Protection ransomware : comment agir ?

Retrouvez ci-dessous les bonnes pratiques pour lutter contre les attaques de ransomwares/rancongiciels : comment réagir face à une attaque, comment prévenir et quelle protection adopter.

Le fonctionnement des ransomwares

Tout d’abord, un ransomware ou rancongiciel a pour but de bloquer un ordinateur et demander une rançon. Cela existe depuis une quinzaine d’années et a notamment été médiatisé notamment en 2017, lorsque le Windows XP n’était plus supporté.

Il existe différents types de ransomwares :

• L’écran est bloqué au démarrage
  • Depuis l’OS : l’écran est non évitable
  • Du secteur de démarrage (MBR) demandant un mot de passe pour démarrer, chiffrant ou non les disques
• Bloquant l’accès aux fichiers personnels et aux plateformes et supports : PC ou Mac, mobile tel qu’Android, serveur web, …

La logique derrière un ransomware consiste à avoir un fichier avec clé de chiffrement – il faut avoir une bonne clé et le bon mot de passe pour y accéder). Il va filtrer les fichiers pdf, word, … – et va essayer de se propager – s’il a la possibilité de faire d’autres victimes, il ira sur d’autres machines).

La propagation du ransomware 

Les différents vecteurs

Il existe différents vecteurs de propagation :

• Email: cela peut provenir d’une faille client mail, comme Outlook par exemple. Cela peut aussi être dû à une pièce jointe ouverte d’un mauvais émetteur.
• Site internet: à cause d’une faille navigateur ou de la navigation humaine (une personne ouvrant une pièce jointe dans un email via le web)
• Faille applicative: une faille middleware ou faille applicative
• Faille OS: disposant de la surface d’attaque la plus large

Comment réagir face à une attaque ransomware

Voici une méthodologie expliquant comment réagir face à une attaque ransomware :

1. Activer le plan de crise planifié : en effet, il est essentiel de toujours avoir un plan de crise (et le mettre à jour régulièrement) et ne pas imaginer ne jamais pouvoir être attaqué
2. Communiquer correctement : à ses collaborateurs, à ses clients (demander des choses simples et être claire)
3. Déposer plainte pour pouvoir remonter chaque log
4. Gérer les équipes internes et piloter les processus techniques
5. Ne pas payer la rançon : c’est donc là que les SP de sauvegarde sont essentielles (les préserver au moment de l’attaque)
6. Identifier et stopper les machines atteintes, en espérant que les sauvegardes soient non atteintes
7. Couper le réseau, les machines et les mettre en hibernation.
8. Savoir quel ransomware a attaqué
9. Isoler les réseaux infectés
10. Identifier la menace pour voir si un remède existe ; lire les logs, quel type de ransomwares, trouver si c’est un ransomware connu, le remède
11. Vérifier les sauvegardes, remonter le réseau
12. Restauration des sauvegardes saines

Identifier le ransomware

Pour trouver le ransomware qui a attaqué votre infrastructure, vous pouvez vous rendre sur : nomoreransom.org. Ce site de référence est actualisé par plusieurs autorités (polices et entreprises de sécurité qui contribuent à informer et à mettre à disposition des outils connus et fiables pour casser les ransomwares. Ils répertorient donc ceux qui sont connus et cassés.

Il ne faut pas se fier aux autres sites en cas de recherche de protection contre ransomware ; ils pourraient vous proposer des solutions d’endormissement revenir quelques temps après.

Les bonnes pratiques pour la protection contre le ransomware

Le vecteur principal d’attaque reste l’humain. Il est donc important de limiter le risque via la prévention. Il faut partir du constat que vous serez attaqué, et réfléchir à comment éviter le problème pour ne pas que l’infection grandisse et disposer de moyens rapides pour reprendre le business.

Les piliers qui permettent de répondre aux questions :

• Les sauvegardes doivent isolées et complètes (avec une couverture maximum de l’infrastructure), vérifier qu’elles fonctionnent (les tester souvent) et les maîtriser correctement (avoir choisir une sélection de données ou de l’infrastructure complète en fonction de votre politique).
• Maintenir les logiciels et antivirus à jour : avoir une politique de mises à jour, des outils qui permettent de connaître tout ce qui est présent l’infrastructure, les versions. Tout cela pour avoir une visibilité claire de son parc, factuellement parlant.
• Éduquer et informer ses utilisateurs: les utilisateurs n’ont pas toujours les bons réflexes, ni conscience de ce que cela signifie. Ainsi, cela permet de ne pas prendre de risques (savoir identifier si l’email est légitime).
• Former et informer les équipes IT: il est important que les équipes discutent entre elles, qu’il y ait une vision développeur de la sécurité et une vision infrastructure. En effet, il faut qu’elles travaillent ensemble pour savoir s’adapter. Il est important de les faire monter en compétences sur la sécurité. Au plus la sécurité est diffusée, au mieux cela est gérer/lisser sur l’intégralité de l’infrastructure.
• Avoir une totale visibilité de son IT : avoir une vision des logiciels et versions installées comme vu précédemment mais aussi au niveau des flux (qui communique avec qui)
• Cloisonner son infrastructure: éviter sa propagation.

Comment modéliser son infrastructure avec une protection ransomware

Pour découvrir un exemple sur une infrastructure type d’une PME, retrouvez le replay en intégralité où notre expert, vous explique les failles de cette infrastructure, comment corriger les failles et limiter les risques.

La solution miracle n’existe pas. Par ailleurs, il est possible de limiter les risques et prévenir une attaque potentielle :

• Au niveau de l’architecture de son infrastructure
• Grâce à une visibilité complète
• Et en éduquant ses utilisateurs

Enfin, il faut savoir que l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a mis en ligne un document traitant du sujet des rançongiciels. Disponible ici.

Pour avoir la maîtrise de son infrastructure, vous devez disposer d’une totale visibilité. Pour cela, Corrium donne une connaissance parfaite de son réseau, les actions à mener pour identifier les vulnérabilités et prioriser les actions d’amélioration.