Avec une préparation avancée, vous pouvez survivre à une attaque de ransomware

Cette colonne est disponible dans un bulletin hebdomadaire intitulé IT Best Practices. Cliquez ici pour vous abonner.  

Vous savez que c'est mauvais quand une vague de cybercriminalité fait des victimes des services de police américains. Les organismes chargés de l'application des lois dans au moins sept États ont été victimes de chantage de cyber-attaquants utilisant des ransomwares. Les données des ordinateurs du département ont été chiffrées par des logiciels malveillants et prises en otage, avec la demande qu'une rançon soit payée en bitcoins. Peu habitués à céder aux criminels, de nombreuses agences ont refusé de payer et ont perdu l'accès à leurs informations pour toujours.

Les cybercriminels ciblent également les hôpitaux américains. Dans un cas très médiatisé, un hôpital californien a perdu l'accès à ses dossiers de patients critiques pendant une semaine jusqu'à ce qu'une rançon d'une valeur d'environ 17 000 $ soit versée. Les experts estiment que cette installation particulière perdait jusqu'à 100 000 $ par jour dans un seul département car elle n'était pas en mesure d'effectuer des tomodensitogrammes sans accès à ses données.

Les ransomwares font rempart dans le monde entier et pèsent énormément sur les particuliers et les entreprises. L'argent de la rançon, s'il est versé, n'est que la pointe de l'iceberg en ce qui concerne le coût de l'attaque. Les coûts réels peuvent être calculés en termes de perte de productivité et d'opportunités commerciales, de ressources pour répondre à l'attaque et de réparation ou de remplacement des systèmes affectés..

Les grands syndicats criminels étrangers qui opèrent à l'échelle mondiale sont responsables de la majorité des attaques. De nombreuses campagnes derrière les attaques de ransomwares sont de nature industrielle. Par exemple, les chercheurs de McAfee Labs ont vu plus de 4 millions d'échantillons de ransomware au cours du deuxième trimestre de 2015 seulement. Symantec signale avoir détecté une seule variante de ransomware 500 000 fois en 18 jours. Les attaques sont assez profitables pour les criminels. McAfee estime que les coupables collectent entre 10 et 50 millions de dollars par mois auprès des victimes du monde entier.

Il existe des moyens de protéger vos systèmes pour éviter de devenir la prochaine victime, ou au moins pour atténuer les effets de l'attaque, mais vous devez agir avant qu'une attaque ne frappe. Les chercheurs disent que cela peut prendre moins de 5 minutes entre le moment où le logiciel malveillant s'installe sur un système et le moment où les fichiers principaux sont cryptés, les fichiers de sauvegarde sont supprimés et la demande de rançon est présentée.

Cela dit, voici quelques étapes pour survivre à une attaque de ransomware:

Planifiez votre réponse maintenant - Pour la plupart des types d'attaques de rançongiciels, les minutes et les secondes comptent, donc le temps de planifier la réponse est bien avant qu'une attaque ne se produise. Les experts recommandent d'élaborer un plan de réponse aux incidents spécifique à ce type d'attaque. Le plan doit détailler les rôles, les responsabilités et les mesures à prendre dès que l'organisation prend connaissance d'une attaque active.

Sauvegardez vos données - Les attaques de ransomwares sont connues pour crypter les données actuelles et également pour supprimer les données de sauvegarde partout où elles peuvent être atteintes. Cryptolocker crypte les fichiers sur tous les lecteurs mappés. Cela inclut les périphériques externes tels que les clés USB, les services de sauvegarde comme Carbonite et les magasins de fichiers cloud où une lettre de lecteur a été attribuée. Assurez-vous que les sauvegardes ne sont pas accessibles à partir des points de terminaison via les montages sur disque car elles seront également chiffrées.

Gary Warner, scientifique en chef des menaces chez PhishMe, recommande de conserver plusieurs sauvegardes sérialisées au cas où les plus récentes seraient corrompues ou cryptées. Si vous êtes en mesure de restaurer vos données à partir de sauvegardes récentes, l'attaque devient vraiment un problème. De plus, avoir de bonnes sauvegardes est pratiquement le seul moyen de récupérer d'une attaque si vous ne voulez pas tenter votre chance en payant la rançon et en espérant que l'attaquant fournira la clé de déchiffrement. (Gardez à l'esprit que le paiement de la rançon ne garantit pas que vous obtiendrez la clé de déchiffrement ou que cela fonctionnera.)

Gardez votre logiciel antivirus à jour - Tous les principaux éditeurs de logiciels antivirus effectuent des recherches sur les ransomwares afin de pouvoir faire face aux menaces en constante évolution. De par leur nature même, les signatures AV seront toujours en retrait par rapport aux dernières variantes, mais elles devraient être suffisamment bonnes pour arrêter un pourcentage élevé de tentatives d'attaque..

Filtrer les e-mails pour le phishing / malware - Le rapport d'incident de violation de données de Verizon 2016 indique que les messages électroniques avec des pièces jointes ou des liens malveillants sont une avenue majeure pour l'installation de ransomwares. FireEye confirme que la plupart des ransomwares sont livrés par e-mail. Il est donc important de filtrer les e-mails entrants et de filtrer ce qui semble être des messages de phishing ou des pièces jointes malveillantes. Il est particulièrement important de filtrer les fichiers exécutables. Certains messages de phishing utilisent la tromperie en faisant apparaître les fichiers exécutables comme des fichiers PDF normaux.

Apprenez aux gens à ne pas craquer pour les tentatives de phishing - Les humains sont le maillon faible. Nous sommes crédules et confiants, et nous tombons pour des astuces d'ingénierie sociale qui nous amènent à ouvrir et à cliquer sur les phishing qui se présentent à nous. Apprenez à vos employés à être conscients de leurs actions et aidez-les à reconnaître les messages de phishing présumés afin qu'ils n'ouvrent pas le ransomware en premier lieu.

Authentifiez les sources de courrier électronique - Au-delà de l'analyse des e-mails entrants à la recherche de menaces, vous pouvez gagner plus de confiance dans le courrier que vos utilisateurs reçoivent en authentifiant les expéditeurs de messages à l'aide de technologies telles que Domain Message Authentication Reporting and Conformance (DMARC), DomainKeys Identified Email (DKIM) et Sender Policy Framework (SPF) . (Voir DMARC a un impact positif sur la réduction du courrier falsifié et Comment implémenter DMARC dans votre organisation.)

Amorcez vos systèmes défensifs - Les chercheurs en sécurité ont mis au point de nombreux indicateurs que vous pouvez entrer dans vos systèmes défensifs afin qu'ils puissent bloquer ou mettre en quarantaine les activités liées aux ransomwares. Il existe de nombreuses sources de flux de renseignements, notamment des fournisseurs de services de sécurité, des ISAC (centres de partage et d'analyse d'informations) et des agences de sécurité gouvernementales. Diverses listes de sources de renseignements peuvent être trouvées sur http://thecyberthreat.com/cyber-threat-intelligence-feeds/ et http://thecyberthreat.com/government-cyber-intelligence-sources/.

Utiliser des solutions de protection des terminaux - Les ransomwares atterrissent généralement sur les appareils des utilisateurs finaux. De nombreuses solutions dans ce domaine font tout, du sandboxing aux logiciels suspects à l'exécution de toutes les applications sur une machine virtuelle afin de ne pas pouvoir étendre leurs actions au-delà d'un seul appareil. D'un point de vue réseau, si un point de terminaison s'avère compromis, il doit être mis en quarantaine le plus rapidement possible. Cela peut aider à empêcher le malware d'affecter les fichiers partagés.

Avoir un plan de reprise après sinistre ransomware - Dans le cas où une attaque passe à travers et réussit à chiffrer, supprimer ou endommager des fichiers, vous avez besoin d'un plan sur la façon de récupérer de l'attaque. Puisque vous ne savez pas si l'attaque a laissé tomber un logiciel latent caché sur vos systèmes, il est préférable de remplacer plutôt que de réparer les systèmes si possible. Tenez également compte de l'impact sur votre entreprise si vous devez restaurer des données à partir d'une sauvegarde plus ancienne, ou si vous ne pouvez pas récupérer les données du tout.

Dans le cas des ransomwares, le vieil adage "Une once de prévention vaut une livre de remède" est tout à fait approprié. La meilleure façon de survivre à une attaque est d'être bien préparé en premier lieu.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.