Ransomwares : comment fonction-il et comment se protéger?
Les ransomwares peuvent vérifier la dette d'une personne ou couler une entreprise. La protection contre cela est un gros problème, d'autant plus que les cybercriminels développent de plus en plus une version vicieuse et convaincante de leur outil.
"Le ransomware est actuellement la menace informatique la plus grave pour les entreprises et les institutions. Cet avertissement vient de l'ANSSI, l'agent français de cybersécurité. Il faut dire que le ransomware (ou ransomware en anglais) utilisé depuis des décennies a été de plusieurs centaines Le chantage d'individus de grandes entreprises fait en sorte que cinq gangs attirent l'attention des médias pour leurs opérations à grande échelle, mais la base de données des ransomwares ID du site répertorie plus de 800 ransomwares différents, dont la plupart sont individualisés.
S'ils polluent un système avec succès, les cybercriminels demanderont une rançon pour le restaurer. C'est quelques centaines d'euros pour les particuliers et peut dépasser dix millions d'euros pour les grands groupes.
Ces opérations sont rentables avec un bénéfice annuel estimé à 2 milliards de dollars. Sur la base de ce succès, le principal gang qui contrôle le logiciel de recherche peut désormais "lancer des attaques de haut niveau qui sont compatibles avec les opérations d'espionnage du gouvernement", a déclaré l'ANSSI.
Cette puissance de feu a de graves conséquences: les achats peuvent paralyser les activités d'une entreprise et donc devoir déposer le bilan. Bien qu'il soit toujours difficile de se protéger contre les cyberattaques les plus complexes, certaines mesures d'hygiène numérique peuvent réduire le risque pour vous et votre entreprise.
Quelles sont les premières conséquence d'une attaque ransomwares?
Lors de l'entrée dans un système informatique, le logiciel d'échange crypte toutes les données accessibles. Non seulement les employés peuvent voir leurs documents - tels que les fichiers clients B. - ne sont plus lus, mais le cryptage empêche également de nombreux appareils et services de l'entreprise de fonctionner correctement. Des dommages peuvent survenir à tous les niveaux: adresses e-mail interdites, entrées défectueuses, logiciels inutilisables, machines de production en panne ... Les entreprises étant de plus en plus équipées d'appareils connectés, les ransomwares peuvent facilement arrêter la chaîne de production.
L'étendue des dommages dépend de la taille de la zone d'exportation: une entreprise bien préparée peut limiter les dommages à une petite partie de son système informatique. De leur côté, les cybercriminels continuent de travailler sur l'innovation pour polluer l'ensemble du système et paralyser l'ensemble de l'entreprise.
Après avoir fourni le logiciel d'échange, le pirate laisse une demande de rançon en crypto-monnaie (Bitcoin, Ethereum, Monero, etc.) avec l'adresse e-mail de contact. Si la victime paie, le cybercriminel s'engage à fournir la clé de déchiffrement, qui annulera son erreur et restituera les données. Pour les entreprises, il s'agit d'une perte financière sèche, mais partiellement couverte par certaines polices d'assurance.
Une autre option, le non-paiement, est recommandée par tous les experts, mais devient de plus en plus risquée. Au cours des deux dernières années, les opérateurs de ransomware ont renforcé leur pratique: ils menacent désormais les entreprises de publier certaines de leurs données sur des blogs spécialisés. Et plus le retard est payé, plus les rédacteurs révèlent beaucoup de leurs informations confidentielles.
La publication de ces données met en danger la réputation de l'entreprise auprès de ses clients et peut rapidement devenir une perte financière si une rupture ou une prolongation de contrat n'est pas prolongée avec ses partenaires. Et cela ne s'arrête pas là: qu'elle paie une rançon ou non, l'entreprise doit renforcer la sécurité de son système et effectuer plusieurs inspections qui consomment temps et argent.
Comment le pirate a-t-il commencé son attaque RANÇONGICIEL ?
Plus précisément, le ransomware est une série de codes qui déclenchent automatiquement certaines fonctions. Ces lignes peuvent être cachées derrière des dizaines de formats de fichiers (.docx, .pdf, .jpg ...) qui sont suffisamment légers pour être intégrés dans l'e-mail.
Les ransomwares sont le plus souvent utilisés en plusieurs phases, par ex. B. comme une fusée. Par exemple, si une pièce jointe malveillante est téléchargée sur un ordinateur, un autre programme plus lourd est installé qu'un serveur externe qui peut commencer à chiffrer les données lui-même.
Le défi pour les pirates est donc de faire des affaires, et ils ont plusieurs façons de le faire:
. 1. Débarrassez-vous des employés par phishing. Le courrier électronique est la passerelle de rançon la plus courante: l'un des employés de l'entreprise télécharge un fichier malveillant qui n'aurait pas dû être téléchargé, et c'est la première carte domino à tomber. Les cybercriminels s'adressent principalement aux personnes disposant d'un accès réseau privilégié ou d'un statut hiérarchique élevé qui peuvent polluer plus rapidement une entreprise entière. Pour augmenter leurs chances de succès, ils personnalisent leur e-mail de phishing avec les informations qu'ils ont précédemment collectées.
. 2. Utilisez les points faibles exploités. Les pirates informatiques exploitent les bogues de certains logiciels pour perturber les systèmes des victimes. Plus la version du logiciel que vous utilisez est longue, plus vous êtes vulnérable aux attaques.
. 3. Utilisez un mot de passe simple. Dans certains cas, le commutateur lui-même est connecté au réseau. Vous pouvez essayer d'entrer avec une violence brutale en testant automatiquement la liste des identifiants publics ("123456", "Azerty", "admin" ...). Vous pouvez également essayer d'utiliser des identifiants provenant de fuites de données provenant d'autres services, mais ceux-ci seront réutilisés par les victimes dans un contexte professionnel.
. 4. Soudoyer les employés de l'entreprise. Il s'agit d'un cas inhabituel qui montre à quel point il est difficile de se protéger de tous les angles d'attaque. Si un salarié installe lui-même les bases de l'extraction de logiciels, le groupe dispose de plusieurs fonctions de protection.
Comment se protéger contre une telle attaque RANÇONGICIEL ?
- 1. Mettez à jour le logiciel. À chaque mise à jour de sécurité, les fournisseurs de logiciels corrigent des dizaines de vulnérabilités critiques qui sont plus ou moins importantes. Parfois, ils offrent une protection contre les attaques qui ont déjà profité de leurs pertes. Mais la plupart du temps, ils commettent des erreurs que la plupart des cybercriminels ne réalisent toujours pas. À l'exception du fait que lorsque des réparations sont publiées, elles indiquent des défauts qui existent parmi les utilisateurs qui ne l'ont pas encore fait. Lorsque votre logiciel est à jour, vous vous protégez de certaines attaques et compliquez la tâche des criminels qui préfèrent attaquer des victimes moins vulnérables.
- 2. Effectuez une sauvegarde très régulière. C'est le meilleur moyen d'arrêter une attaque réussie. Vous n'avez qu'à choisir où vous vous arrêtez et vous pouvez laisser des données cryptées. Ces précautions affaiblissent l'un des leviers pour faire pression sur l'acheteur. Cependant, gardez à l'esprit que le logiciel d'extraction le plus féroce est conçu pour suivre ces réserves afin qu'elles soient endommagées. Pour cette raison, les entreprises font très attention de stocker leurs données à plusieurs endroits, y compris hors ligne.
- 3. Équipez-vous d'un logiciel antivirus / protection de masse et disposez d'un filtre de messagerie. Ces deux défenses bloquent automatiquement la tentative d'attaque la plus simple.
- 4. Utilisez des comptes d'utilisateurs, pas des administrateurs.
- 5. Votre segment de réseau: plus un réseau informatique est segmenté, plus le risque d'affaiblissement du logiciel est faible. Par exemple, si un ransomware contamine des ordinateurs avec des ressources humaines, il peut ne pas affecter la chaîne de production.
Quoi faire si vous êtes victime de RANÇONGICIEL?
- 1. Déconnectez-vous d'Internet et du réseau d'entreprise. Ils réduisent le risque d'infection et empêchent les cybercriminels de télécharger de nouveaux documents dangereux.
- 2. Ne payez pas. Ce choix est un consensus parmi les experts. Lorsque vous payez, vous exposez vos vulnérabilités et augmentez le risque d'être à nouveau attaqué. En outre, il n'est pas rare que les travailleurs qui reçoivent une rançon augmentent leurs prix si la victime approuve le paiement. Enfin, les paiements alimentent le réseau de cybercriminalité, dont la puissance continue de croître à cause de ce cercle vicieux. Par conséquent, il est recommandé de restaurer votre réseau à partir de vos archives.
- 3. Prenez votre temps, il joue contre les cybercriminels. Plus les décisions de vos victimes sont prises tôt, plus elles en bénéficieront. Pour cette raison, ils commencent le plus souvent le chiffrement des données le vendredi soir après le départ des employés le week-end. De cette façon, ils compliquent la création de cellules de crise et font pression sur les personnes présentes avec des délais pour payer des rançons.
- 4. Contactez l'autorité responsable. Anssi vous conseille de déposer une plainte auprès de la police. En cas d'attaque majeure, l'agence peut intervenir: d'ici 2019, il sera impliqué dans la gestion de 69 incidents majeurs en France.
- 5. Recherchez un décrypteur. Ce conseil s'applique particulièrement aux personnes. Par exemple, ID-Ransomware propose un diagnostic gratuit de votre ransomware. S'il le détecte, le site Web vous dirigera vers des ressources utiles. Certaines sociétés antivirus comme Kaspersky mettent régulièrement à jour leurs bases de données de décryptage. Ces programmes violent le cryptage cybercriminel.
- 6. Modifiez tous les mots de passe lors de la récupération du système. Que vous payiez ou non, le destinataire aura certainement une copie de vos informations d'identification.
- 7. Avertissez les personnes concernées par les violations de données. Les personnes dont les données personnelles ont été compromises doivent être averties avant de pouvoir se défendre et ne pas devenir des victimes.