Que se passe-t-il pendant une attaque de ransomware ?
Les ransomware endommagent les données essentielles.
Les ransomware sont dévastateurs pour les entreprises car ils endommagent les données essentielles. Lors d'une attaque, le ransomware recherche les fichiers importants et les crypte avec un chiffrement fort qui ne peut être annulé, paralysant ainsi une organisation plus rapidement que d'autres applications malveillantes.
Comment commence une menace de ransomware
La plupart des attaques de ransomware commencent par un email malveillant. L'email contient souvent un lien vers un site Web contrôlé par un assaillant où l'utilisateur télécharge le malware. Il peut également contenir une pièce jointe malveillante avec un code qui télécharge un ransomware une fois que l'utilisateur ouvre le fichier.
Les assaillants utilisent généralement des documents Microsoft Office en tant que pièces jointes. Office dispose d'une interface VBA (Visual Basic for Applications) que les assaillants utilisent pour programmer des scripts. Les versions plus récentes d'Office désactivent la fonctionnalité qui exécute automatiquement les scripts de macro lorsqu'un fichier s'ouvre. Le malware invite l'utilisateur à exécuter les scripts, et de nombreux utilisateurs le font. C'est pourquoi les macros malveillantes sont toujours dangereuses.
La macro Office télécharge le ransomware à partir du serveur d'un assaillant et le malware s'exécute sur l'appareil local. Le ransomware analyse le réseau et le stockage local à la recherche de fichiers critiques et crypte ce qu'il trouve. Le chiffrement est généralement une cryptographie AES (Advanced Encryption Standard) symétrique utilisant 128 ou 256 bits. Cela rend le processus résistant aux attaques par force brute. Certains ransomware utilisent également la cryptographie à clé publique/privée telle que Rivest-Shamir-Adleman (RSA).
Récupération des données et suppression des ransomware
Les développeurs de ransomware intègrent des fonctionnalités qui empêchent les utilisateurs de supprimer l'application sans payer la rançon. Certains pirates utilisent des verrouillages d'écran pour que les utilisateurs ne puissent pas accéder au bureau de Windows. Comme les bibliothèques de cryptographie utilisées pour chiffrer les fichiers sont sécurisées, la suppression du malware laisse les données chiffrées et inaccessibles.
Le FBI conseille aux entreprises concernées de ne pas payer la rançon. D'autres experts affirment que le paiement de la rançon a permis de décrypter les fichiers. Parfois, les assaillants ne livrent pas la clé de décryptage même après le paiement de la rançon. L'entreprise visée se retrouve alors sans fichiers et avec une perte financière. Vous pouvez supprimer le ransomware, mais il est peu probable que vous puissiez récupérer les fichiers sans payer la rançon, à moins que vous ne disposiez d'une sauvegarde.
La plupart des fournisseurs de logiciels antimalware proposent des correctifs ou des solutions téléchargeables permettant de supprimer les ransomware. Après avoir éliminé le malware, vous pouvez restaurer les fichiers à partir d'une sauvegarde. Vous pouvez également rétablir les paramètres d'usine de l'ordinateur. Avec cette dernière solution, votre ordinateur revient au même état que lorsque vous l'avez acheté. Vous devrez réinstaller tout logiciel tiers.
Sophos Group, une société de sécurité britannique, a identifié le flux d'attaque de Ryuk, également nommé kill chain d'attaque. Consultez le schéma ci-dessous.
Protection contre les ransomware
Vous pouvez protéger vos appareils et vos données contre les ransomware de plusieurs façons. Comme l'infection commence généralement par un message électronique malveillant, commencez par une cybersécurité antimalware qui analyse les messages entrants à la recherche de liens ou de pièces jointes suspects. En cas de détection, mettez les messages en quarantaine, afin qu'ils n'atteignent pas les boîtes de réception des utilisateurs.
Le filtrage de contenu sur le réseau est également efficace. Il empêche les utilisateurs d'accéder aux sites Web contrôlés par les assaillants. Associé aux filtres de messagerie, le filtrage de contenu est un moyen efficace d'empêcher les ransomware et la plupart des malware d'accéder à votre réseau interne.
Un logiciel antimalware doit être exécuté sur tous les appareils du réseau, y compris les smartphones. L'antimalware empêche les ransomware de crypter les fichiers et les supprime du système avant qu'ils n'envoient leur charge utile. Si l'organisation a une politique d'apport de votre propre appareil (BYOD), il est important d'exécuter une application antimalware approuvée sur les appareils des utilisateurs.
La formation des utilisateurs est un moyen proactif de se protéger contre les ransomware. Étant donné que les ransomware commencent souvent par le phishing et l'ingénierie sociale, les utilisateurs formés à l'identification des attaques sont un bon complément aux autres mesures antimalware. Combinés, la formation et les systèmes antimalware réduisent considérablement le risque de cybersécurité. Si les systèmes antimalware échouent, les utilisateurs formés à identifier une attaque ne sont pas amenés à exécuter des exécutables malveillants.
Exemples de ransomware
Plusieurs types de ransomware affectent encore les entreprises, même si la menace globale de ces malware a été généralement éliminée. Ils existent pour extorquer de l'argent aux particuliers ou aux entreprises qui n'ont pas mis en place une protection efficace.
L'un des premiers ransomware connus à avoir eu un impact mondial est CryptoLocker. CryptoLocker ciblait les machines Windows et était très répandu en 2014. L'infection commençait généralement par un email et une pièce jointe malveillante. Le logiciel chiffrait ensuite les fichiers importants avec un chiffrement asymétrique (RSA) à clé publique / privée.
Locky est un exemple de ransomware qui a utilisé l'ingénierie sociale. Diffusé en 2016, Locky a commencé par un document Word malveillant joint à un email. Lorsque les utilisateurs ont ouvert le fichier, le contenu était brouillé, à l'exception d'un message demandant d'activer les macros. Après avoir activé les macros et rouvert le fichier, Locky s'est exécuté.
Bad Rabbit est un exemple de malware que les utilisateurs ont volontairement téléchargé. Il se propageait normalement en se faisant passer pour une mise à jour d'Adobe Flash. Après son exécution, le malware chiffrait les fichiers et le système redémarrait. Bad Rabbit empêche le démarrage de l'ordinateur et affiche à la place un message indiquant qu'une rançon doit être payée pour décrypter les fichiers.
Neutralisation des ransomware
Les exemples ci-dessus ne sont que quelques-unes des versions de ransomware qui continuent de sévir dans les entreprises. Les développeurs de ransomware continuent de créer de nouveaux moyens de prendre des fichiers en otage contre une rançon. Si vous comprenez le fonctionnement des ransomware, vous pouvez mettre en place les bonnes défenses. Vous pouvez neutraliser les ransomware grâce à une solution antimalware efficace, à la formation des utilisateurs et à des filtres de messagerie qui bloquent les messages malveillants.
Recherches associées
Articles associés