Bonjour. Vous avez atteint une page archivée. Le contenu et les liens de cette page ne sont plus mis à jour. Vous cherchez un service ? Veuillez retourner à notre page d'accueil.
Novembre 2020 - Ce que vous devez savoir sur les ransomwares
Qu'est-ce qu'un ransomware ?
Les rançongiciels sont des logiciels malveillants qui bloquent l'accès à un système, à un appareil ou à un fichier jusqu'au paiement d'une rançon. Il s'agit d'un système illégal qui permet de gagner de l'argent et qui peut être installé par le biais de liens trompeurs dans un message électronique, un message instantané ou un site web.
Les ransomwares fonctionnent en chiffrant les fichiers du système infecté (crypto ransomware), en menaçant d'effacer les fichiers (wiper ransomware) ou en bloquant l'accès au système (locker ransomware) pour la victime. Le montant de la rançon et les coordonnées de l'acteur de la cybermenace (CTA) figurent généralement dans une note de rançon qui s'affiche sur l'écran de la victime après le verrouillage ou le chiffrement de ses fichiers.
Parfois, l'OTC se contente d'indiquer ses coordonnées dans la note et tentera probablement de négocier le montant de la rançon une fois qu'il aura été contacté. La demande de rançon se fait généralement sous forme de crypto-monnaie, comme le bitcoin, et peut aller de quelques centaines de dollars à plus d'un million de dollars. Il n'est pas inhabituel de voir des demandes de rançon de plusieurs millions de dollars dans le paysage actuel des menaces.
Les rançongiciels sont principalement diffusés par les moyens suivants :
- Pièces jointes/liens malveillants envoyés dans un courriel.
- Intrusion dans le réseau par le biais de ports et de services mal sécurisés, tels que le protocole de bureau à distance (RDP) (par ex. variante du ransomware Phobos).
- Déposé par d'autres logiciels malveillants (par ex. infection initiale par TrickBot conduisant à une attaque par ransomware Ryuk).
- Wormable et autres formes de ransomware qui exploitent les vulnérabilités du réseau (par exemple la variante du ransomware WannaCry).
Pourquoi la sensibilisation aux ransomwares est-elle importante ?
Les rançongiciels sont un problème croissant et coûteux. À l'adresse 2019, le Multi-State Information Sharing and Analysis Center (MS-ISAC) a observé une augmentation de 153% du nombre d'attaques de ransomware signalées par les gouvernements des États, des collectivités locales, des tribus et des territoires (SLTT) par rapport à l'année précédente. Bon nombre de ces incidents ont entraîné des temps d'arrêt importants du réseau, des retards dans la fourniture de services aux administrés et des efforts de remédiation coûteux.
Les victimes de ransomware ne risquent pas seulement de perdre l'accès à leurs systèmes et à leurs fichiers. Dans de nombreux cas, elles peuvent également subir des pertes financières dues à des frais juridiques, à l'achat de services de surveillance du crédit pour les employés/clients ou à la décision finale de payer la rançon. Les effets d'une attaque par ransomware sont particulièrement néfastes lorsqu'elle touche les services d'urgence et les infrastructures critiques, comme les centres d'appel 911 et les hôpitaux.
En outre, les CTA ciblent les fournisseurs de services gérés (MSP), une entreprise qui gère l'infrastructure informatique d'un client (IT), pour diffuser le ransomware à plusieurs entités. C'est le cas lorsque des CTA compromettent un MSP et utilisent son infrastructure existante pour diffuser le ransomware auprès de sa clientèle. Cela permet d'exploiter la relation de confiance entre le client et son MSP.
Au cours des dernières années, le MS-ISAC a observé une augmentation des moyens permettant aux CTA d'échapper à la détection et de maximiser l'impact de leurs attaques. L'un de ces moyens est ce que l'on appelle le "living off the land" (LOTL) : le déploiement de suites ou d'outils de test de pénétration accessibles au public (par exemple, Cobalt Strike, Metasploit ou Mimikatz), pour cibler spécifiquement les contrôleurs de domaine et Active Directory afin d'obtenir un accès à l'ensemble du réseau et de déployer un ransomware sans fichier pour échapper à tout antivirus basé sur des signatures.
Que pouvez-vous faire contre les ransomwares ?
La défense contre les ransomwares nécessite une approche holistique qui mobilise l'ensemble de votre organisation. Bien que les infections par ransomware ne soient pas entièrement évitables en raison de l'efficacité des courriels d'hameçonnage bien conçus et des téléchargements à partir de sites légitimes, les organisations peuvent réduire considérablement le risque de ransomware en mettant en œuvre des politiques et des procédures de cybersécurité et en améliorant la sensibilisation à la cybersécurité et les pratiques de l'ensemble des employés.
Il nous appartient à tous d'empêcher les ransomwares d'infecter nos systèmes. Pour augmenter les chances de prévenir les infections par ransomware, les organisations doivent mettre en œuvre un programme de sensibilisation et de formation des utilisateurs à la cybersécurité qui comprend des conseils sur la manière d'identifier et de signaler les activités suspectes (par exemple, le phishing) ou les incidents. Ce programme devrait inclure des tests d'hameçonnage à l'échelle de l'organisation afin d'évaluer la sensibilisation des utilisateurs et de renforcer l'importance de l'identification des courriels potentiellement malveillants. Lorsque les employés peuvent repérer et éviter les courriels malveillants, chacun joue un rôle dans la protection de l'organisation.
Si votre organisation est infectée par un ransomware, il y a certaines choses que vous pouvez faire pour réagir. La stratégie la plus efficace pour atténuer le risque de perte de données résultant d'une attaque réussie de ransomware consiste à mettre en place un processus complet de sauvegarde des données ; toutefois, les sauvegardes doivent être stockées hors du réseau et testées régulièrement pour en garantir l'intégrité.
Signaler un ransomware
Si votre organisation est victime d'une infection par un ransomware, suivez les procédures de réponse aux incidents de votre organisation pour la signaler. Par ailleurs, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) offre aux administrés et aux partenaires un moyen sûr de signaler les incidents, les tentatives d'hameçonnage, les logiciels malveillants et les vulnérabilités. Pour soumettre un rapport, visitez le site https://us-cert.cisa.gov/report.
Informations sur les droits d'auteur
Ces conseils vous sont proposés sur le site Commonwealth of Virginia par l'Agence des technologies de l'information de Virginie, en coordination avec l'Agence des technologies de l'information de Virginie :
