Protection ransomware

Retrouvez ci-dessous les bonnes pratiques pour lutter contre les attaques de ransomwares/rancongiciels : comment réagir face à une attaque, comment prévenir et réagir.

Le fonctionnement des ransomwares

Tout d’abord, un ransomware ou rancongiciel a pour but de bloquer un ordinateur et demander une rançon. Cela existe depuis une quinzaine d’années et a notamment été médiatisé notamment en 2017, lorsque le Windows XP n’était plus supporté.

Il existe différents types de ransomwares :

  • L’écran est bloqué au démarrage
    • Depuis l’OS : l’écran est non évitable
    • Du secteur de démarrage (MBR) demandant un mot de passe pour démarrer, chiffrant ou non les disques
  • Bloquant l’accès aux fichiers personnels et aux plateformes et supports : PC ou Mac, mobile tel qu’Android, serveur web, … 

La logique derrière un ransomware consiste à avoir un fichier avec clé de chiffrement – il faut avoir une bonne clé et le bon mot de passe pour y accéder). Il va filtrer les fichiers pdf, word, … – et va essayer de se propager – s’il a la possibilité de faire d’autres victimes, il ira sur d’autres machines).

La propagation du ransomware 

Les différents vecteurs

Il existe différents vecteurs de propagation :

  • Email: cela peut provenir d’une faille client mail, comme Outlook par exemple. Cela peut aussi être dû à une pièce jointe ouverte d’un mauvais émetteur.
  • Site internet: à cause d’une faille navigateur ou de la navigation humaine (une personne ouvrant une pièce jointe dans un email via le web)
  • Faille applicative: une faille middleware ou faille applicative
  • Faille OS: disposant de la surface d’attaque la plus large

Comment réagir face à une attaque ransomware

Voici une méthodologie expliquant comment réagir face à une attaque ransomware :

  1. Activer le plan de crise planifié : en effet, il est essentiel de toujours avoir un plan de crise (et le mettre à jour régulièrement) et ne pas imaginer ne jamais pouvoir être attaqué
  2. Communiquer correctement : à ses collaborateurs, à ses clients (demander des choses simples et être claire)
  3. Déposer plainte pour pouvoir remonter chaque log
  4. Gérer les équipes internes et piloter les processus techniques
  5. Ne pas payer la rançon : c’est donc là que les SP de sauvegarde sont essentielles (les préserver au moment de l’attaque)
  6. Identifier et stopper les machines atteintes, en espérant que les sauvegardes soient non atteintes
  7. Couper le réseau, les machines et les mettre en hibernation.
  8. Savoir quel ransomware a attaqué
    1. Isoler les réseaux infectés
    2. Identifier la menace pour voir si un remède existe ; lire les logs, quel type de ransomwares, trouver si c’est un ransomware connu, le remède
    3. Vérifier les sauvegardes, remonter le réseau
    4. Restauration des sauvegardes saines

Identifier le ransomware

Pour trouver le ransomware qui a attaqué votre infrastructure, vous pouvez vous rendre sur : nomoreransom.org. Ce site de référence est actualisé par plusieurs autorités (polices et entreprises de sécurité qui contribuent à informer et à mettre à disposition des outils connus et fiables pour casser les ransomwares. Ils répertorient donc ceux qui sont connus et cassés.

Il ne faut pas se fier aux autres sites ; ils pourraient vous proposer des solutions d’endormissement revenir quelques temps après.

Les bonnes pratiques

Le vecteur principal d’attaque reste l’humain. Il est donc important de limiter le risque via la prévention. Il faut partir du constat que vous serez attaqué, et réfléchir à comment éviter le problème pour ne pas que l’infection grandisse et disposer de moyens rapides pour reprendre le business. 

Les piliers qui permettent de répondre aux questions :

  • Les sauvegardes doivent isolées et complètes (avec une couverture maximum de l’infrastructure), vérifier qu’elles fonctionnent (les tester souvent) et les maîtriser correctement (avoir choisir une sélection de données ou de l’infrastructure complète en fonction de votre politique).
  • Maintenir les logiciels et antivirus à jour : avoir une politique de mises à jour, des outils qui permettent de connaître tout ce qui est présent l’infrastructure, les versions. Tout cela pour avoir une visibilité claire de son parc, factuellement parlant.
  • Éduquer et informer ses utilisateurs: les utilisateurs n’ont pas toujours les bons réflexes, ni conscience de ce que cela signifie. Ainsi, cela permet de ne pas prendre de risques (savoir identifier si l’email est légitime).
  • Former et informer les équipes IT: il est important que les équipes discutent entre elles, qu’il y ait une vision développeur de la sécurité et une vision infrastructure. En effet, il faut qu’elles travaillent ensemble pour savoir s’adapter. Il est important de les faire monter en compétences sur la sécurité. Au plus la sécurité est diffusée, au mieux cela est gérer/lisser sur l’intégralité de l’infrastructure.
  • Avoir une totale visibilité de son IT : avoir une vision des logiciels et versions installées comme vu précédemment mais aussi au niveau des flux (qui communique avec qui)
  • Cloisonner son infrastructure: éviter sa propagation.

Comment modéliser son infrastructure

Pour découvrir un exemple sur une infrastructure type d’une PME, retrouvez le replay en intégralité où notre expert, vous explique les failles de cette infrastructure, comment corriger les failles et limiter les risques.

La solution miracle n’existe pas. Par ailleurs, il est possible de limiter les risques et prévenir une attaque potentielle :

  • Au niveau de l’architecture de son infrastructure
  • Grâce à une visibilité complète
  • Et en éduquant ses utilisateurs

Enfin, il faut savoir que l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a mis en ligne un document traitant du sujet des rançongiciels. Disponible ici.

Pour avoir la maîtrise de son infrastructure, vous devez disposer d’une totale visibilité. Pour cela, Corrium donne une connaissance parfaite de son réseau, les actions à mener pour identifier les vulnérabilités et prioriser les actions d’amélioration.

Une connaissance et visibilité parfaite de son infrastructure, avec Corrium

Corrium diagnostique l’infrastructure informatique grâce à la collecte des données de configuration :

  • Connaissance parfaite de son infrastructure : réseaux, utilisateurs, machines, applications, …
  • Maîtrise de l’IT : identification des failles, inventaire de l’ensemble des bases de données et partages, localiser les données personnelles et liste des utilisateurs et des accès
  • Proposition d’améliorations : mises à jour des outils, uniformisation du matériel, …

1. Connaissance parfaite

grâce à la collecte des configuration

2. Maîtrise totale

avec l’identification des vulnérabilités

3. Priorisation des actions

en fonction des besoins et de leur importance