Les attaques de WannaCry au printemps 2017, suivies par NotPetya quelques mois après, ont alerté le public sur l'impact potentiel des attaques de ransomwares. Les deux attaques ont été attribuées par le NCSC comme étant le travail d'acteurs sponsorisés par des États. Le ransomware s'est propagé de manière indépendante et virulente à travers les réseaux, affectant presque tous les appareils qu'ils ont touchés.
Aujourd'hui, les ransomwares sont assez différents. Non pas en termes d'impact (qui continue d'avoir des ramifications opérationnelles dévastatrices pour les victimes), mais plutôt en termes de techniques employées.
Les activités des ransomwares peuvent prospérer parce que les organisations ont du mal à fonctionner sans les données modernes ; ainsi, même un bref arrêt des fonctions administratives les plus banales peut paralyser toute une entreprise.
Jusqu'à récemment, les ransomwares se concentraient uniquement sur l'élément « disponibilité » de l'information en empêchant les utilisateurs d'accéder à leurs données. Cela a été réalisé soit par chiffrement, soit par modification des comptes d'utilisateurs et des mots de passe. Mais alors que la prévalence des sauvegardes et de la redondance du système augmentait pour atténuer la perturbation de la disponibilité, les attaquants sont passés à l'élément « confidentialité » en menaçant de publier du matériel volé en ligne.
Plutôt que d'ignorer simplement la demande de rançon lors de la restauration de leurs systèmes à partir de sauvegardes, les victimes craignent désormais que leurs données sensibles soient exposées au monde et, avec elles, encourent des risques d'atteinte à leur réputation. Il y aura également des considérations supplémentaires sur l’impact des sanctions par une autorité de protection des données (comme la CNIL en France).
L'entreprise qui ne procède pas à l'analyse
Dans un billet de blog, le Centre national de cybersécurité du Royaume-Uni (NCSC) exhorte les organisations à la prudence. Elle a parlé d'une entreprise qui a été victime d'une attaque de ransomware et a payé des millions en bitcoins afin de restaurer le réseau et de récupérer les fichiers.
Cependant, la société en est restée là, ne procédant pas à l’analyse de la façon dont les cybercriminels ont infiltré le réseau. Cela s’est retourné contre eux puisque les mêmes opérateurs ont infiltré le réseau par les mêmes brèches avec le même ransomware moins de deux semaines plus tard. L'entreprise a fini par payer une deuxième fois une rançon.
« Nous avons entendu parler d'une organisation qui a payé une rançon (un peu moins de 6,5 millions de livres sterling avec les taux de change actuels) et a récupéré ses fichiers (à l'aide du décrypteur fourni), sans aucun effort pour identifier la cause première et sécuriser son réseau. Moins de deux semaines plus tard, le même attaquant a de nouveau attaqué le réseau de la victime, en utilisant le même mécanisme qu'auparavant, et a redéployé son ransomware. La victime a estimé qu'elle n'avait d'autre choix que de payer à nouveau la rançon », est-il noté dans le billet de blog du NCSC.
Traiter les causes, non les symptômes
Le NCSC a estimé que l'incident doit servir de leçon aux autres organisations, la leçon étant que si vous êtes victime d'une attaque de ransomware, il est crutial de découvrir la brèche qu'ont empruntée les cybercriminels pour s'intégrer au réseau sans être détectés avant que la charge utile du ransomware ne soit déclenchée.
« Pour la plupart des victimes qui contactent le NCSC, leur première priorité est – naturellement – de récupérer leurs données et de s'assurer que leur entreprise peut à nouveau fonctionner. Cependant, le vrai problème est que les ransomwares ne sont souvent qu'un symptôme visible d'une intrusion réseau plus grave qui peut avoir persisté pendant des jours, voire plus. Même avec le ransomware supprimé et le système restauré à partir des sauvegardes, les attaquants:
- peuvent avoir un accès par porte dérobée au réseau
- ont probablement des privilèges d'administrateur
- pourraient tout aussi facilement redéployer le ransomware s'ils le voulaient »
Examiner le réseau à la suite d'un incident de ransomware et déterminer comment le malware a pu pénétrer sur le réseau tout en restant non détecté pendant si longtemps est donc quelque chose que toutes les organisations victimes de ransomware devraient envisager parallèlement à la restauration du réseau (ou de préférence, avant qu'ils ne pensent même à restaurer le réseau).
Certains pourraient penser que payer la rançon aux criminels sera le moyen le plus rapide et le plus rentable de restaurer le réseau, mais c'est aussi rarement le cas. Parce que non seulement la rançon est payée, potentiellement très salée, mais l'analyse post-événement et la reconstruction d'un réseau endommagé coûtent également cher.
Et comme le note le NCSC, être victime d'une attaque de ransomware entraînera souvent une longue période de perturbation avant que les opérations ne ressemblent à quelque chose de normal.
« La récupération d'un incident de ransomware est rarement un processus rapide. L'enquête, la reconstruction du système et la récupération des données impliquent souvent des semaines de travail », indique l’organisation sur son billet.
L’agence conseille de s’assurer que les systèmes d'exploitation et les correctifs de sécurité sont à jour et d’appliquer une authentification multifacteur sur le réseau.
Elle recommande aussi de faire des mises à jour régulières :
- Faites des sauvegardes régulières de vos fichiers les plus importants – ce sera différent pour chaque organisation – vérifiez que vous savez comment restaurer les fichiers à partir de la sauvegarde et testez régulièrement que cela fonctionne comme prévu.
- Assurez-vous de créer des sauvegardes hors ligne qui sont séparées, dans un emplacement différent (idéalement hors site), de votre réseau et de vos systèmes, ou dans un service cloud conçu à cet effet, car le ransomware cible activement les sauvegardes pour augmenter les chances de paiement.
- Faites plusieurs copies de fichiers à l'aide de différentes solutions de sauvegarde et emplacements de stockage. Vous ne devez pas compter sur deux copies sur un seul lecteur amovible, ni sur plusieurs copies dans un seul service cloud.
- Assurez-vous que les périphériques contenant votre sauvegarde (tels que les disques durs externes et les clés USB) ne sont pas connectés en permanence à votre réseau. Les attaquants cibleront les périphériques et solutions de sauvegarde connectés pour rendre la récupération plus difficile.
- Vous devez vous assurer que votre service cloud protège les versions précédentes de la sauvegarde contre la suppression immédiate et vous permet de les restaurer. Cela empêchera à la fois vos données en direct et vos données de sauvegarde de devenir inaccessibles – les services cloud se synchronisent souvent automatiquement immédiatement après que vos fichiers ont été remplacés par des copies cryptées.
- Assurez-vous que les sauvegardes sont uniquement connectées à des périphériques propres connus avant de démarrer la restauration.
- Analysez les sauvegardes à la recherche de logiciels malveillants avant de restaurer les fichiers. Les ransomwares peuvent avoir infiltré votre réseau sur une période de temps et répliqué sur des sauvegardes avant d'être découverts.
- Appliquez régulièrement des correctifs aux produits utilisés pour la sauvegarde, afin que les attaquants ne puissent pas exploiter les vulnérabilités connues qu'ils pourraient contenir.
Source : NCSC
Et vous ?
Que pensez-vous des conseils prodigués par le NCSC ?