Les meilleures pratiques pour prévenir et réagir aux attaques de ransomwares

publié par Bitdefender Enterprise France, le 02 août 2017

Les ransomwares sont une menace croissante pour toutes les entreprises dont les systèmes et les données sont cruciaux ; en d'autres termes, à peu près n'importe quelle entreprise.

 

 

Les ransomwares sont utilisés par les cybercriminels afin de prendre en otage des données, puis exiger une rançon à leurs victimes afin qu’elles puissent les récupérer. Les pirates informatiques empêchent leurs victimes d'accéder à leurs données puis menacent de détruire ces dernières, de les diffuser auprès de concurrents, de diffuser des informations financières, etc.

 

Heureusement, il existe différentes mesures que les entreprises peuvent mettre en place pour se protéger. Dans un article récent, “Ransomware: Best Practices for Prevention and Response,”, Alexander Volynkin, Chercheur Sénior de la Division du CERT de l'Institut de Software Engineering de l'Université Carnegie Mellon, fournit des conseils sur comment prévenir et répondre à ce type d’attaque. Alexander Volynkin note que, au fur et à mesure que les technologies utilisées par les ransomwares évoluent, les entreprises doivent prendre des précautions de plus en plus spécifiques pour se prémunir contre ces attaques.

 

La première mesure de sécurité, la plus critique, consiste à sauvegarder régulièrement les données et à les stocker sur un système secondaire. Les cybercriminels ont en effet la capacité de chiffrer les points de restauration Windows, ainsi que les « shadow copies », généralement utilisées pour restaurer les données en ligne. Les sauvegardes doivent être stockées hors ligne et hors site, sur un système qui n'est pas connecté au réseau principal de l’entreprise. Les sauvegardes doivent être réalisées chaque fois que des données importantes sont modifiées, et il doit être périodiquement vérifié qu’il est possible d’accéder aux données depuis le système secondaire.

 

Pour éviter une attaque de ransomwares, les entreprises doivent aussi s'assurer que les employés sont formés pour reconnaître une attaque potentielle. Les e-mails, les téléchargements et les sites Web suspects sont des sources classiques pour la diffusion des ransomwares, et doivent être traités avec prudence. Les cybercriminels sont de plus compétents en matière de social engineering et peuvent plus facilement dissimuler que jamais des virus au sein de sources qui semblent légitimes.

 

Pour empêcher un ransomware de s'exécuter une fois qu'il s’est infiltré dans un système, les entreprises doivent déployer des mesures de contrôle des accès afin de bloquer le chiffrement des données importantes, déclare Alexander Volynkin.

 

Les ransomwares peuvent essayer d'utiliser un compte administrateur pour accéder aux données. Pour contrer cela, le nombre de comptes utilisateurs doit être restreint et tous les comptes administrateurs par défaut doivent être supprimés.

 

Les entreprises doivent également déployer des logiciels de sécurité et antimalwares et régulièrement mettre à jour ces solutions afin de pouvoir détecter des ransomwares avant qu’ils ne se diffusent. Les solutions antimalwares doivent être en mesure de bloquer les ransomwares au niveau des fichiers et des processus ; cependant il faut garder en tête que cela ne garantit pas une protection à 100%.

 

Pour réduire les chances qu’un e-mail contenant un malware ne soit ouvert, les boîtes de réception des employés doivent être filtrées à la recherche de courriers indésirables et d’e-mails provenant de sources suspectes, ajoute Alexander Volynkin. Les pièces jointes doivent être bloquées par une appliance de sécurité e-mail. Les ransomwares sont souvent diffusés sous la forme d'un fichier exécutable (.exe ou .js) ou peuvent être « déguisés » sous d'autres types de fichiers, tels qu’un .zip. Les ransomwares peuvent également être trouvés dans des fichiers Microsoft Office contenant des macros.

 

Les entreprises doivent aussi supprimer les droits administrateurs en local sur les systèmes. Cela permet d’empêcher les ransomwares de pouvoir modifier les fichiers système, les répertoires, la base de registre et le stockage. Cela bloque également l'accès aux ressources et fichiers critiques du système.

 

Limiter l'accès en écriture à un petit nombre de répertoires rend plus difficile pour les ransomwares de chiffrer les données, ajoute Alexander Volynkin. Cela peut être mis en place en limitant les capacités d'écriture des utilisateurs, en empêchant l'exécution depuis les répertoires des utilisateurs, en définissant des listes blanches d’applications et en limitant l'accès au stockage et au partage réseau.

 

Une fois qu'un système a été infecté par un ransomware, il est difficile d'empêcher le virus de se propager à travers tout le réseau. Une machine infectée doit immédiatement être déconnectée physiquement du réseau, le Wi-Fi et le Bluetooth doivent être désactivés, et les sauvegardes automatisées vers un espace de stockage local ou externe stoppées.

 

Les pare-feux qui intègrent des listes blanches ou des listes noires sont utiles afin que les ransomwares soient bloqués et qu'il ne se connectent pas aux serveurs de commande et de contrôle des cybercriminels. Les pare-feux doivent limiter ou bloquer le Remote Desktop Protocol (RDP) et les autres services de gestion à distance.

 

Comme il est impossible d'éviter tous les types d'attaques de ransomwares, il est important de savoir comment répondre à une attaque. Si une entreprise pense qu’un ransomware est présent sur l’un de ses systèmes, il est nécessaire de suivre les étapes suivantes, selon l'article :

  • Avant d’éteindre le système, essayez de réaliser un snapshot de la mémoire système. Cela facilitera le suivi de l’attaque et permettra sans doute d’avoir plus d’informations pour le déchiffrement des données. Stoppez ensuite le système le plus rapidement possible pour éviter que le ransomware ne se propage et n’endommage d’autres données sur le système et le réseau. 

  • Pour empêcher le ransomware de chiffrer les données, bloquez l'accès au réseau à tout serveur de commande et de contrôle identifié.

  • Enfin, informez les autorités pour bénéficier d’une assistance lors de l'enquête. Cependant, cela augmente le risque que les données ne soient jamais récupérées. Étant donné que les paiements de rançon ont tendance à augmenter au fil du temps, le recours à des autorités peut retarder le processus et ajouter des coûts lors de la récupération des données.

     

Alors que les ransomwares deviennent de plus en plus puissants, il est plus important que jamais de mettre en place des mesures de sécurité comme celles-ci pour empêcher votre entreprise d’être la prochaine victime.

 

Pour en savoir plus sur la protection contre les ransomwares, rendez-vous sur : https://www.bitdefender.fr/business/usecases/anti-ransomware.html

Bitdefender Enterprise France

Bitdefender est le spécialiste européen des solutions antimalware. Ses technologies proactives classées n°1 en détection et en prise de ressources par les organismes de tests indépendants protègent plus de 500 millions d’utilisateurs.