Les rançongiciels sont l’une des menaces les plus insidieuses sur Internet aujourd’hui et ils sont en hausse. Pas plus tard que le week-end dernier, la BBC et le New York Times ont rapporté une violation à grande échelle de la « publicité malveillante » exigeant sa rançon payable en bitcoins.
Parmi les deux principaux types de rançongiciels, le rançongiciel d’écran de verrouillage et le rançongiciel de chiffrement de fichiers, nous sommes le plus préoccupés par ce dernier, car il n’y a pas de solution connue. Dans la catégorie du chiffrement de fichiers, les attaques les plus courantes incluent Cryptolocker et Cryprtowall. Ceux-ci exploitent généralement les failles de sécurité d’un réseau pour entrer et s’installer sur le système et ses appareils. Une fois que le rançongiciel est actif, il crypte les fichiers critiques et renvoie les clés d’accès à leurs maîtres qui envoient des messages aux utilisateurs et aux administrateurs sur la méthode et les conditions de paiement.
Ces deux types ont coûté aux entreprises et aux particuliers près de 50 millions de dollars l’an dernier.
Dans des cas à grande échelle comme la plus récente attaque, les cybercriminels détournent les réseaux publicitaires diffusant des sites de contenu légitimes pour créer des attaques à plusieurs volets qui dirigent les utilisateurs et leurs navigateurs vers des sites en attente d’installer leur charge utile malveillante. Ici, ils ont profité d’une faille de sécurité connue dans le plugin Silverlight obsolète de Microsoft (qui ne manque pas Silverlight?) pour remplacer le contenu du serveur publicitaire par leurs propres publicités malveillantes afin d’attirer des milliards de victimes potentielles.
Inutile de dire que ces attaques très sophistiquées peuvent rapidement paralyser un réseau et imposer des dommages et des coûts incalculables aux entreprises et aux particuliers. Et bien qu’il n’y ait pas de solution miracle, les gestionnaires informatiques et les administrateurs système peuvent faire certaines choses pour tenir les rançongiciels à distance.
Combattre le feu par le feu
Souvent, le moment eurêka dans un film d’action (vous savez, des héros qui luttent contre les obstacles… etc.) est le moment où ils réalisent que leur meilleure défense pourrait se trouver précisément dans la stratégie de leur ennemi. Étant donné que la plupart des rançongiciels ont besoin d’identifier ce qu’ils jugent « important » parmi les documents qu’ils trouvent sur votre réseau, par exemple des feuilles de calcul, des états financiers, des renseignements personnels, des contrats, des listes, etc., uniquement pour les chiffrer à partir de vous, pourquoi ne pas chiffrer les vôtres à partir d’eux? S’ils ne peuvent pas voir ou identifier les fichiers de votre système, ils auront de la difficulté à déterminer ce qu’ils doivent prendre en otage et ne pourront pas y accéder de toute façon.
Appelez pour obtenir des renforts
Il n’y a probablement pas un administrateur système ou une personne en TI qui ne le fait pas déjà, et si vous êtes cette personne, vous pourriez envisager un autre secteur de travail. Pour le reste d’entre nous, la sauvegarde est la clé de la gestion normale du réseau et de la reprise après sinistre, et une attaque par rançongiciel est très certainement un désastre. Mais après l’étape 1, Chiffrer et l’étape 2, Sauvegarder, que se passe-t-il si un cybercriminel met la main sur votre dépôt de documents entièrement sauvegardé en grande partie crypté? Ils ne peuvent pas y accéder sans se lancer dans un piratage sérieux, et vous avez la seule autre copie.
Soyez un administrateur et ne soyez pas toujours un administrateur
Bien que cela puisse sembler un peu contre-intuitif, soyez patient. Nous savons tous que c’est généralement une bonne idée de réserver l’installation et la gestion des applications aux administrateurs. Mais ce n’est pas parce que vous êtes un administrateur que vous devez être connecté et exécuter des applications comme un seul administrateur tout le temps. N’oubliez pas qu’aussi grand et puissant que votre navire est tout aussi grand et puissant que le pirate ennemi qui l’aborde et le prend. Pas besoin d’inviter ce genre d’embarquement phare. Obtenir le contrôle d’un réseau au niveau de l’administrateur peut très facilement annuler toutes les mesures préventives que vous avez prises précédemment.
Mettez à niveau les applications et les plugins tôt, judicieusement et souvent
Comme nous l’avons vu avec la récente attaque de la BBC/NYT, l’exploit s’est glissé par l’intermédiaire de l’ancien concurrent flash de Microsoft, Silverlight. Bien que nous puissions nous méfier des derniers meilleurs systèmes d’exploitation et versions d’applications pour les mêmes raisons, les applications, les navigateurs et les plugins de navigateur obsolètes sont des accidents qui attendent de se produire. Dans cet esprit, le gestionnaire informatique exceptionnellement proactif peut créer une liste blanche d’applications et d’extensions et appliquer strictement une liste noire bien documentée.
Savvy Surfing, c’est un surf sûr
Même si la différence entre un bon site et un site malveillant vous semble douloureusement évidente, tout le monde sur votre réseau n’a pas votre œil d’aigle pour le danger. Et n’oubliez pas que certaines des usurpations de site que vous voyez aujourd’hui sont beaucoup plus sophistiquées qu’elles ne l’étaient il y a quelques années à peine. Nous ne pouvons plus nécessairement faire confiance à notre nez pour une mauvaise structure de phrase, une image de marque et un design boiteux pour flairer un site malveillant. Pour cette raison, c’est une très bonne idée de se tenir au courant des dernières menaces et de partager les signaux d’alarme avec les utilisateurs de votre système.
De bonnes défenses font de bons voisins
Du côté de la sécurité de l’entreprise, assurez-vous que vos systèmes, y compris l’antivirus des terminaux et la sécurité des courriels, fonctionnent tous avec les dernières mises à jour et signatures. Au cours de la dernière année, un certain nombre de grands systèmes de sécurité des courriels ont connu la fin de vie, notamment Microsoft Forefront et McAfee MX Logic. Nous savons que bon nombre d’entreprises utilisent encore ces systèmes même s’ils ne sont pas pris en charge ou mis à jour, et c’est un danger.
Bien que ces mesures ne constituent pas à elles seules un bouclier magique contre les rançongiciels et autres menaces, elles enlèvent certainement le vent aux ventes des pirates. N’oubliez pas que tout leur jeu concerne la valeur que vous accordez à la restauration des documents qu’ils ont pris et cryptés. Si leurs publicités d’appât à clics et leurs courriels d’hameçonnage ne trompent pas votre personnel, et même s’ils entrent, ils ne peuvent pas voir vos fichiers parce qu’ils sont tous cryptés, et que vous avez la seule autre copie, il n’y a pas de raison d’une rançon.
