Comment se remettre d’une attaque par ransomware ?

Ransomware… C’est sans doute l’un des mots les plus redoutés dans les organisations d’aujourd’hui. Un ransomware peut mettre à genoux une entreprise florissante, prospère et rentable, en seulement quelques heures. Les conséquences peuvent avoir un effet boule de neige sur la perte de revenus et de confiance des clients et, en fin de compte, elles peuvent conduire certaines organisations à la faillite. Les ransomwares sont la nouvelle pandémie que redoutent la plupart des organisations dans le monde. Compte tenu du risque et de la probabilité d’une attaque par ransomware, les entreprises doivent être préparées à prendre les mesures appropriées pour faire face à ce type d’attaque. Adopter les mesures appropriées après une attaque par ransomware peut également faire la différence entre une reprise réussie ou des conséquences désastreuses.

Qu’est-ce qu’une attaque par ransomware ?

Tout d’abord, il convient de comprendre le risque énorme que représente une attaque par ransomware pour les entreprises. Une attaque par ransomware est un type de cyberattaque dans laquelle les attaquants utilisent le cryptage pour « verrouiller » les fichiers afin que la victime ne puisse plus accéder à ses données à moins qu’elle accepte le paiement d’une rançon. Une fois qu’un utilisateur est infecté par le code malveillant d’un ransomware, celui-ci commence à crypter tous les fichiers auxquels l’utilisateur a accès, y compris les fichiers situés sur le réseau de l’entreprise : fichiers partagés, emplacements réseau et même le stockage en nuage.

Le ransomware utilise le cryptage d’une clé publique/privée généralement utilisée comme une technologie de sécurité légitime et la détourne à des fins malveillantes. Le cryptage, censé empêcher les données critiques de tomber entre de mauvaises mains est détourné et utilisé pour empêcher le propriétaire légitime des données d’y accéder.

Une attaque par ransomware utilise un code malveillant pour verrouiller les fichiers de la victime, et lorsque le processus de cryptage est terminé, une demande de rançon est formulée. Le ransomware s’infiltre dans les réseaux à l’aide d’informations d’identification compromises, d’outils de connectivité à distance non sécurisés, d’URL malveillantes, d’emails de phishing ou d’utilisateurs qui téléchargent des pièces jointes ou des exécutables infectés. Sans la clé de déchiffrement fournie par l’attaquant ou la restauration à partir d’une sauvegarde, les données sont irrécupérables.

Prenons un exemple récent pour illustrer la facilité avec laquelle une attaque par ransomware peut tirer parti de vulnérabilités telles que des mots de passe faibles ou compromis. En 2021, une attaque massive par ransomware a touché un important pipeline de carburant aux États-Unis, Colonial Pipeline. Elle a entraîné la fermeture de quelque 5 500 miles de l’oléoduc, ce qui a provoqué des pénuries de carburant et des prix élevés le long de la côte Est. Le piratage de Colonial Pipeline est le résultat de la compromission d’identifiants VPN figurant sur une liste de mots de passe trouvée sur le dark web.

Comment les attaques par ransomware ont-elles évolué ?

Les ransomwares ont incontestablement évolué au cours des dernières années. Ils sont passé d’attaques simples touchant les utilisateurs individuels et leurs PC à des cyberattaques de plusieurs milliards de dollars (et en pleine expansion) touchant des organisations, grandes et petites.

Les premières variantes de ransomware attaquaient au hasard, de façon peu précise . Aujourd’hui, les attaquants ont perfectionné leur art. Ils opèrent au sein de groupes de ransomware très sophistiqués qui fonctionnent comme des entreprises. Les groupes de ransomware choisissent désormais soigneusement leurs victimes. Leurs cibles peuvent être choisies en fonction de leur taille, de leurs revenus ou d’autres facteurs, comme les incitations des États.

Les attaquants utilisent également de nouveaux moyens de pression pour inciter les victimes à payer la rançon demandée, notamment une tactique appelée « double extorsion ». Qu’est-ce que la double extorsion ? La double extorsion exige le paiement d’une rançon pour le décryptage des données elles-mêmes et d’une autre rançon pour éviter que les données ne soient divulguées sur le dark web. Cette nouvelle menace pour les entreprises est très inquiétante. Même si les entreprises disposent de sauvegardes pour récupérer leurs données sensibles, les attaquants utilisent la menace d’une fuite de données pour faire pression sur le paiement d’une rançon.

Dans le dernier rapport Digital Defense Report, Microsoft détaille cette nouvelle tactique de double extorsion très préoccupante : How cyberattacks are changing according to new Microsoft Digital Defense Report – Microsoft Security Blog

Comment se remettre d’une attaque par ransomware ?

Les entreprises doivent se préparer la probabilité d’être touchées par une attaque par ransomware. La question n’est pas de savoir si une attaque par ransomware va se produire, mais quand. Les organisations non préparées et mal équipées pour faire face à ces attaques subissent les conséquences les plus lourdes et des effets à long terme, comme par exemple la perte d’activité et de confiance des clients.

Considérons les trois étapes suivantes pour se remettre d’une attaque par ransomware :

• Contenir
• Sécuriser
• Corriger

Comme nous le verrons, ces étapes doivent être étroitement liées afin d’empêcher la propagation des ransomwares au sein d’un environnement, refuser l’accès aux attaquants qui auraient réussi à compromettre des points d’entrée ou les informations d’identification pour entrer, et résoudre toutes les vulnérabilités et les points faibles pour l’avenir.

1. Contenir

La première étape pour se remettre d’une attaque par ransomware consiste à la contenir. Pour arrêter l’attaque, les organisations doivent isoler les hôtes infectés sur le réseau. Toute attaque par ransomware comporte un point d’entrée sur le réseau – un PC client, un serveur, etc. C’est souvent la rapidité d’esprit du personnel informatique ou d’un utilisateur final avisé qui permet d’arrêter la propagation du ransomware sur le réseau.

C’est ce qui s’est passé dans un hôpital de Floride. Après s’être rendu compte que l’hôpital était victime d’une attaque par ransomware, le service informatique a décidé d’arrêter les systèmes informatiques de l’hôpital. La rapidité d’esprit dont le personnel a fait preuve a permis d’empêcher à l’attaque par ransomware de se propager et de compromettre toutes les données sensibles.

• La rapidité d’esprit d’un hôpital de Floride contrecarre une attaque par ransomware (beckershospitalreview.com)

En maîtrisant la propagation des ransomwares, les entreprises peuvent réduire considérablement les temps d’arrêt, les pertes de données, les interruptions de services et les violations de données.

2. Sécuriser

Parallèlement à l’étape de confinement, les entreprises doivent sécuriser leur environnement de manière agressive dès qu’une attaque par ransomware est découverte, afin de supprimer les accès et les informations d’identification dont les attaquants peuvent disposer pour accéder aux systèmes clés. Cette étape englobe les tâches et les actions nécessaires pour éviter que la cyberattaque ne cause d’autres dommages. Par exemple, il peut s’agir de couper les connexions VPN site à site entre les sites pour s’assurer que le ransomware ne se propage pas à d’autres sites. Il peut également s’agir de fermer le courrier électronique externe et de modifier les règles de pare-feu qui autorisent certains types de trafic dans le réseau interne ou la DMZ.

L’une des étapes cruciales à réaliser est d’obliger les utilisateurs à changer leurs mots de passe. Cette étape est nécessaire car les attaquants utilisent généralement des informations d’identification compromises pour s’introduire dans les systèmes informatiques du réseau interne. Selon le rapport IBM Cost of a Data Breach Report 2021, « les informations d’identification compromises sont le vecteur d’attaque initial le plus courant. »

Le fait de verrouiller tous les comptes et d’obliger les utilisateurs à changer leurs mots de passe avant de leur redonner accès aux données permet de s’assurer que les informations d’identification compromises sont changées. De plus, cette étape permet de révoquer l’accès que les attaquants peuvent posséder grâce à des informations d’identification volées/compromises, ce qui rend plus difficile le maintien de l’accès des pirates à l’environnement de l’entreprise.

3. Corriger la situation

L’étape finale est la correction. Dans cette phase, les organisations cherchent à rectifier et à résoudre les problèmes de cybersécurité sous-jacents dans la phase de récupération afin d’empêcher de futures attaques. Il est notamment question de corriger les vulnérabilités découvertes, de réarchitecturer les solutions d’accès à distance faibles et de mettre en place une protection par mot de passe pour les comptes d’utilisateurs Active Directory (pour n’en citer que quelques-unes).

Les attaquants tirent souvent parti de failles de sécurité non corrigées sur un serveur tourné vers l’Internet ou effectuent des attaques par mot de passe par force brute sur des serveurs RDP (Remote Desktop Protocol) mal sécurisés. Les entreprises doivent tenir compte de tous ces éléments lors de l’analyse a posteriori d’une attaque par ransomware.

Comme mentionné dans l’étape de sécurisation, il est essentiel de changer les mots de passe des comptes pour révoquer l’accès aux attaquants qui possèdent des informations d’identification compromises. De plus, les organisations doivent vérifier les réinitialisations de mots de passe pour s’assurer que ces derniers ne figurent pas dans les listes de mots de passe piratés et remédier au risque que les utilisateurs utilisent des mots de passe faibles ou compromis. Malheureusement, la protection contre les mots de passe compromis n’est pas une fonctionnalité native des politiques de mot de passe de Microsoft Active Directory et sa mise en œuvre nécessite l’utilisation d’un outil tiers performant. Néanmoins, il s’agit d’un élément essentiel d’une stratégie solide visant à renforcer la politique de cybersécurité de votre entreprise.

Specops Password Policy avec Breached Password Protection est une solution de premier ordre permettant aux entreprises de disposer d’une protection efficace contre les mots de passe compromis qui garantit que les mots de passe choisis lors de leur réinitialisation ne figurent pas dans les listes de mots de passe piratés. Après avoir mis en œuvre Specops Password Policy avec Breached Password Protection, les entreprises disposent d’un moyen de vérifier en permanence les mots de passe Active Directory pour détecter les informations d’identification compromises. Si les informations d’identification étaient compromises, Specops fournit les contrôles nécessaires pour remédier à ce risque. Cette approche proactive est nécessaire pour garantir la sécurité des mots de passe, car il s’agit sans doute de l’un des vecteurs d’attaque les plus courants pour les ransomwares.

Conclusion

La menace d’une attaque par ransomware figure en tête de liste des menaces potentielles de cybersécurité pour de nombreuses organisations. Il s’agit d’un type d’attaque dangereux qui peut priver les entreprises de l’accès à leurs données et entraîner des fuites massives. Les entreprises doivent se préparer à récupérer d’une attaque par ransomware. Pour la plupart d’entre elles, la question n’est pas de savoir si une attaque va se produire, mais quand. Il est essentiel de disposer d’un plan à plusieurs volets pour faire face à une attaque par ransomware afin que l’entreprise puisse y survivre sans trop de dégats. L’utilisation de la stratégie de sécurisation, de confinement et de correction permet de contenir une attaque, de sécuriser les ressources vitales et d’éliminer la menace. L’utilisation de solutions telles que Specops Password Policy avec Breached Password Protection permet de renforcer l’un des vecteurs d’attaque les plus couramment utilisés : les mots de passe faibles ou non protégés.