2 décembre 2022

Ransomware : Comment se protéger contre ces attaques ?

Ransomware : Comment se protéger contre ces attaques ?

5 et 10 millions de dollars, ce sont les rançons exigées par les cybercriminels qui ont attaqués la mairie de Brunoy et l’hôpital de Corbeil-Essonnes il y a quelques mois. Si de nombreuses lois sont votées en Europe dans le but de renforcer le niveau global de protection des organisations, les attaquants sont eux aussi plus innovants et perspicaces. Selon une étude sur le sujet menée en 2022 par ProofPoint, la France est le pays le plus touché au monde par les attaques de ransomware. En effet, 81 % des organisations françaises ont déclaré avoir été confrontées à au moins une infection par rançongiciel. Faut-il ou non payer une rançon lors d’une cyberattaque ? Comment se protéger de ces attaques qui visent tous types d’organisations ?

Qu’est-ce qu’un ransomware ?

Le rançongiciel – ou ransomware, en anglais – est la cybermenace la plus répandue en 2022 (source : Threat Landscape 2022). Il s’agit de logiciels malveillants qui bloquent l’accès à un ordinateur ou à des fichiers en les chiffrant et qui réclament à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. Le but de cette attaque est d’extorquer de l’argent à l’organisation ciblée en échange de la promesse de retrouver l’accès aux données dérobées. Par ailleurs, les données ne sont pas toujours restituées lorsque les fonds sont remis au cybercriminel. En outre, certaines données peuvent être publiées afin de faire pression à l’organisation cible et de récupérer les fonds plus rapidement. Ce fut le cas lors de l’attaque du Conseil départemental des Alpes-Maritimes début novembre. Les pirates, qui avaient volés 290 Go de données, en ont publiés 13.

En effet, il s’agit d’une nouvelle tendance qui est observée depuis quelques mois. Les pirates prennent désormais le temps d’exfiltrer les données de l’organisation, parfois sensibles, comme des données personnelles, des données de santé ou autres dossiers confidentiels, avant de les rendre illisibles. Ainsi, avec une copie de données, ces cyberattaquants menacent de les diffuser publiquement s’ils ne reçoivent pas la somme demandée avant une date limite, souvent 2 semaines. Le gang de cybercriminels LockBit est bien connu pour ce type de chantage, qu’il n’hésite pas à médiatiser pour accentuer davantage la pression sur l’organisation visée.

Que faire en cas d’attaques ?

31% des organisations françaises qui ont payés une rançon n’ont pas obtenu l’accès à leurs données. 20% de celles qui ont payés une rançon initiale, se sont vu extorquer une ou plusieurs autres demandes de rançon avant de récupérer leurs données. Payer la rançon n’est donc pas la meilleure solution car cela ne garantit pas la récupération des données. Cela est même déconseillé par l’ANSSI. A noter qu’en moyenne, la rançon demandée suite à une attaque est de 2,2 millions de dollars.

En outre, le paiement des rançons encourage et finance l’activité des cybercriminels. Cela motive les attaquants à continuer de chercher de nouvelles méthodes pour exploiter des systèmes, et entraîne de nouvelles infections.

Si une telle attaque touchait votre organisation, voici les recommandations à suivre :

  • Ne payez pas la rançon
  • Débranchez la machine d’internet et du réseau local
  • Déposez plainte
  • Identifiez et corrigez l’origine de l’infection
  • Identifiez le type de ransomware et tentez de déchiffrer les données : Europol a créé un outil appelé Crypto Sheriff qui vous aide à déterminer le type de rançongiciel auquel vous êtes confronté. Cela vous permet de vérifier s’il existe une solution de déchiffrement.
  • Réinstallez le système et restaurez les données
  • Faites-vous assister par des professionnels.

Comment se protéger contre ces attaques ?

Les cyberattaquants utilisent majoritairement le canal de l’e-mail dans le cadre de leurs attaques de rançongiciel. Il est donc primordial de sensibiliser vos collaborateurs aux risques liés à l’utilisation de la messagerie. En effet, les logiciels de protection ne peuvent, à eux seuls, contrer les attaques cyber.

Lors de navigation sur Internet, il est recommandé de ne cliquer sur aucuns liens de site inconnus qui pourraient télécharger des logiciels malveillants et de ne partager aucune information personnelle à une source non fiable.

Afin de prévenir une infection au sein de votre organisation, maintenez également bien à jour tous les logiciels et systèmes utilisés. Il est très fréquent que les attaquants profitent d’une vulnérabilité présente sur un système informatique, pour laquelle l’éditeur a publié un correctif, mais pour laquelle la mise à jour n’a pas encore été déployée.

Pour finir, il est indispensable d’avoir une bonne stratégie de sauvegarde. Comme la règle d’or du 3 – 2 – 1, qui consiste à disposer de minimum 3 copies de ses données, sur au moins 2 supports différents et de conserver 1 copie hors-site. Il est indispensable qu’une de ces copies soient « hors-ligne » aussi appelé « à froid », c’est-à-dire déconnectée de tout réseau.

Cette isolation des sauvegardes est primordiale, car dans plus de 20% des attaques les cybercriminels ciblent les serveurs de backup connectés (« à chaud ») afin de les rendre inutilisables.

Enfin pensez également à tester régulièrement la restauration des sauvegardes et prévoyez la constitution d’un Plan de Continuité d’Activité (PCA) pour savoir comment réagir en cas de crise.

La solution BlueSecure

BlueSecure propose une offre de sensibilisation aux ransomwares par le biais de formation en e-learning et de campagnes de phishing par e-mail, SMS et clés USB.
Protégez votre organisation en formant vos collaborateurs grâce à notre offre alliant théorie et pratique. Faites de l’humain le maillon fort de votre sécurité de l’information.

Contactez-nous pour plus d’informations :

NOUS CONTACTER