Il existe de nombreuses variantes de ransomware. Cependant, l'examen des indicateurs d'infection spécifiques basés sur des noms de domaine suspects, des adresses IP et des hachages de fichiers associés à une activité malveillante connue peut vous aider à en savoir plus sur l'origine de l'attaque et la façon dont réagir.
Comprendre les ransomwares
Les ransomwares sont un type de logiciel malveillant qui crypte les données de grande valeur d'une entreprise, telles que les fichiers, les documents et les images, et exige ensuite une rançon de la part de l'entreprise pour restaurer l'accès à ces données. Pour y parvenir, le ransomware doit accéder à un système cible, crypter les fichiers et demander une rançon à l'entreprise. Une rançon en bitcoin ou en cryptomonnaie est alors généralement exigée pour restituer les données cryptées.
Un ransomware est un type de logiciel malveillant qui crypte les données d'une entreprise, puis demande à celle-ci de payer une rançon pour débloquer les fichiers cryptés.
À l'origine simple variété de programmes malveillants utilisés par les cybercriminels pour restreindre l'accès aux fichiers et aux données par le biais du cryptage, les ransomwares se sont transformés en une méthode d'attaque aux proportions ahurissantes. Alors que la menace de perte permanente de données est à elle seule inquiétante, les cybercriminels et les pirates informatiques d'États sont devenus suffisamment sophistiqués pour utiliser les ransomwares dans le but de pénétrer et de paralyser les grandes entreprises, les gouvernements fédéraux, les infrastructures mondiales et les organisations de santé.
Quel est l'impact des ransomwares ?
En 2020, l'attaque par ransomware Snake a paralysé les opérations mondiales de Honda. Dans la même semaine, cette forme de programmes malveillants de chiffrement de fichiers a également frappé la société sud-américaine de distribution d'énergie Enel Argentina. En 2019, des cybercriminels ont crypté des fichiers, gelant ainsi les réseaux informatiques de Pemex, l'entreprise mexicaine de gaz et de pétrole, exigeant 5 millions de dollars pour rétablir le service. Et en 2017, le crypto-ver WannaCry a attaqué 230 000 ordinateurs à travers le monde en exploitant une vulnérabilité de Microsoft Windows.
Aujourd'hui, des organisations de toutes tailles sont menacées, que ce soit dû à des technologies dépassées, à des stratégies de défense « suffisantes » qui ne couvrent que le périmètre et les terminaux, au manque de formation (et de bonnes pratiques de sécurité) ou à l'absence de « solution miracle » connue. Le risque est d'autant plus grand que les cybercriminels s'efforcent de chiffrer le plus de systèmes informatiques possible dans les réseaux d'entreprise afin d'extorquer des rançons allant de plusieurs milliers à plusieurs millions de dollars. Concrètement, les prévisions annonçaient des attaques par ransomware toutes les 11 secondes en 2021, pour un coût total de 20 milliards de dollars.
Comment un ransomware se propage-t-il ?
Une méthode populaire pour introduire un ransomware dans un nouvel environnement consiste à utiliser le phishing ou les e-mails d'hammeçonnage. Un e-mail malveillant ou une pièce jointe peut contenir un lien vers un site Web hébergeant un programme malveillant ou une pièce jointe avec un programme de téléchargement intégré. Si le destinataire ouvre l'e-mail de phishing, le ransomware est téléchargé et exécuté sur son ordinateur instantanément.
Une fois qu'un terminal ou l'ordinateur d'une victime est infecté, la cyberattaque tente de se propager à autant de machines que possible sur le réseau en exécutant un mouvement latéral non autorisé pour maximiser son impact (en cryptant autant de disques que possible).
Un autre vecteur d'infection populaire pour les attaques par ransomware tire profit des protocoles de bureau à distance (RDP - Remote Desktop Protocols) . Avec les RDP, un pirate qui a obtenu l'accès à des informations de connexion peut les utiliser pour authentifier et accéder à distance aux nœuds finaux d'un réseau d'entreprise. Grâce à cet accès, les acteurs malveillants peuvent directement télécharger et exécuter les programmes malveillants sur les machines sous leur contrôle et tenter de se déplacer latéralement dans l'environnement, en capturant et en cryptant les données sur des ressources supplémentaires.
Le cryptage des fichiers d'un utilisateur est l'aspect caractéristique des attaques par ransomware. En cryptant des données de grande valeur, les cybercriminels ou les pirates à l'origine de l'attaque par ransomware peuvent demander une rançon en échange de clés de décryptage pour rendre les fichiers à l'entreprise. Cependant, les pirates ne rendent pas toujours les fichiers cryptés à l'entreprise, même si elles paient la rançon.
Pour en savoir plus, consultez notre blog Comment un ransomware se propage-t-il réellement ?
Pourquoi les anciens pare-feu échouent-ils lors de la tentative de protection contre les ransomwares ?
Les anciens pare-feu contrôlent les communications entre les VLAN et les zones. Cependant, les anciens pare-feu ne vous permettent pas de bloquer le trafic à l'intérieur du VLAN, de sorte que cette approche est inefficace lorsque vous voulez empêcher la propagation au sein d'un segment. Ceci est dû à différentes limitations de l'architecture réseau avec les anciens modèles de pare-feu. Une fois qu'un pirate a compromis une machine sur un seul VLAN, il peut éventuellement compromettre une autre machine sur le même VLAN et l'utiliser pour accéder à d'autres ressources du centre de données, y compris les serveurs de sauvegarde.
Comment détecter et bloquer les menaces par ransomware
En tant que défenseur, vous devez limiter autant que possible l'accès entre les machines pour éviter tout mouvement latéral. En particulier autour des protocoles et des services que les campagnes d'attaque par ransomware exploitent souvent. Il n'y a aucune raison pour que les ordinateurs portables des employés communiquent entre eux et aucune raison pour que les membres du domaine se connectent via SMB.
Nos solutions de segmentation permettent au défenseur de limiter le trafic entre deux machines. Étant donné que la plateforme utilise une approche de segmentation logicielle, vous pouvez créer des stratégies qui bloquent la communication entre les ordinateurs portables ou limitent le trafic SMB entre les membres du domaine et leur permettent uniquement d'accéder à des serveurs spécifiques tels que le contrôleur de domaine.
En outre, Akamai offre une visibilité, jusqu'au niveau du processus, sur les communications et les dépendances entre vos ressources. Cela vous permet d'évaluer les risques à l'avance et de développer des stratégies proactives pour protéger les ressources critiques et les composants à haut risque tels que les sauvegardes.
La plateforme est également dotée de puissantes fonctionnalités de détection des menaces, qui vous permettent de rechercher des communications avec des domaines malveillants connus ou la présence de processus malveillants connus dans votre environnement pouvant être le signe d'une violation par des programmes malveillants.
Pour en savoir plus, consultez notre blog 4 techniques pour une détection précoce des ransomwares
Que dois-je faire si je suis victime d'une attaque par ransomware ?
Les ransomwares s'appuient sur le mouvement latéral pour exécuter des attaques réussies ; c'est donc là que les organisations doivent concentrer leurs efforts. Si vous déterminez qu'une attaque par ransomware active est en cours, utilisez des outils qui fournissent une visibilité pour comprendre la portée de la violation. En fonction de ce que vous apprenez, vous pouvez ensuite isoler les parties affectées du réseau du reste de l'entreprise et ajouter des couches de sécurité supplémentaires aux applications et aux sauvegardes critiques. Ce n'est qu'une fois que vous avez pris des mesures d'atténuation et restauré les services que vous devez réactiver progressivement les flux de communication.
Une fois que vous avez la liste de toutes les machines infectées et de tous les indicateurs d'infection, vous pouvez lancer le processus de désinfection. Répartissez vos machines entre trois groupes : Isolées, Surveillées et Propres.
Pour en savoir plus, consultez notre blog Bloquer les ransomwares et les mouvements latéraux grâce à la segmentation
Comment fonctionnent les crypto-ransomwares ?
Une attaque par ransomware commence par une violation initiale, souvent rendue possible par l'ingénierie sociale, un e-mail de phishing, une pièce jointe malveillante ou des vulnérabilités dans le périmètre du réseau. Le programme malveillant commencera à se déplacer dans votre réseau et tentera de maximiser les dommages à partir de son point d'entrée. En général, les acteurs malveillants cherchent à prendre le contrôle d'un contrôleur de domaine, à compromettre les informations d'identification et à localiser et crypter les sauvegardes de données en place pour empêcher les opérateurs de restaurer les services infectés et gelés.
Comment savoir à quel ransomware vous avez affaire ?
Quelles sont les formes les plus courantes de ransomware ?
Certaines campagnes sont des menaces avancées et persistantes (APT) hautement ciblées dirigées par un acteur malveillant, tandis que d'autres sont opportunistes, généralement exécutées par des scripts. Cependant, il en existe deux catégories principales. Les attaques qui cryptent les fichiers et les retiennent en vue d'un paiement de rançon sont connues sous le nom de crypto-ransomwares, et les ransomwares qui empêchent les utilisateurs d'accéder à un terminal sont connus sous le nom de ransomwares locker.
De nouveaux types de ransomware, de code malveillant, de logiciel malveillant, de pièce jointe malveillante, de scareware, et d'autres nouvelles variantes de ransomware sont de plus en plus fréquemment observés. Il existe même des cas documentés de ransomware-as-a-service (RaaS) payants, un exemple étant REvil (Ransomware Evil ; également connu sous le nom de Sodinokibi), qui était un RaaS privé basé en Russie ou russophone.
Comment les ransomwares ont-ils commencé ?
Il y a seulement quelques années de ça, la plupart des attaques de ransomware utilisaient la publicité malveillante comme vecteur de pénétration initial ciblant tous ceux qui chargeraient ces publicités malveillantes, que ce soit « Bob de la compta » dans une grande société ou une grand-mère essayant de lire ses e-mails. Les ransomwares ne faisaient pas vraiment la distinction entre leurs cibles : ils visaient tout le monde. Si les victimes payaient, tant mieux, et si elles ne payaient pas, pas de problème : les opportunités ne manquaient pas.
Mais, tout cela a changé en 2012 avec Shamoon, une cyberattaque venue d'Iran ciblant la société Saudi Aramco. Shamoon a permis aux pirates d'exfiltrer de grandes quantités d'informations d'Aramco. Une fois l'exfiltration terminée, les pirates ont utilisé Shamoon pour écraser le dossier de démarrage principal dans les machines attaquées, les rendant inutiles jusqu'à ce qu'il soit réinstallé. Cette perte de fonctionnalité a entraîné un temps d'arrêt considérable pour l'entreprise.
Locky était un programme malveillant de type ransomware apparu en 2016. Il est envoyé par e-mail (sous la forme d'une facture à régler) avec un document Microsoft Word en pièce-jointe contenant des macros malveillantes. Lorsque l'utilisateur ouvre le document, le texte affiché est illisible et comprend la phrase « Activer la macro si l'encodage des données est incorrect », une technique d'ingénierie sociale.
Petya est une série de programmes malveillants de chiffrement qui a été détectée pour la première fois en 2016. Ce programme cible les systèmes Microsoft Windows, infecte le dossier de démarrage principal pour exécuter une charge utile qui crypte la table du système des fichiers d'un disque dur et empêche Windows de démarrer. Il demande ensuite à l'utilisateur d'effectuer un paiement en bitcoin afin d'avoir accès au système.
Comment les ransomwares ont-ils évolué ?
Nous sommes en 2017. WannaCry et NotPetya, deux attaques par ransomware dévastatrices, ont semé le chaos au sein de grandes sociétés et entités gouvernementales. La spécificité de ces attaques, en plus de mettre en évidence la fragilité d'Internet, était qu'elles utilisaient des vulnérabilités « zero day » pour se déplacer latéralement entre les ordinateurs du réseau de manière virulente, infectant et rendant chaque machine rencontrée complètement inutile. Beaucoup de choses ont été écrites au sujet de NotPetya et WannaCry, mais nous savons aujourd'hui que les motivations derrière ces attaques étaient liées à des cyberattaques lancées par un adversaire étatique.
Ces attaques par ransomware ont alors commencé à être utilisées par des groupes de pirates, qui étaient jusqu'alors principalement axées sur l'utilisation de programmes malveillants comme Zeus (et toutes ses variantes) pour commettre des violations de comptes bancaires afin d'y extraire de l'argent. Il s'agissait souvent d'une opération longue, complexe et risquée, surtout au moment de réellement recevoir l'argent. Jusqu'à présent, la croyance dominante était juste qu'il était plus facile de cibler uniquement les grandes entreprises et de les faire chanter pour qu'elles envoient de grandes quantités d'argent en bitcoin, ce qui faisait des ransomwares une menace pesant sur les entreprises qui inquiétait les responsables des technologies de sécurité de l'information, mais pas nécessairement les citoyens individuels.
Ryuk est le nom d'une famille de ransomwares observée pour la première fois en août 2018. Tirant son nom d'un personnage d'une série populaire de bandes dessinées et de dessins animés japonais, elle est connue comme l'une des familles de ransomwares les plus vicieuses à avoir jamais infecté des systèmes dans le monde entier.
Nous sommes à présent en 2020. Alors que la pandémie de COVID-19 fait rage dans le monde entier et que la plupart des gens sont obligés de travailler à domicile, ce qui change complètement les modèles de menace, les facteurs de risque et les architectures réseau à très court terme, le monde a commencé à voir les opérateurs d'attaque par ransomware changer leur mode opératoire. Ils s'attaquaient désormais à de grandes entreprises en réalisant des attaques à double extorsion, où les hackers ne se contentaient pas de faire intrusion dans l'entreprise, de crypter les fichiers et de les prendre en otage, mais ont également commencé à exfiltrer ces données très précieuses pour les victimes, menaçant de les divulguer si la rançon n'était pas payée.
Un décret promeut la segmentation pour ralentir les ransomwares
En 2021, grâce à un mémo de la Maison Blanche des États-Unis évoquant la croissance des attaques par ransomware, l'importance souvent négligée de la segmentation des réseaux a été mise en évidence, parallèlement aux précautions et aux recommandations plus traditionnelles telles que l'application de correctifs, l'authentification à deux facteurs et la mise à jour des produits de sécurité.
La segmentation du réseau contribue non seulement à atténuer le risque dans certains cas, mais également à réduire de manière significative le risque d'une attaque à double extorsion si elle est correctement mise en œuvre, en limitant et en minimisant le « rayon d'explosion » d'une attaque par ransomware. Même si les logiciels antivirus et les EDR (lien vers ) ne parviennent pas à empêcher l'exécution d'un ransomware, une segmentation appropriée permet de contenir les dégâts et empêche les pirates de se déplacer latéralement sur le réseau pour voler des données plus sensibles et crypter davantage de machines.
La granularité de la segmentation d'un réseau avec l'approche logicielle unique d'Akamai vous permet de créer des « silos de réseau » entre les serveurs, les applications, les différents systèmes d'exploitation, les instances de cloud, etc. La force de la réduction du risque lié aux ransomwares à l'aide d'une stratégie de segmentation appropriée vient de sa simplicité : un octet peu peut se déplacer via un câble (ou un commutateur virtuel) vers une autre machine (ou une machine virtuelle/un conteneur) ou peut être bloqué, ce qui rend la tentative des pirates d'atteindre davantage de ressources sur le réseau inutile, donnant à l'équipe plus de temps pour répondre à l'attaque et pour informer les parties prenantes clés de l'organisation, de sorte qu'elles puissent prendre des décisions éclairées au sujet de l'attaque.
La segmentation du réseau n'est pas une alternative à un antivirus, un logiciel anti-programmes malveillants ou une plateforme EDR ; il s'agit d'une approche supplémentaire qui s'est avérée réduire de manière significative, voire éliminer complètement, le risque d'attaques à grande échelle reposant sur des mouvements latéraux au sein des organisations.
Pour en savoir plus, consultez notre blog Comparatif EDR/segmentation : comprendre les différences
Comment combattre les menaces par ransomware ?
Cette nouvelle ère d'attaques par ransomware met en lumière un problème qui aurait dû être résolu depuis longtemps : le mouvement latéral.
Pour que les pirates puissent exfiltrer toutes ces données, ils doivent savoir où elles se trouvent sur le réseau, et pour le savoir, ils doivent cartographier le réseau et le connaître tout aussi bien (si ce n'est mieux) que les personnes à l'origine de sa construction. Pour cela, les pirates doivent « se déplacer latéralement » d'une machine/serveur à un autre, en utilisant souvent des identifiants de connexion différents en les volant sur différentes machines du réseau.
De nombreux fournisseurs de solutions de sécurité ont tenté de résoudre ce problème et certains ont mieux réussi que d'autres. Sur le marché de la sécurité, de nouveaux types de produits ont émergé au fil des ans pour éviter ce problème. Des solutions DLP aux EDR et EPP, tous ont essayé, avec une réussite très partielle, de résoudre le problème du mouvement latéral.
Résoudre le problème du mouvement latéral est difficile : les pirates utilisent les fonctionnalités d'un réseau contre celui-ci.
Ils utiliseront les informations d'identification de l'administrateur et divers outils d'administration légitimes (tels que PsExec ou Remote Desktop de Microsoft, ou même WMI) pour se déplacer d'une machine à l'autre, exécuter des commandes et des charges utiles malveillantes afin de voler des données puis de crypter le réseau pour démarrer l'opération d'extorsion. De nombreuses organisations investissent des ressources dans des solutions de fortune à ce problème, en surveillant excessivement différentes ressources à l'aide de produits EDR/EPP qui n'étaient pas destinés à être utilisés à cette fin, ce qui se traduit par un succès partiel dans l'atténuation ou même la réduction du risque d'attaque par ransomware.
Arrêter le mouvement latéral avec la segmentation
Cependant, il existe une solution beaucoup plus simple à mettre en œuvre que vous ne l'imaginez : la segmentation du réseau. La segmentation est souvent oubliée, ou même ignorée, car elle est considérée comme difficile à mettre en œuvre et nécessite de porter une attention particulière à l'ingénierie réseau et à la gestion des actifs. Elle est donc souvent ignorée, et les réseaux restent « plats », ce qui signifie que tous les points de terminaison ou serveurs peuvent communiquer entre eux sans aucune restriction.
Jusqu'à récemment, la segmentation d'un réseau impliquait de placer différentes ressources dans différents sous-réseaux avec un pare-feu entre eux. Cela ne permettait aucune granularité, rendait la gestion du réseau beaucoup plus difficile et exigeait des administrateurs qu'ils gèrent des configurations de pare-feu complexes ainsi que des allocations d'adresses IP sur différents sous-réseaux. Cela rendait la conception et l'évolutivité du réseau beaucoup plus difficiles pour le personnel informatique, tandis que des configurations incorrectes peuvent entraîner un risque de sécurité ou une panne de réseau (et, dans certains cas, même les deux !). Cela a encore une fois amené le personnel informatique à ne pas mettre l'accent sur la segmentation et à faire bien davantage confiance à l'exécution de produits de prévention tout en laissant le réseau totalement plat et non segmenté.
Pourquoi les clients choisissent-ils Akamai ?
Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.