Gérer les rançongiciels

1


3

Dans la longue histoire des logiciels malveillants, qui remonte aux années 1980, aucune menace n’a provoqué autant de panique dans les entreprises que les rançongiciels.

Les cyberattaques peuvent être classées de plusieurs façons. Les plus simples à comprendre sont les attaques par déni de service, telles que les attaques DDoS, qui rendent les systèmes indisponibles d’une manière ou d’une autre. Viennent ensuite les attaques qui volent, modifient ou rendent indisponibles des données, par exemple les violations de données ou les vols d’informations d’identification. La dernière catégorie comprend les attaques qui tentent de voler de l’argent directement, comme les escroqueries aux faux ordres de virement (FOVI) ou les chevaux de Troie bancaires.

Ce qui rend les rançongiciels effrayants, c’est qu’ils sont quasiment les seuls à s’inscrire dans les trois catégories à la fois, une puissance qui explique pourquoi ils attirent tant de pirates informatiques. Le résultat final n’est pas anodin : les attaques par rançongiciel les plus graves représentent une menace existentielle non seulement pour les victimes et leurs chaînes logistiques, mais aussi, comme l’a démontré l’attaque de Colonial Pipeline en 2021, pour des économies nationales tout entières.

Le génie du rançongiciel réside en partie dans l’incroyable rapidité avec laquelle il se déploie. Les attaques de grande envergure peuvent prendre des mois à s’activer, mais, du point de vue des victimes, tout se passe en un instant. Quelques minutes après la réception du premier appel de support, les équipes IT peuvent découvrir que des centaines de machines ont été infectées, que des serveurs ont été mis hors service, voire que des sauvegardes et des partages de fichiers ont été chiffrés.

Si les systèmes de messagerie sont concernés, il est alors difficile pour les collaborateurs de communiquer en toute sécurité. À ce stade, le chaos s’est généralement installé, et les équipes IT déconnectent les systèmes pour tenter d’arrêter la propagation du rançongiciel.

Rapidement, les attaquants demandent une rançon, qui s’élève généralement à des dizaines de milliers de dollars, et menacent d’en augmenter le montant si elle n’est pas payée dans les meilleurs délais. En guise d’incitation supplémentaire, il est désormais courant que les attaquants menacent de publier les données de la société concernée. C’est ce que l’on appelle la « double extorsion ».

Payer ou non ?

Le dilemme est le suivant : faut-il ou non payer la rançon ? De nombreuses organisations décident à l’avance, les payeurs faisant généralement appel à leur cyberassurance pour couvrir les coûts. Au fil du temps, les failles de ce plan de rachat ont commencé à apparaître, à commencer par le coût croissant de la souscription d’une telle police. Même si le supplément peut être justifié, la décision de payer risque de faire de l’entreprise en question une cible pour de futures attaques (bons payeurs = bonnes perspectives d’avenir).

Mais le meilleur argument contre le paiement est simplement que cela ne fonctionne pas. D’après une analyse des rançongiciels réalisée en 2021 par la société de sécurité Sophos, 37 % des 5 400 décideurs informatiques ont déclaré que leur société a subi une attaque par rançongiciel au cours des 12 mois précédents, ce qui représente une baisse encourageante par rapport aux 51 % enregistrés un an auparavant.

Moins d’attaques, donc, mais des attaques de plus grande envergure et plus coûteuses. Même si le montant le plus souvent payé pour une rançon était de 10 000 $, 10 organisations ont déboursé 1 million de dollars chacune, sans compter les coûts moyens des mesures correctives de 1,85 million de dollars par incident. Il est donc clair que ce n’est pas le coût de la rançon qui pèse, mais le processus après coup.

Et il y a plus déprimant. Parmi celles qui déclarent avoir été attaquées, 32 % ont payé une rançon et n’ont pourtant récupéré que 65 % de leurs données. La meilleure méthode pour restaurer des données chiffrées est d’utiliser les sauvegardes, avec 57 % des personnes interrogées mentionnant cette méthode traditionnelle.

Leur connaissance fait peur

Ce sont des chiffres que tout DSI devrait prendre en compte pour justifier les dépenses liées à un plan de résilience ou de réponse aux incidents, mais ils s’accompagnent d’un problème important qui est souvent soigneusement ignoré par les organisations après une attaque par rançongiciel : les violations de données.

Les rançongiciels sont toujours perçus comme un déni de service par chiffrement. Néanmoins, si les attaquants peuvent accéder aux données d’une organisation, ils peuvent en faire ce qu’ils veulent, y compris les voler ou les modifier. Ils savent que les données ont une durée de vie monétaire bien supérieure à celle d’un seul épisode d’extorsion numérique.

Même si une organisation peut restaurer ses fichiers rapidement et à moindre coût, elle ne peut jamais les récupérer dans le domaine public. Une fois qu’ils sont en circulation, ils le sont pour toujours. Leur vol ne peut pas être annulé.

L’argument fallacieux selon lequel le rançongiciel ne constitue pas une violation de données parce que les organisations ne constatent aucune preuve d’exfiltration ne tient plus auprès des organismes de réglementation qui ont compris que, ce qui compte, c’est que les attaquants aient accès aux données et non que les organisations sachent ce qu’il en est advenu par la suite. Si une personne dont les données ont fait l’objet d’une violation en subit les conséquences négatives ultérieurement (une usurpation d’identité par exemple), l’organisation responsable pourrait en pâtir.

Plan de réponse aux rançongiciels

La première règle de défense contre les rançongiciels est de partir du principe que les attaques sont pratiquement inévitables et de s’y préparer. Il faut donc disposer d’un plan de réponse aux rançongiciels imprimé, qui indique ce qui doit se passer en cas d’urgence, dans quel ordre, et qui doit faire quoi. Il doit également expliquer comment communiquer les uns avec les autres dans le cas où le serveur de messagerie serait affecté.

Le plan doit également détailler les outils à utiliser pour interagir avec les systèmes, les règles à suivre, ainsi que les ressources les plus importantes. L’étape suivante consiste à tester ce plan, ce qui permet de vérifier que tous les collaborateurs connaissent les tâches qui leur sont affectées. Les défauts peuvent être corrigés à ce stade.

L’une des techniques permettant d’accélérer la réponse consiste à utiliser l’automatisation dans la mesure du possible, bien que cela dépende de la fonctionnalité des outils utilisés. L’isolation étant également cruciale, il convient d’en tenir compte lors de l’examen de la segmentation des réseaux.

Ciblage

Les groupes de rançongiciels ciblent toutes les données ou ressources qu’ils peuvent atteindre, y compris les fichiers, mais aussi le stockage NAS, généralement en exploitant les failles de sécurité spécifiques de cet équipement. Quelques-uns exploitent également les failles de sécurité pour cibler des applications telles que les serveurs Web, en verrouillant les fichiers index.php ou index.html.

Pour résumer, si un système largement utilisé présente une faille grave, il est désormais sage de partir du principe que les attaquants par rançongiciel seront les premiers à tenter de l’exploiter. Dans certains cas, cela fait de l’application des correctifs un état d’urgence plutôt qu’un état planifié. Cela pourrait nécessiter un plan de réponse à part entière, y compris pour l’équipement existant, une autre cible importante.

Sauvegarde

La sauvegarde est le principal mécanisme de restauration après une attaque par rançongiciel, mais de nombreuses complexités doivent être prises en compte lors de sa mise en œuvre. Traditionnellement, cela impliquait de concevoir une sauvegarde afin qu’elle soit à la fois stratifiée et isolée du réseau. Cela incluait une sauvegarde créée et stockée hors ligne afin que les attaquants ne puissent pas l’atteindre.

Cependant, c’est rarement aussi simple. Les organisations ne peuvent pas effectuer une sauvegarde complète suffisamment régulière, et même si elles le pouvaient, son accès et sa restauration pourraient prendre un temps précieux. Par ailleurs, la restauration ne doit avoir lieu qu’une fois l’infection entièrement traitée, sans quoi le processus doit être répété.

Une sauvegarde bien conçue donne la priorité à certains systèmes plutôt qu’à d’autres. Chaque système requiert souvent ses propres routines et outils. Ces routines doivent être testées avant une attaque dans le cadre de la planification de la réponse aux incidents.

Immuabilité

Les outils de sauvegarde datent souvent d’une époque où les rançongiciels n’étaient pas un problème, ce qui implique qu’ils ne disposent pas d’options de protection suffisantes. Une solution à ce problème est la sauvegarde immuable, qui consiste à créer une sauvegarde archivée qui ne peut pas être modifiée, supprimée ou chiffrée. L’immuabilité est appliquée pendant une période prédéfinie, par exemple un mois. Ces sauvegardes sont stockées dans le Cloud.

Une sauvegarde immuable implique l’utilisation d’un outil distinct et très probablement d’un prestataire de services. Ce lien de sauvegarde doit être accessible en cas d’attaque par rançongiciel, et les outils utilisés pour le gérer doivent être protégés.

L’avenir des rançongiciels

Alors que les sociétés renforcent leur protection contre les rançongiciels, ces campagnes vont probablement prendre l’une des deux directions suivantes. La première consiste à rétablir la menace d’endommager les ordinateurs, par exemple en infectant les firmwares de faible niveau de manière à bloquer les disques, voire les machines entières.

La seconde possibilité est que les attaquants renoncent à chiffrer les données ensemble et se contentent d’extorquer les organisations en les menaçant de rendre leurs données publiques. À ce stade, les rançongiciels se seront transformés en une autre menace de violation de données. Si cela peut sembler légèrement rassurant, ce n’est pas le cas. Contrairement à la majorité des violations de données qui touchent les bases de données uniques, exposées par accident, les rançongiciels peuvent accéder à des volumes de données beaucoup plus importants.

Ce qui est clair, en revanche, c’est que l’extorsion est une activité trop tentante pour que les attaquants y renoncent facilement. Les rançongiciels vont continuer à évoluer. Cela semble pessimiste, mais ce qui fera la différence, c’est que les défenseurs prennent la menace au sérieux et évoluent avec elle. Les rançongiciels ne sont pas une fatalité. De nombreuses organisations se défendent contre ces attaques, le défi étant d’en faire partie.

En savoir plus sur les solutions Dell Technologies et VMware APEX Cloud Services – Cloud-as-a-service | Dell Technologies France