Ransomware : Quel est l'impact sur votre entreprise

Un logiciel rançon est un logiciel malveillant que les attaquants peuvent utiliser pour verrouiller un appareil ou crypter son contenu afin d'extorquer de l'argent au propriétaire ou à l'opérateur en échange d'une promesse sans garantie de rétablir l'accès.

Ransomware : Quel est l'impact sur votre entreprise

Un logiciel rançon est un logiciel malveillant que les attaquants peuvent utiliser pour verrouiller un appareil ou crypter son contenu afin d'extorquer de l'argent au propriétaire ou à l'opérateur en échange d'une promesse sans garantie de rétablir l'accès.

Reading time icon

5 min de lecture

Reading time icon

5 min de lecture

Comment fonctionne un logiciel de rançon ?

Il existe de multiples techniques utilisées par les cybercriminels qui demandent des rançons, notamment:

  • Rançon de casier d'écran bloque l'accès à l'écran de l'appareil autre que l'interface utilisateur du logiciel malveillant.
  • Rançon de casier à code PIN modifie le code PIN de l'appareil, rendant ainsi son contenu et ses fonctionnalités inaccessibles.
  • Ransomware de codage de disque chiffre le MBR (Master Boot Record) et/ou les structures critiques du système de fichiers, et empêche ainsi l'utilisateur d'accéder au système d'exploitation.
  • Crypto-ransomware crypte les fichiers des utilisateurs stockés sur le disque.

Avertissement

En général, ces types de rançon exigent un paiement, le plus souvent en Bitcoin, Monero ou une autre monnaie cryptographique difficile à tracer. En retour, les cybercriminels prétendent qu'ils décrypteront les données et/ou rétabliront l'accès au dispositif concerné. Mais il n'y a absolument aucune garantie que les cybercriminels respecteront leur part du marché (et parfois ils sont incapables de le faire, soit intentionnellement, soit en raison d'un codage incompétent). C'est pourquoi L'ESET recommande de ne pas payer la somme demandée - du moins pas avant de contacter Soutien technique de l'ESET pour voir quelles sont les possibilités de décryptage.

Ransomware image

Pourquoi les PME devraient-elles se soucier des logiciels de rançon ?

Selon le Ponemon 2017 État de la cybersécurité dans les petites et moyennes entreprises (PME) une entreprise sur deux dans le sondage a été victime d'une attaque par logiciel contre une autre au cours des 12 derniers mois, parfois à plusieurs reprises. La plupart (79 %) ont vu leurs systèmes infiltrés par des attaques d'ingénierie sociale.

CSME chart

Ces statistiques documentent deux choses :

1. Contrairement à leurs propres convictions, SMBs deviennent une une cible de plus en plus intéressante pour les cybercriminels.

2. Les PME sont des cibles plus intéressantes pour les cybercriminels que les consommateurs, et plus vulnérables que les grandes entreprises, car les petites et moyennes entreprises ne disposent généralement pas des ressources financières et de sécurité de l'information de leurs homologues. Cette combinaison représente un "point d'attraction" pour les attaquants.

En savoir plus

Le même rapport note également que les ordinateurs de bureau sont les appareils les plus ciblés (78 %), suivis par les téléphones portables et les tablettes (37 %) et les serveurs d'entreprise (34 %). Si l'attaque au moyen de logiciels contre lesquels une rançon a été demandée a réussi, la plupart (60 %) des victimes ont payé la rançon demandée. La somme qu'elles payé était en moyenne de plus de 2150. Mais il existe de meilleurs moyens de gérer la menace des logiciels de rançon, en se concentrant sur la prévention et la récupération.

Comment assurer la protection de votre organisation ?

Les étapes de base de la prévention et du rétablissement :

  • Sauvegarde des données sur une base régulière et conservez au moins une sauvegarde complète des données les plus précieuses hors ligne
  • Conservez tous les logiciels et applications - y compris les systèmes d'exploitation – corrigé et mis à jour
  • Utiliser une solution de sécurité fiable et multicouche et veiller à ce qu'il soit corrigé et mis à jour

Mesures de protection supplémentaires

  • Réduire la surface d'attaque la désactivation ou la désinstallation les services et logiciels inutiles
  • Scanner les réseaux pour les comptes à risque utilisant des mots de passe faibles et veiller à ce qu'ils soient améliorés
  • Limitation ou interdictionl'utilisation du protocole RDP (Remote Desktop Protocol) de l'extérieur du réseau, ou permettre l'authentification au niveau du réseau
  • Utiliser un réseau privé virtuel (VPN) pour les employés accédant à distance aux systèmes de l'entreprise
  • Revoir les paramètres du pare-feu et fermer tous les ports non essentiels qui pourraient conduire à une infection
  • Revue des règles et des politiques pour trafic entre les systèmes internes de l'entreprise et le(s) réseau(x) externe(s)
  • Protection par mot de passe les configurations de vos solutions de sécurité pour éviter qu'elles ne soient désactivées par un agresseur
  • Segmenter le réseau local de l'entreprise en sous-réseaux et les connecter à des pare-feu pour limiter les mouvements latéraux et l'impact éventuel des logiciels contre rançon, ou d'autres attaques, au sein du réseau
  • Protégez vos sauvegardes avec l'authentification à deux facteurs ou à plusieurs facteurs
  • Régulièrement former votre personnel à reconnaître les cybermenaces et à gérer les attaques d'ingénierie sociale
  • Limiter l'accès aux fichiers et dossiers partagés uniquement à ceux qui en ont besoin, y compris en rendant le contenu en lecture seule, et en ne modifiant ce paramètre que pour le personnel qui doit avoir un accès en écriture
  • Activer la détection des applications potentiellement dangereuses/non souhaitées (PUSA/PUA) pour détecter et bloquer les outils qui peuvent être utilisés à mauvais escient par les attaquants pour désactiver la solution de sécurité
Ransomware image

Aucune entreprise n'est totalement à l'abri des rançons

Si votre entreprise n'a pas été touchée par un logiciel de rançon, vous pourriez être tenté de supposer que cette menace est réservée aux grandes organisations. Les statistiques montrent que vous auriez tort. De plus, une attaque ciblée peut devenir incontrôlable et causer des dommages indiscriminés, même dans le monde entier. En juin 2017, une attaque de logiciels malveillants en Ukraine, détectée par l'ESET comme Diskcoder.C (aka Petya or NotPetya), s'est rapidement frayé un chemin hors du pays. Il s'est avéré plus tard qu'il s'agissait d'une attaque bien orchestrée de la chaîne d'approvisionnement qui a infiltré des logiciels de comptabilité populaires pour attaquer et nuire à des organisations ukrainiennes qui ont échappé à tout contrôle, infectant de nombreuses entreprises mondiales et plus petites, causant des centaines de millions de dollars de dommages.

Un autre ver de ransomware détecté par ESET comme WannaCryptor.D (aka WannaCry) s'est rapidement répandu, grâce à l'outil EternalBlue de la NSA qui a fait l'objet d'une fuite et qui exploitait une vulnérabilité du protocole réseau SMB (Server Message Block), principalement utilisé pour fournir un accès partagé aux fichiers et aux imprimantes. Bien que Microsoft ait publié des correctifs pour la plupart des systèmes d'exploitation Windows ciblés et vulnérables près de deux mois avant l'attaque, WannaCryptor.D a infiltré les réseaux de milliers d'organisations dans le monde entier. Le coût des dommages résultant de cette cyberattaque a été estimé en milliards de dollars.

La sécurité de l'ESET protège contre les logiciels de rançon

ESET PROTECT
Advanced

Protégez les ordinateurs, les portables et les appareils mobiles de votre entreprise grâce à des produits de sécurité gérés via une console de gestion dans le nuage. La solution comprend une technologie de "sandboxing" dans le nuage, qui permet de prévenir les menaces "zero-day" et les demandes de rançon, ainsi qu'une capacité de chiffrement complet du disque pour une meilleure protection des données.