Les ransomwares sont de plus en plus présents sur nos systèmes. Reveton, WannaCry, Cryptolocker, REvil : si vous connaissez ces noms, c’est parce que ce sont tous des ransomwares ayant fait d’importants dégâts.
Le rançongiciel est le mode de monétisation de nombreux groupes de hackers et représente une véritable industrie avec des éditeurs, des opérateurs, des blanchisseurs, etc.
Nous allons voir dans cet article comment se protéger des ransomwares, que faire en cas d’infection et pourquoi payer une rançon n’est pas une solution recommandable.
1. Se protéger des ransomwares
Lorsque l’on souhaite se protéger des ransomwares – comme pour toute cybermenace – avoir une bonne stratégie de cybersécurité est essentiel. Un point extrêmement important dans la protection contre ces logiciels est la sauvegarde. Il est important d’en effectuer régulièrement afin de se préparer au mieux à des évènements extérieurs.
Optez pour une stratégie de sauvegarde appelée le “3-2-1”: 3 copies de ses données, 2 locales mais sur des supports différents et 1 copie dans un autre lieu géographique que celui du système de production. Un support Cloud permet de couvrir deux de ces points. Pensez cependant à garder une sauvegarde offline, c’est-à-dire déconnectée du réseau. En cas d’infection complète de vos systèmes, le ransomware ne pourra y accéder.
Les ransomwares viennent de l’extérieur : ils sont déployés par le hacker ou directement exécutés depuis une pièce jointe. Mettre en place en amont des solutions de filtrage et d’analyse de contenu permet également de réduire les risques de contact avec un malware. Ces outils identifient les emails contenant des pièces jointes susceptibles d’être malveillantes ou des liens malveillants pour les empêcher d’atterrir sur vos boîtes de réception.
Surveillez l’activité de votre réseau à travers des solutions de monitoring. Il est possible de repérer certaines connexions suspectes avant l’installation ou le déclenchement du ransomware et ainsi éviter le chiffrement de vos données. Le monitoring réseau permet d’identifier les connexions suspectes depuis ou vers l’extérieur, généralement la première étape dans l’élaboration d’un ransomware. Les outils EDR réalisent quant à eux du monitoring de processus. Ils permettent d’identifier les opérations douteuses comme le lancement de script à partir d’un document de bureautique ou le chiffrement de fichiers et bloquent les processus malveillants suffisamment tôt pour en limiter les dégâts.
Enfin, il est important de sensibiliser efficacement vos collaborateurs sur les dangers des ransomwares et l’identification des tentatives de phishing. En effet, cette technique est un des principaux vecteurs d’infections pour la première étape avant le déploiement d’un rançongiciel. Il est donc nécessaire de former ses collègues sur ces enjeux et sur les méthodes d’identification d’un mail de phishing.
2. Que faire en cas d’infection par rançongiciel ?
Il est possible que même en suivant ces conseils vous vous retrouviez victime d’un ransomware. Mais dans cette situation, que faire ?
La consigne à faire appliquer par tout le monde est de ne pas essayer de redémarrer l’ordinateur infecté. Il arrive que le rançongiciel soit limité par un problème d’autorisation ou par des fichiers verrouillés par le système en cours d’exécution, l’empêchant de chiffrer certains documents. En redémarrant, il est possible que vos collaborateurs autorisent le chiffrage de fichiers inaccessibles auparavant. Il est aussi parfois possible de retrouver des indices permettant le déchiffrement dans la mémoire vive qui sera vidée au redémarrage.
Déconnectez le ou les postes infectés du réseau – désactiver le Wi-Fi ou débrancher le câble Ethernet – afin d’éviter que le ransomware ne se propage sur d’autres ordinateurs connectés au même réseau.
Débranchez ensuite les systèmes externes encore sains comme des serveurs de stockage en réseau (NAS) le temps de contenir le déploiement du rançongiciel.
Si vous effectuez des sauvegardes régulièrement, restaurez votre version la plus récente afin de récupérer vos données. Cependant, si vous n’avez aucune sauvegarde à disposition, il sera bien plus difficile de nettoyer et de restaurer votre ordinateur. C’est pourquoi il est important de mettre en place une stratégie de sauvegarde comme évoqué précédemment. Attention néanmoins à ne pas contaminer vos sauvegardes off-line une fois que vous les connectez à un réseau potentiellement infecté.
L’ANSSI et des experts de réponse à incidents peuvent parfois intervenir et vous aider à récupérer vos fichiers. Des chercheurs en sécurité ou des éditeurs de logiciels peuvent élaborer des outils ou mettre la main sur des clefs de chiffrement liées à des ransomwares spécifiques. Lors de l’éradication du ransomware Cryptolocker, deux sociétés, Fox-IT et FireEye avaient mis en place un outil en ligne, Decrypt Cryptolocker. Ils permettaient aux victimes de récupérer gratuitement leurs fichiers. Vérifiez si un outil n’est pas à votre disposition sur internet pour vous aider à récupérer vos données.
3. La problématique du paiement de la rançon
Bien que généralement, payer permet de récupérer ses données et redevenir opérationnel, cela ne signifie pas que la donnée ne sera pas exploitée ou publiée par la suite.
D’autre part, cela ne comble pas les failles par lesquelles les hackers ont pu installer le ransomware. Il est donc tout à fait possible que ceux-ci recommencent quelques mois plus tard.
Le cabinet Censuswide a réalisé une étude en avril 2021 pour Cybereason sur le thème des ransomwares. Ils ont interrogé 1263 professionnels de la sécurité venant de 7 pays différents. 80% des répondants ayant choisi de payer une rançon lors d’une attaque de ransomware ont identifié une seconde attaque peu de temps après. 46% d’entre eux considèrent qu’ils ont eu affaire aux mêmes individus.
Cette étude indique également que 3% de ceux qui avaient payé la rançon n’ont pas retrouvé leurs fichiers et 46% ont récupéré des fichiers en partie corrompus. Payer ne signifie pas que les hackers vont tenir parole, n’oubliez pas que vous avez affaire à des criminels.
D’ailleurs, certains projets de lois envisagent d’interdire le paiement des rançons. Les conséquences d’une telle législation sont encore en cours de discussion pour savoir si ce serait réellement bénéfique.
Chez Arsen, nous recommandons de ne pas payer la rançon. Outre le fait de ne pas avoir la certitude d’obtenir en échange les fichiers, payer la rançon c’est également financer l’industrie et potentiellement les prochaines attaques. Alimenter la cybercriminalité c’est entretenir un cycle sans fin.
Prévenir vaut mieux que guérir, c’est pourquoi il est important de sensibiliser et de former ses collaborateurs pour mieux les protéger et donc diminuer la vulnérabilité de l’entreprise à ces attaques.
