécurité ne sont pas
infaillibles. C’est pour cela que la présence d’une deuxième ligne
de défense est indispensable pour l’entreprise, afin d’assurer la
reprise en cas d’attaque par un maliciel : Sauvegarde.
Sauvegarde : Des solutions modernes de protection totale des
données, comme Datto, effectuent des sauvegardes incrémentales
à base d’instantanés, d’une fréquence pouvant atteindre cinq
minutes, afin de créer une série de points de reprise. Si votre
entreprise est victime d’une attaque par un ransomware, cette
technologie vous permet de ramener vos données à un moment
précis antérieur à la corruption. Sur le plan des ransomwares,
ceci présente un double avantage. En premier lieu, vous n’avez
pas à payer de rançon pour récupérer vos données. En deuxième
lieu, étant donné que vous êtes en mesure de revenir en arrière
à un moment antérieur à l’infection de vos systèmes par le
ransomware, vous avez la certitude que tout ce que vous trouvez
est propre et que le maliciel ne pourra pas être à nouveau
déclenché.
En outre, certains produits de protection des données permettent
aujourd’hui aux utilisateurs d’exécuter des applications à partir
de sauvegardes basées sur image de machines virtuelles. Cette
capacité est souvent appelée reprise sur place (« recovery-in-place
») ou reprise instantanée (« instant recovery »). Cette technologie
peut être également utile pour une reprise à la suite d’une attaque
par un ransomware, car elle vous permet de poursuivre les
opérations pendant le rétablissement de vos systèmes primaires,
avec un minimum de temps morts, voire aucun. La version de
Datto de cette technologie de protection des entreprises est
appelée Virtualisation instantanée, car elle virtualise des systèmes
sur place ou à distance, dans un Cloud sécurisé, en l’espace
de quelques secondes. Cette solution permet de maintenir les
entreprises en exploitation lorsque survient une catastrophe.
8 | The Business Guide to Ransomware
CONCLUSION
Les cyber-extorqueurs utilisant des ransomwares constituent une
véritable menace pour l’entreprise moderne, de la pizzeria du coin
jusqu’à l’entreprise cotée au Fortune 500. Ceci dit, une petite formation
et des solutions appropriées peuvent contribuer considérablement
à votre protection. En veillant à ce que vos employés comprennent
réellement les menaces qui pèsent sur l’entreprise, vous pouvez éviter
bien des tracas. Vous ne devez jamais sous-estimer la détermination
et les connaissances des hackers modernes. Ils passent leur temps
à adapter et à perfectionner leur arme de prédilection. Voilà pourquoi
vous devez vous munir des meilleures solutions logicielles et de
sauvegarde possibles. Protégez votre entreprise et épargnez-vous une
crise de nerfs.
Bref, avec une bonne diffusion des connaissances et un logiciel de
sécurité, vous pouvez éviter des attaques cybernétiques. Une gestion
des correctifs est indispensable. Soyez certain que votre logiciel est
à jour et sécurisé. Au bout du compte, ce sont vos sauvegardes qui
vous permettront de vous remettre sur pied lorsque vous avez essayé
tout le reste. Envisagez l’emploi d’un produit de sauvegarde moderne,
possédant des fonctions en mesure d’éliminer définitivement les
temps morts.
Vous pourriez être également intéressé par…
L’E-BOOK GRATUIT
Les 4 principes essentiels de la panification
de la continuité opérationnelle
Préparez votre entreprise pour qu’elle soit prête à tout
TÉLÉCHARGEZ MAINTENANT