Imaginez que toutes les données de votre disque dur ou d’un de vos serveurs soient subitement cryptées. Et illisibles sans un code de déblocage… remis contre une rançon. Ces attaques d’un nouveau type ont fait leur apparition il y a quelques années. C’est le virus de type Gendarmerie qui a ‘popularisé’ l’existence de ces premiers ‘ransomware’, en exigeant jusque 750 € aux utilisateurs de PC infectés pour qu’ils puissent récupérer leurs données.
Accélération du phénomène en ce début 2016
Depuis le début de cette année, les attaques de ce type se multiplient contre les entreprises. Les médias se sont fait l’écho d’établissements de santé, américains mais aussi français, qui ont été confrontés à ce choix cornélien. Ne pas payer et voir toutes ces données divulguées sur le net, ou disparaitre à jamais. Payer… et figurer parmi les victimes d’un nouveau business géré par des criminels extrêmement bien organisés et compétents.
Mi-février, c’est un hôpital d’Hollywood qui fut intégralement paralysé par Cryptolocker et dut se résoudre à payer une rançon, au bout d’une dizaine de jours, pour récupérer l’accès à ses données. En France, des établissement hospitaliers, le ministère des transports, et d’autres établissements publics ont également été piégés.
L’ANSSI et le CERT-FR ont alerté récemment les entreprises françaises contre ce risque grandissant. Adista constate également une généralisation des cas de type ransomware, ou rançongiciel, chez ses clients. Pour s’en prémunir, la formation des utilisateurs et l’information des dirigeants nous semblent capitales.
Qu’est-ce qu’un ransomware ?
C’est une catégorie particulière de logiciel malveillant qui bloque l’ordinateur des victimes et réclame ensuite le paiement d’une ‘rançon’. Le ransomware se glisse dans des pièces jointes infectées, qui peuvent être des documents PDF, des fichiers Microsoft Office, des photos, des fichiers compressés. Ces risques vous arrivent souvent par mail, par téléchargement de fichiers sur une page web, depuis un espace cloud, ou sur une clef USB. Relances fictives –mais très crédibles- pour des factures, pop-up s’ouvrant sur des pages web et incitant au clic qu’il ne fallait pas faire, utilisation de failles logicielles connues, les méthodes recensées sont assez nombreuses et ne s’appuient pas toujours sur une pièce jointe.
Comment fonctionne-il ?
Le principe de ces ransomware est très simple : quand vous aurez cliqué sur la pièce jointe, il va crypter des fichiers de votre disque, voire tout votre disque, et demander le paiement de rançon par carte bancaire, ou versement en bitcoins. Dans l’entreprise, Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise.
Comment se prémunir… contre plusieurs risques dont le ransomware ? Par la sauvegarde !!!
Parce qu’il n’y a pas de réponse unique contre les ransomware, parce qu’ils ne sont pas les seuls risques pour les données des entreprises, il convient de rappeler que l’essentiel quand les données sont perdues… c’est bien d’être en capacité de les restaurer. Sauvegarde sur site, obligatoirement mais pas seulement. Car les menaces actuelles visent également à corrompre ces sauvegardes. Aussi la meilleure approche consiste à sauvegarder aussi hors du site de production, avec des réplications de vos backups ou de vos VM dans des datacenters sécurisés. Cette solution peut être très facile à mettre en œuvre et Adista propose notamment un test gratuit pendant un mois de sa solution Veeam Cloud Connect par Adista. Le principe de la sauvegarde hors site est maintenant admis par toutes les organisations, c’est la virtualisation et les applications comme Veeam Cloud Connect qui rendent sa mise en œuvre extrêmement simple et efficace !
Comment se prémunir par le comportement de l’utilisateur ?
En étant vigilant en gardant du recul sur les messages que l’on peut recevoir, en ne faisant pas aveuglément confiance à des mails provenant de personnes censées être connues. Toujours penser à la possible usurpation d’identité !
Et avant de cliquer sur une pièce jointe, posez-vous ces trois questions :
Si vous répondez non aux deux premières questions…. Il faut alors se demander pourquoi il faudrait ouvrir cette pièce jointe?
Important, ces ransomware se diffusent aussi… par les utilisateurs dans l’entreprise, avec une transmission en chaine de JPG, PDF, PPTX humoristiques qui s’avère être une méthode virale terriblement efficace pour diffuser Cryptocker.
Pourquoi une diffusion si rapide ?
Par le potentiel du ‘business’ généré, tout d’abord. Les piégés sont prêts à payer, alors les entreprises criminelles développent des malwares de plus en plus performants. Techniquement, un éditeur comme Sophos parle de CaaS, Crimeware as a Service. Pour le spécialiste britannique de la sécurité informatique, les éditeurs de malwares n’ont pas besoin de se démener longtemps pour trouver des failles au sein de Java, Silverlight ou Flash, ou pour trouver des serveurs internet non sécurisés pour y héberger des « exploit kits » infectant le PC des visiteurs. Et l’industrie du ransomware se spécialise par catégories, par actions, de la création du malware, à l’utilisation des ordinateurs infectés, jusqu’à l’exfiltration de données volées ou de la revente de ces données.
Parce que ces malwares se diffusent aussi grâce au spam, pour une diffusion très efficace. En février, le ransomware Locky s’est ‘répandu’ très rapidement par le biais d’un document Word diffusé par des spams… qui passaient la plupart des passerelles anti spams. Et début mars, même méthode, avec des fausses factures de l’opérateur Free qui véhiculaient un logiciel malveillant.
Comment réparer ?
Sans parler des risques de sécurité, sans parler du chantage à la communication qui est également l’enjeu du ransomware (payez ou on parle de vous comme étant piégé), il convient de signaler que la récupération d’un poste piégé est longue et complexe. Et s’appuie obligatoirement par des sauvegardes bien faites et à jour !
Une sécurité informatique particulière ?
Les éditeurs d’antivirus s’adaptent à cette nouvelle menace. Avec la mise à jour régulière des logiciels de protection, des systèmes d’exploitation et des applications, les utilisateurs disposent déjà d’un socle de défense contre ces ransomware. Mais les pirates s’adaptent. En ce début mars, on voit apparaître par exemple les premiers logiciels de ce type se diffusant sur des plateformes Macintosh par le biais des services BitTorrent.
La formation des utilisateurs et l’information des entreprises sont essentielles dans la lutte contre les ransomware. Nous sommes bien face à un business criminel, qui rapporte beaucoup d’argent, avec des ‘clients’ prêts à payer pour recouvrer leurs données. Ces équipes n’hésitent pas à vous espionner en amont, à surveiller votre activité sur les réseaux sociaux, pour monter de vraies escroqueries de type ingénierie sociale, qui vont inciter un utilisateur à cliquer… sur un ransomware.
Seule solution contre ces nouveaux risques : une stratégie globale combinant sécurité informatique, sauvegarde des données, et information des utilisateurs !
Source : Adista.fr