Blog GlobalSign

09 oct. 2018

Pourriez-vous me rappeler ce qu’est un rançongiciel ?

Très bien. Cet article n’est que le 2 364e parmi tous les articles consacrés aux rançongiciels le mois dernier. Vous en voulez encore ? Apparemment oui à en juger par le nombre de personnes qui ignorent encore les effets dévastateurs des attaques par rançongiciel (ou « ransomware ») sur les entreprises, les administrations ou les particuliers. Sachez que ce type d’attaque n’est pas prêt de disparaître. Vous pouvez continuer à faire l’autruche ou repousser l’échéance, le phénomène existe bel et bien. Alors, autant commencer à prendre les mesures qui s’imposent, non ?

Qu’est-ce qu’une attaque par rançongiciel ?

Procédons par ordre. Nous commencerons par définir ce dont il s’agit, puis aborderons ce qu’un rançongiciel est capable de faire, avec des exemples de dommages déjà causés, avant de vous proposer quelques conseils de préparation, ainsi que des stratégies, des méthodes et des tactiques à mettre en œuvre dès aujourd’hui pour éviter de vous faire prendre demain.

Dans un précédent article de blog, j’expliquais que :

un rançongiciel est une forme de malware qui infecte un ordinateur et prend le contrôle du système d’exploitation central à l’aide de mécanismes de verrouillage, ou s’approprie des fichiers de données en les chiffrant. Le programme demande alors à l’utilisateur de verser “une rançon” aux malfaiteurs afin de déverrouiller le système et de restaurer le terminal ou les fichiers utilisateur.”

D’autres l’ont défini comme étant :

une forme de logiciel malveillant (ou malware) qui, après avoir pris le contrôle de votre ordinateur, vous menace en général de vous priver d’accès à vos données. L’agresseur exige de ses victimes le paiement d’une rançon en échange du rétablissement de l’accès aux données sans toujours tenir sa promesse. Les modalités de paiement pour obtenir la clé de déchiffrement sont transmises aux utilisateurs. Les coûts peuvent aller de quelques centaines à plusieurs milliers de dollars, payables en bitcoins aux cybercriminels..”

le rançongiciel reprend les codes d’un scénario vieux comme le monde : le kidnapping. On vous prend quelque chose auquel vous tenez, et pour le récupérer, vous devez payer. Et pour que ça marche, les ordinateurs doivent être infectés par un virus, ce qui se produit généralement en incitant les personnes visées à cliquer sur un lien. »

ransomware

Coût des rançongiciels

En 2017, la revue National Law Review déclarait que

que le montant moyen des demandes de rançons excédait 1000 dollars US, un chiffre qui avait plus que triplé par rapport au montant moyen de 2015. Et comme si cela ne suffisait pas, une entreprise sur cinq ayant versé une rançon n’a jamais récupéré ses données. ”

Comment se fait-il que nous ignorions tous cette menace et/ou que nous nous soumettions et payions la rançon ? Dans ce récent article, Stuart Reed, l’un des leaders en stratégies de cybersécurité, affirme que :

…D’après notre nouveau rapport Risk:Value, il reste beaucoup à faire. Un chiffre résume cela de manière particulièrement frappante : un tiers des décideurs mondiaux pensent que leur entreprise préfère payer une rançon en cas de piratage plutôt que d’investir dans la sécurité informatique.».

Reed poursuit en soulignant que, dans le récent rapport sur l’état des menaces dans le monde (GTIR), les attaques par rançongiciel avaient « bondi de 350 % en 2017. »

Parmi les attaques par rançongiciel les plus connues et les plus coûteuses, citons notamment :

  • WannaCry — Coût = 8 milliards de dollars.
  • BadRabbit — Coût = ???  Plusieurs milliards — les coûts sont tellement élevés et n’en finissent pas de grimper, que le total reste à déterminer.
  • NOTPETYA — Coût = 1,2 milliard de dollars.
  • SAMSAM — Coût = 850 millions de dollars, et toujours plus

Comme l’indique un article paru récemment dans le New York Times au sujet de l’attaque par rançongiciel SAMSAM contre la ville d’Atlanta :

Toute victime d’une attaque par rançongiciel doit tout prendre en compte pour savoir s’il vaut mieux payer la rançon ou tenter d’éradiquer le malware dans l’espoir de restaurer les données sans céder. Mais lorsque les victimes appartiennent au secteur public, il convient également de débattre de la bienséance douteuse voire de la légalité hasardeuse qu’il peut y avoir à utiliser l’argent du contribuable pour récompenser la criminalité.

Les municipalités du secteur public semblent être la nouvelle cible, selon un récent article paru dans le Wall Street Journal qui comptabilise également les réseaux urbains publics récemment touchés aux Etats-Unis, ainsi que les rançons payées et les montants que les victimes n’ont pas souhaité verser. (Oui, il est possible de refuser de payer la rançon comme le recommande le FBI) :

« Les attaques contre le secteur public semblent augmenter plus rapidement que dans le privé, d’après le Ponemon Institute, cabinet d’études de Traverse City dans le Michigan spécialisé en sécurité informatique. Le Ponemon Institute estime que 38 % des organismes publics de son échantillon subiront une attaque par rançongiciel dans l’année, sur la base de rapports établis jusqu’en mai, contre 31 % l’an dernier et 13 % en 2016. L’entreprise sonde entre 300 et 400 entités du secteur public chaque année.

“Ce phénomène n’en est qu’à ses débuts”, déclarait Marshall Davies, directeur exécutif de l’Association pour la gestion des risques publics d’Alexandrie, dans l’état de Virginie. Les pirates informatiques “commencent à s’en prendre aux entités publiques après avoir eu les entreprises dans le viseur pendant des années,” poursuit-il.

Tenez-vous prêt : votre attaque par rançongiciel n’est qu’UNE QUESTION DE TEMPS

Vous aurez noté qu’il ne s’agit pas d’une hypothèse. Si vous continuez à ignorer la menace que représentent les attaques par ransomware, préparez-vous à en subir l’effet boomerang. Sachez que la mise en place d’une solution de sauvegarde et de reprise après sinistre vous aidera à vous remettre d’une attaque par rançongiciel. D’après Channelnomics,

Lorsqu’ils disposent d’une solution de sauvegarde et de récupération fiable, 96 % des prestataires de services gérés indiquent que leurs clients se remettent totalement d’une attaque par rançongiciel.”

Côté préparation, voici d’autres points à prendre en compte :

  1. Assurance : vérifiez que votre entreprise est assurée contre les rançongiciels, pas dans le cadre d’une police d’assurance classique, mais au titre d’une police de “cyberresponsabilité”. (le lien n’est qu’un exemple, pas une publicité).
  2. Audits de sécurité : internes et externes.
  3. Plan d’intervention sur incident : préparez au plus tôt un plan d’intervention en cas d’incident que vous aurez fait rédiger par votre RSSI, ou par l’intermédiaire d’un comité d’entreprise et d’un comité juridique — qui constituent collectivement l’équipe d’intervention sur incident.
  4. Équipe d’intervention en cas d’incident : comme indiqué, il s’agit d’un comité constitué de membres chargés de prendre des décisions et de déléguer certaines tâches, avec toutes leurs coordonnées et leurs suppléants.
  5. Gestion des identités et des terminaux mobiles/utilisateurs : cette gestion s’effectue généralement dans le cadre de l’audit de sécurité évoqué plus haut, mais vaut d’être rappelée, en faisant au passage la publicité des solutions GlobalSign d’authentification des mobiles et de contrôle d’accès par authentification.
  6. Sauvegarde et restauration des données : prévoyez une solution de sauvegarde et de restauration en cas d’incident pour vous remettre d’une infection par rançongiciel. Lorsqu’ils disposent d’une solution de sauvegarde et de récupération fiable, 96 % des prestataires de services gérés indiquent que leurs clients se remettent totalement d’une attaque par rançongiciel.
  7. Détection et surveillance : effectuez une surveillance continue de vos ressources et déployez les technologies appropriées pour contenir les menaces.
  8. Formation : les organisations doivent s’employer à former leurs employés aux menaces actuelles et aux façons de s’en prémunir.

conseils ransomware

Nos confrères de SentinalONE proposent dans leur livre blanc les cinq étapes à suivre dès que vous pensez ou êtes certain d’être victime d’un rançongiciel :

Même si ces mesures ne vous protégeront pas intégralement, elles contribueront dans une forte mesure à prévenir, protéger et atténuer toute menace de rançongiciel dans un avenir prévisible. Bonne chance et restez vigilants !

Autres ressources et informations sur ce sujet :

Partager ce blog