Nous rejoindre
Newsletter
sponsored2feb1
Actualités

Pourquoi la protection contre les ransomwares devrait faire partie de votre vie

Par 8 minutes de lectureAucun commentaire

Chaque année, les défis de sécurité augmentent et toutes les entreprises de toutes tailles sont confrontées à la même menace, la menace est appelée ransomware.

Les cybercriminels ont ciblé tous les secteurs avec des logiciels malveillants spécifiques appelés logiciels malveillants d’extorsion ou rançongiciels. À moins qu’une mesure de protection forte comme Protection contre les rançongiciels Spinbackup est mis en place, les entreprises sont obligées de payer d’énormes rançons pour leurs actions.

Voici un guide concis sur les ransomwares qui décrit les types d’attaques, les vecteurs d’attaque courants, les méthodes et outils de prévention, ainsi que les meilleures pratiques de récupération.

Rançongiciel

Un ransomware est un logiciel malveillant capable de verrouiller et de crypter les données sur l’ordinateur de la victime. L’auteur informe ensuite la victime qu’un exploit a eu lieu et que les données ne pourront pas être ouvertes ou déchiffrées tant que le paiement n’aura pas été reçu.

Pour être clair, les logiciels malveillants sont un terme générique désignant tout code ou programme malveillant permettant aux pirates informatiques de contrôler un système. Le ransomware lui-même est un logiciel malveillant qui bloque l’accès ou crypte les données sur l’appareil de la victime infectée et oblige la victime à payer une rançon si elle souhaite y accéder.

Les ransomwares sont un crime de cyber-extorsion, qui continue ensuite à évoluer vers une double extorsion ou une double extorsion. Après avoir fait chanter la clé de décryptage pour ouvrir le fichier crypté/otage, leur prochaine étape est le chantage en menaçant de divulguer les données qu’ils ont volées.

Types de ransomwares

Il existe plusieurs types de ransomwares que les malfaiteurs utilisent pour extorquer une rançon. Le type traditionnel est celui de la cryptographie et des casiers. Deux types plus récents, le double racket et le ransomware as a service (RaaS), ont gagné en popularité parmi les criminels.

  • Bloc casiers accéder aux ordinateurs et les attaquants exigent un paiement pour déverrouiller l’accès.
  • Crypto chiffre tout ou partie des fichiers sur un ordinateur, et les auteurs exigent un paiement avant de remettre la clé de décryptage.
  • Double extorsion Cela se produit lorsque les cybercriminels exigent un paiement pour décrypter les fichiers et un autre pour ne pas les publier.
  • Ransomware en tant que service (RaaS) Cela se produit lorsque les cybercriminels peuvent accéder ou louer des ransomwares moyennant des frais et une part lucrative des revenus.

Les ransomwares sont souvent connus sous les noms de code de souches de logiciels malveillants, comme le cheval de Troie SIDA, apparu pour la première fois il y a 30 ans. Depuis lors, des noms comme GP code, Achieves, Trojan WinLock, Reveton et CryptoLocker ont fait la une des journaux pour les ravages qu’ils ont causés.

Au cours de la dernière décennie, LockerPIN, Ransom32, WannaCry, Goldeneye et Petya sont apparus. Et récemment, un gang de cybercriminels a utilisé une variante du RaaS, REvil, pour exiger une rançon de 70 millions de dollars à la société de technologie logicielle Kaseya.

Rançongiciel vectoriel

Les ransomwares infiltrent les organisations via trois vecteurs courants : le phishing, les pièces jointes, le protocole RDP (Remote Desktop Protocol), l’abus d’informations d’identification et les vulnérabilités exploitables.

Hameçonnage

Le phishing, qui cible les entreprises en intégrant des logiciels malveillants dans les e-mails, reste l’un des moyens les plus utilisés par les cybercriminels pour diffuser leur charge utile. Les e-mails de phishing sont devenus beaucoup plus sophistiqués, même en utilisant un bon indonésien, ce qui fait que même l’utilisateur le plus exigeant peut être amené à cliquer sur un lien nuisible.

Pièce jointe

Les fichiers envoyés par courrier électronique sont souvent les vecteurs de propagation les plus rapides des logiciels malveillants. Si l’e-mail n’est pas équipé d’une analyse des logiciels malveillants, des pièces jointes malveillantes peuvent facilement entrer et sont susceptibles d’être cliquées par l’utilisateur. Dans certains cas, il existe des noms de fichiers déguisés, tels que monnomfichier.pdf.exe qui est un fichier exe. Généralement, les pièces jointes malveillantes sont des fichiers portant l’extension .rar .zip .exe .bat .scr .vbs .doc .xls.

RDP et abus d’informations d’identification

Les cybercriminels peuvent injecter des logiciels malveillants via RDP, le protocole propriétaire de Microsoft pour un accès à distance sécurisé aux serveurs et aux postes de travail. Lorsque l’environnement RDP n’est pas sécurisé, les pirates informatiques y accèdent via la force brute, les informations d’identification légitimes achetées sur des sites criminels et le credential stuffing.

Vulnérabilité due à de mauvaises pratiques de mise à jour des correctifs

Les acteurs recherchent des vulnérabilités qu’ils peuvent exploiter, et les systèmes non corrigés constituent un point d’entrée intéressant. Les sites Web, y compris les plug-ins, et les environnements logiciels complexes liés à des tiers permettent aux logiciels malveillants d’entrer sans être détectés.

Examinez plus en détail comment les logiciels malveillants peuvent être distribués via les vulnérabilités des sites Web et des navigateurs.

Principales cibles des ransomwares

Même s’il semble qu’aucune industrie n’ait été épargnée rançongiciel, certains y sont plus vulnérables que d’autres. Par exemple, les établissements d’enseignement ont beaucoup souffert des attaques des pirates informatiques. Voici les 10 principales cibles des ransomwares par secteur :

  1. Éducation
  2. Vente au détail
  3. Services commerciaux, professionnels et juridiques
  4. Gouvernement central (y compris fédéral et international)
  5. IL
  6. Fabrication
  7. Infrastructures énergétiques et de services publics
  8. Santé
  9. Gouvernement local
  10. Services financiers

La taille de l’entreprise n’est pas toujours le facteur déterminant ; c’est plutôt là que les acteurs peuvent obtenir un impact financier maximal.

Identifier les attaques de ransomware

Les attaques de ransomware sont particulièrement difficiles à détecter car le code malveillant est souvent caché dans des logiciels légitimes, tels que les scripts PowerShell, VBScript, Mimikatz et PsExec. Les entreprises doivent utiliser une combinaison d’outils de sécurité automatisés et d’analyses de logiciels malveillants pour découvrir les activités suspectes susceptibles de conduire à des attaques de ransomwares.

Voici trois types de techniques de détection des ransomwares :

  • Les ransomwares basés sur les signatures comparent les échantillons de hachage collectés lors d’activités suspectes aux signatures connues.
  • Les ransomwares basés sur le comportement examinent les nouveaux comportements concernant les données historiques ; et
  • Les escroqueries utilisent des appâts tels que des pots de miel. Un pot de miel est un système connecté au réseau qui sert d’appât pour attirer les cyber-attaquants et détecter, dissuader et étudier les tentatives de piratage visant à obtenir un accès non autorisé aux systèmes d’information. La fonction du pot de miel est de se présenter sur Internet comme une cible potentielle pour les attaquants (généralement des serveurs ou d’autres actifs de grande valeur), de recueillir des informations et d’informer les défenseurs de toute tentative d’accès au pot de miel par des utilisateurs non autorisés.
  • Les attaques de ransomware se produisent rapidement et il est important de pouvoir les détecter et y répondre rapidement. Découvrez trois incidents de ransomware et leurs résultats.

Prévenir les attaques de ransomwares

Les organisations peuvent réduire leur vulnérabilité aux attaques de ransomwares et limiter les dégâts qu’elles causent en adoptant une solide posture de cybersécurité. Étapes pour prévenir les attaques de ransomware :

  • Maintient un programme de sécurité approfondi.
  • Envisagez des technologies de protection avancées telles que Zero Trust et Endpoint Detection and Response (EDR).
  • Sensibiliser les collaborateurs aux risques d’ingénierie sociale.
  • Patchez régulièrement.
  • Effectuez des sauvegardes périodiques des données importantes.
  • Ne vous fiez pas uniquement aux recommandations.
  • De plus, les entreprises peuvent mettre en œuvre des processus commerciaux qui limitent, voire éliminent les transactions par courrier électronique afin de rendre les liens et les pièces jointes plus visibles et plus suspects aux yeux des professionnels de la sécurité.

Le cloud offre une protection contre les ransomwares, car les organisations peuvent l’utiliser pour des stratégies de sauvegarde et de récupération. Les entreprises peuvent créer des sauvegardes isolées et inaccessibles de leur environnement d’entreprise principal sans apporter de modifications à l’infrastructure ni nécessiter de nombreux ajustements administratifs d’authentification/autorisation.

Récupération après une attaque de ransomware

Après une attaque de ransomware, les organisations doivent suivre un plan de réponse aux incidents de ransomware qu’elles ont idéalement créé et testé bien avant l’attaque.

Les organisations veulent tenter de supprimer les ransomwares, mais cela peut s’avérer très difficile. Les professionnels de la sécurité doivent s’assurer qu’ils ne permettent pas aux logiciels malveillants de pénétrer davantage dans le système.

Isolez l’appareil infecté.

Spécifiez le type de ransomware pour permettre des efforts de réparation plus ciblés.

Supprimez le ransomware, ce qui peut inclure la vérification s’il est supprimé, l’utilisation d’un logiciel anti-malware ou anti-ransomware pour le mettre en quarantaine, l’aide d’un professionnel de la sécurité externe et sa suppression manuelle si nécessaire.

Récupérez le système en restaurant la version précédente du système d’exploitation avant l’attaque.

Système de défense contre les ransomwares

En plus des mesures de protection ci-dessus, Prosperity suggère les systèmes de défense suivants comme couche de défense contre les ransomwares :

  • La sécurité de la messagerie cloud comme défense initiale contre tous les e-mails avant qu’ils n’atteignent le serveur, est actuellement disponible en Indonésie et peut être utilisée gratuitement pour des startups telles que spinbackup.
  • Email Server Security, défense côté serveur pour filtrer les e-mails en tant que défense du serveur de messagerie lui-même et des filtres de messagerie. ESET fournit le produit ESET Mail Security for Exchange pour les utilisateurs de Microsoft Exchange
  • La défense côté serveur utilise des points de terminaison dédiés aux serveurs. ESET fournit ESET Server Security qui peut fonctionner sur les systèmes d’exploitation Windows/Mac/Linux
  • Surveillance du côté réseau LAN/WAN à l’aide d’une analyse du trafic réseau spécialement conçue et observation des menaces d’attaque numérique telles que Greycortex.
  • La défense côté point final doit être installée sur chaque appareil sans exception, y compris le contrôle du port USB. Comme s’il était déjà équipé de l’analyse cloud et du sandboxing. ESET fournit des produits ESET Protect intégrés pour répondre à ce besoin.
  • Former tout le personnel sur dangers des logiciels malveillantsnotamment les ransomwares, en fournissant des informations périodiques.
Partager
Zaebos

Metatron est le président de l'association Metatrone. Avec un engagement inébranlable envers la communauté gamer, il apporte une véritable vision stratégique, soutenue par des années d'expérience dans le monde du jeu vidéo. Metatron su mener la guilde Metatrone vers une avancée constante dans différents jeux vidéo depuis les débuts de la communauté en 2012. Inspiré par la passion du jeu et la mobilisation collective, il s'est révélé être un leader naturel, donnant la priorité à l'enthousiasme et à l'esprit de compétition. Au-delà de son rôle de leader, Metatron est connu pour son sens de la camaraderie. Sa présence active et constante fait de lui un soutien constant pour les membres de la communauté Metatrone et un point de repère de stabilité et de confiance pour toute l'association. Metatron reste convaincu que la communauté a le potentiel pour atteindre des sommets inégalés dans l'e-Sport, et se dédie à faire de cette vision une réalité.

Commenter cet article
Laisser un commentaire