Comment gérer une attaque par ransomware ?
C’est la nouvelle qu’aucune entreprise ne veut entendre : vous avez été victime d’une attaque par ransomware et vous vous demandez comment procéder.
La première chose à garder à l’esprit, c’est que vous n’êtes pas seul. Plus de 17 % des cyberattaques impliquent un ransomware, un type de logiciel malveillant qui verrouille les données ou l’appareil de la victime à moins que celle-ci ne paie une rançon au pirate. Sur les 1 350 entreprises interrogées dans le cadre d’une étude récente, 78 % ont subi une attaque par ransomware qui a abouti.
Les attaques par ransomware utilisent plusieurs méthodes, ou vecteurs, pour infecter les réseaux ou les appareils, notamment en incitant les individus à cliquer sur des liens malveillants à l’aide d’e-mails de phishing et en exploitant les vulnérabilités des logiciels et des systèmes d’exploitation, tels que l’accès à distance. Les cybercriminels demandent généralement le paiement d’une rançon en bitcoins et autres cryptomonnaies difficiles à tracer, en fournissant aux victimes des clés de décryptage contre paiement pour déverrouiller leurs appareils.
La bonne nouvelle, c’est qu’en cas d’attaque par ransomware, il existe des mesures de base que toute entreprise peut suivre pour contenir l’attaque, protéger les informations sensibles et assurer la continuité d’activité en minimisant les temps d’arrêt.
Newsletter Think
Votre équipe sera-t-elle en mesure de repérer la prochaine attaque de type zero-day à temps ?
Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.
Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.
Isoler les systèmes affectés
Comme les variantes les plus courantes de ransomware recherchent des vulnérabilités dans les réseaux pour se propager latéralement, il est critique d’isoler les systèmes touchés le plus rapidement possible. Déconnectez le câble Ethernet et désactivez le Wi-Fi, le Bluetooth et toute autre fonctionnalité réseau pour tout appareil infecté ou potentiellement infecté.
Deux autres étapes à considérer :
- Désactivation des tâches de maintenance. Désactivez immédiatement les tâches automatiques, par exemple la suppression de fichiers temporaires ou la rotation des journaux sur les systèmes concernés. Ces tâches peuvent interférer avec les fichiers et entraver l’investigation et la récupération des ransomwares.
- Déconnexion des sauvegardes. Comme de nombreux nouveaux types de ransomware ciblent les sauvegardes des données pour rendre la récupération plus difficile, gardez les sauvegardes des données hors ligne. Limitez l’accès aux systèmes de sauvegarde jusqu’à ce que vous ayez éliminé l’infection.
Photographier la demande de rançon
Avant toute autre chose, prenez une photo de la demande de rançon, et idéalement, photographiez l’écran de l’appareil concerné avec un autre appareil, comme un smartphone ou un appareil photo. Cette photo accélérera le processus de récupération et vous aidera à déposer une plainte auprès de la police ou à déclarer une éventuelle indemnité auprès de votre compagnie d’assurance.
Prévenir l’équipe de sécurité
Une fois que vous aurez déconnecté les systèmes concernés, informez votre équipe de sécurité informatique de l’attaque. Dans la plupart des cas, les professionnels de la sécurité informatique peuvent vous conseiller sur les prochaines étapes et activer le plan de réponse aux incidents de votre organisation, c’est-à-dire les processus et technologies de votre organisation pour détecter et répondre aux cyberattaques.
Ne pas redémarrer les appareils concernés
En cas de ransomware, évitez de redémarrer les appareils infectés. Les pirates informatiques savent que c’est peut-être votre premier instinct, et certains types de ransomwares détectent les tentatives de redémarrage et causent des dommages supplémentaires, par exemple en endommageant Windows ou en supprimant des fichiers cryptés. Le redémarrage peut également compliquer les enquêtes sur les attaques de ransomware : des indices précieux sont stockés dans la mémoire de l’ordinateur et seront effacée lors d’un redémarrage.
Mettez plutôt les systèmes concernés en veille prolongée. Cette opération permet d’enregistrer toutes les données en mémoire dans un fichier de référence sur le disque dur de l’appareil, afin de les conserver en vue d’une analyse ultérieure.
Maintenant que vous avez isolé les appareils concernés, vous avez probablement hâte de les déverrouiller et de récupérer vos données. Bien que l’éradication des infections par ransomware puisse être compliquée à gérer, en particulier pour les souches les plus complexes, les étapes suivantes peuvent vous mettre sur la voie de la récupération.
Déterminer la variante d’attaque
Plusieurs outils gratuits peuvent vous aider à identifier le type de ransomware qui infecte vos appareils. Connaître la souche en question peut vous aider à comprendre plusieurs facteurs clés, notamment la façon dont elle se propage, les fichiers qu’elle verrouille et la manière dont vous pourriez la supprimer. Il vous suffit de télécharger un échantillon du fichier crypté et, si vous les avez, une demande de rançon et les coordonnées de l’attaquant.
Les deux types de ransomware les plus courants sont les verrouillages d’écran et les chiffrements. Les verrouillages d’écran bloquent votre système mais conservent la sécurité de vos fichiers jusqu’à ce que vous payiez, tandis que les chiffrements sont plus difficiles à traiter puisque ils trouvent et chiffrent toutes vos données sensibles et ne les déchiffrent qu’après le paiement de la rançon.
Rechercher des outils de décryptage
Une fois que vous aurez identifié la souche de ransomware, pensez à rechercher des outils de décryptage. Il existe aussi des outils gratuits pour cette étape, notamment des sites comme No More Ransom . Il suffit d’entrer le nom de la souche du ransomware et de rechercher le décryptage correspondant.
Si vous avez eu la chance de supprimer l’infection par le ransomware, il est temps de commencer le processus de récupération.
Commencez par mettre à jour les mots de passe de votre système, puis récupérez vos données à partir des sauvegardes. Vous devez toujours disposer de trois copies de vos données dans deux formats différents, avec une copie stockée hors site. Cette approche, connue sous le nom de règle 3-2-1, vous permet de restaurer rapidement vos données et d’éviter les paiements de rançon.
Après l’attaque, vous devriez également envisager de réaliser un audit de sécurité et de mettre à jour tous les systèmes. La mise à jour des systèmes permet d’empêcher les pirates d’exploiter les vulnérabilités des anciens logiciels, et l’application régulière de correctifs permet à vos machines d’être à jour, stables et résistantes aux menaces des logiciels malveillants. Vous pouvez également affiner votre plan de réponse aux incidents grâce aux enseignements tirés et vous assurer que vous avez communiqué l’incident à toutes les parties prenantes concernées.
Le ransomware étant un acte d’extorsion et un crime, vous devez toujours signaler les attaques de ransomware aux autorités chargées de l’application de la loi ou au FBI.
Les autorités peuvent éventuellement vous aider à déchiffrer vos fichiers si vos efforts de récupération ne fonctionnent pas. Mais même s’ils ne peuvent pas sauver vos données, il est essentiel de cataloguer l’activité des cybercriminels et, espérons-le, aider ainsi d’autres personnes à éviter de subir le même sort.
Certaines victimes d’attaques par ransomware peuvent également être légalement tenues de signaler les infections par ransomware. Par exemple, la conformité à la loi HIPAA exige généralement que les établissements de santé signalent toute violation de données, y compris les attaques par ransomware, au ministère de la santé et des services sociaux.
Décider de payer ou non une rançon est une décision complexe. La plupart des experts suggèrent que vous ne devriez envisager de payer que si vous avez épuisé toutes les autres options, car la perte de données serait nettement plus préjudiciable que le paiement.
Quelle que soit votre décision, vous devez toujours consulter les forces de l’ordre et les professionnels de la cybersécurité avant d’aller plus loin.
Le paiement d’une rançon ne garantit pas que vous retrouverez l’accès à vos données ou que les pirates tiendront leurs promesses. En effet, les victimes paient souvent la rançon, mais ne reçoivent jamais la clé de déchiffrement. En outre, le paiement de rançons perpétue l’activité des cybercriminels et peut financer leurs futures activités.
Les outils de sécurité des e-mails et les logiciels de protection contre les logiciels malveillants et les antivirus sont les premières lignes de défense contre les attaques par ransomware.
Les entreprises s’appuient également sur des outils avancés de sécurité des points de terminaison tels que les pare-feu, les VPN et l’authentification multifactorielle dans le cadre d’une stratégie plus large de protection des données pour se défendre contre les violations de données.
Toutefois, aucun système de cybersécurité n’est complet sans des capacités de pointe en matière de détection des menaces et de réponse aux incidents, qui permettent de prend les cybercriminels sur le fait et d’atténuer l’impact des cyberattaques réussies.
Des outils tels que les systèmes de gestion de l’information et des événements de sécurité (SIEM) peuvent appliquer le machine learning et l’analyse du comportement utilisateur (UBA) au trafic réseau en plus des journaux traditionnels pour une détection plus intelligente et une résolution plus rapide.