Sécurité : Comment répondre à la montée en puissance des rançongiciels (ransomware)

Sécurité : Comment répondre à la montée en puissance des rançongiciels (ransomware)

Les rançongiciels (ransomware) ne sont pas nouveaux. Le premier exemple d’utilisation de techniques de type rançongiciel date de la fin des années 1980. Il y a eu une explosion de l’utilisation de tels systèmes ces trois dernières années.

L’attaque par le fameux Wannacry (« Je vais pleurer ») au printemps 2017, suivie par celle par NotPetya quelques mois plus tard a marqué les esprits et permis au grand public de réaliser l’impact que peuvent avoir les rançongiciels. Ces deux attaques ont depuis été attribuées à des « cybercorsaires » c’est-à-dire des pirates informatiques soutenus par des états. Ces rançongiciels étaient programmés pour se diffuser automatiquement partout où ils pouvaient et détruire les données des ordinateurs qu’ils parvenaient à atteindre.

Les rançongiciels d’aujourd’hui sont différents. Ils sont toujours très impactants pour les victimes en essayant de se répandre autant que possible dans leurs réseaux et infrastructures partout où ils peuvent. Ce qui a changé, ce sont les techniques employées pour les installer et leur fonctionnement. Voici quelques tendances et recommandations associées, plus spécialement par rapport à :

  • l’évolution des modèles économiques pour la monétisation des attaques ;
  • la progression des méthodes de déploiement de plus en plus sophistiquées et ciblées.

Des données à vendre

Les rançongiciels réussissent régulièrement à rançonner leurs victimes parce que les organisations ne peuvent plus fonctionner sans leur système informatique et sans accès à leurs données. Même un bref arrêt des fonctions administratives les plus banales peut paralyser toute une entreprise.

Jusqu’à récemment, les rançongiciels se concentraient uniquement sur l’élément disponibilité de l’information en empêchant les utilisateurs d’accéder à leurs données. Ils réalisaient cela soit par chiffrement, soit en modifiant les comptes d’utilisateurs et leurs mots de passe.

Alors que les organisations réalisent de plus en plus de sauvegardes et mettent en place de la redondance dans leurs systèmes pour répondre à cette composante « disponibilité », les attaquants sont passés à l’élément confidentialité de l’information, en menaçant de publier des données volées. Les victimes d’attaques par rançongiciels doivent désormais également s’inquiéter que leurs données sensibles ou confidentielles soient exposées.

Les risques pour leur réputation sont très importants et cela pèse lourdement sur les méthodes utilisées et les choix qui sont faits pour répondre à ces attaques.

Nous répondrons ailleurs et autrement à l’épineuse question des réponses que nous pouvons apporter face à cette menace qui est devenue énorme ces derniers mois : le vol et la revente ou la diffusion de données (leaking, violation de données, fuite de données, etc.).

Si nous nous attendons simplement à des attaques de type « vers » (worm), c’est que nous ne sommes plus prêts

WannaCry et NotPetya se propageaient rapidement à travers les réseaux grâce à une vulnérabilité largement répandue dans le système d’exploitation Microsoft. Ce n’est plus la façon dont les cybercriminels modernes s’y prennent et ils préfèrent contrôler les opérations.

Les cyberpirates préfèrent contrôler les attaques qui nécessitent des moyens logistiques et humains. Ils n’ont pas envie d’être bousculés par une diffusion erratique de leur propres outils et veulent optimiser leur temps.

Des suites des dommages causées par des attaques type « vers », les organisations, les éditeurs de systèmes et autres ont mis en place des réponses qui rendent la réussite de telles attaques plus aléatoire. Les pirates préfèrent ont changé leurs modes opératoires pour s’adapter.

Les attaques fonctionnant sous la forme de vers qui se répandent rapidement sur l’ensemble des stations de travail et des serveurs (qui existent toujours) sont devenues rares.

Les attaques que nous observons plus souvent aujourd’hui sont basées sur des techniques d’intrusion plus poussées. Les pirates mettent des jours voire des semaines à pénétrer et à analyser les systèmes de leurs cibles avant d’activer des attaques là où ils pensent qu’elles vont faire mal et au moment où ils pensent qu’elles ont le plus de chances d’être impactantes.

Traitons les causes, pas simplement les symptômes

La première priorité des victimes est de récupérer leurs données et de s’assurer que leur entreprise peut à nouveau fonctionner. Malheureusement, c’est bien souvent tout ce qu’elles recherchent. MONUMENTALE ERREUR !

Il faut bien comprendre que l’attaque par rançongiciel n’est que le symptôme visible d’une (ou plusieurs) intrusion(s) qui peut (peuvent) avoir persisté longtemps avant le déclenchement de l’attaque, et qui peut (peuvent) perdurer ensuite.

Même lorsque nous avons supprimé le rançongiciel et restauré notre système, les attaquants responsables ou d’autres cyberpirates peuvent toujours avoir un accès au système par des portes dérobées, et ont peut-être encore des privilèges d’administrateur.

Il est déjà arrivé à des organisations que le même attaquant s’en prenne de nouveau au système d’une de ses victimes, parfois quelques jours après la fin de la restauration par les équipes. Le pirate ou corsaire peut utiliser exactement le même mécanisme que celui qui lui a servi la première fois si nous ne prenons pas le temps d’analyser les stratégies de pénétration qui lui ont servi et de corriger nos failles.

La première question à nous poser lorsque nous avons affaire à une attaque doit être : « comment est-ce arrivé ? »

La première mesure que nous devrions prendre pour nous protéger devrait donc être : que puis-je mettre en place pour surveiller ce qu’il se passe dans mon système pour pouvoir répondre à cette question si j’en ai besoin ?

Comment « vivre avec » et nous défendre face aux rançongiciels

Nous pouvons trouver des conseils détaillés pour nous aider à atténuer les conséquences des attaques de logiciels malveillants et de rançongiciels auprès de nombreux organismes au premier rang desquels des organismes officiels d’état comme l’ANSSI, le NCSC, le NSA, etc.

La méthode consiste en général en deux étapes simples :

  • éviter de nous exposer, mettre en place les protections et les bonnes architectures pour limiter les risques ;
    étape à laquelle il convient d’ajouter ce que nous venons d’aborder : la mise en place de moyens conséquents (et sécurisés) pour superviser nos systèmes et pour enregistrer ce qu’il s’y passe pour pouvoir analyser a posteriori comme l’attaque a pu être perpétrée ;
  • réduire l’impact d’une attaque si elle a lieu, et mettre en place des protocoles de restauration et de remise en production de nos systèmes les plus efficients possibles tout en prenant soin de bien « nettoyer » nos outils et méthodes (puisqu’ils étaient vulnérables et infestées avant le déclenchement de l’attaque en elle-même).

La reconstruction du système et la récupération des données engendre bien souvent des semaines de travail acharné.

Il est donc préférable d’avoir prévu et testé des plans de reprise d’activité ainsi que des plans de maintien de l’activité sans le système en cas de scénario catastrophe.

À votre service,

Marc JESTIN

Note : Cet article est une adaptation libre de l’article de Toby L, responsable technique de réponse à incident au Centre national de Cyber Sécurité de Grande-Bretagne (UK NCSC, UK National CyberSecurity Center) : « The rise of ransomware« 


Articles similaires :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *