Quelques conseils pour réduire le risque de Ransomware.

Ces derniers mois, les attaques par ‘’ransomware’’ ont augmenté de façon exponentielle. Plus de 27’000 incidents ont surgi sur la scène au début de 2017, ceci dû par exemple à un paramètre mal configuré sur la base de données open source appelée MongoDB qui a rendu des centaines de milliers de bases de données vulnérables à ce fléau. Les acteurs de la menace se sont connectés aux bases de données des victimes, ont sauvegardé des données hors site, supprimé les données pour ensuite offrir de les restaurer pour 2 Bitcoins, ce qui correspond à ± 190 €.

Bien que cela puisse sembler un montant ridicule, il y a une logique derrière ceci. Si on demande trop, la propension à payer diminue. De plus, le volume de l'attaque donne de sérieux dividendes. Quoi qu'il en soit, pour les personnes impactées, perdre l'accès à des informations importantes d’une entreprise est extrêmement déconcertant, créant le désespoir et les rendant enclins à payer.

La Mécanique.

Il existe deux vecteurs primaires dans un environnement informatique commercial. Le premier consiste à prendre l'accès à distance de l'ordinateur d'un utilisateur et à accéder, via le réseau, aux bases de données. Cela est effectué en envoyant à un employé un courrier électronique ‘’phishing’’ qui incite cet utilisateur à ouvrir une pièce jointe ou à visiter un site Web compromis en vue de charger du code malveillant sur son d'ordinateur. Une fois que l'ordinateur est compromis, les acteurs de la menace analysent l'environnement et tentent de trouver un terminal informatique pour accéder via le réseau, aux données. Une fois installé sur l'ordinateur, il peut chiffrer ou effacer des données à distance, puis émettre des demandes de rançon.

La deuxième méthode est plutôt une attaque frontale sur les serveurs de base de données. La plupart des entreprises ont des sites Web publics et, par conséquent, les acteurs de la menace trouveront un serveur avec une application vulnérable, puis l'exploiteront pour s'installer dans le centre de données. Si un personnel informatique n'a pas correctement séparé le(s) site(s) Web public(s) des serveurs de base de données, l’attaquant peut utiliser cet accès pour accéder à la base de données. Alors que ce vecteur nécessite plus de sophistication, on remarque que les attaquants optent de plus en plus pour cette direction, ce qui implique que des acteurs plus qualifiés entrent en jeu.

La réponse.

Avec toutes ces nouvelles techniques en jeu, que peuvent faire les équipes de sécurité pour atténuer la menace ? La bonne nouvelle est que votre personnel informatique a déjà probablement fait beaucoup de choses afin de protéger vos environnements. Voici quelques bonnes pratiques afin de réduire le risque en vérifiant certains vecteurs :

Utilisateur :

• Établir un programme de sensibilisation des utilisateurs sur la manière d'identifier un courrier électronique dit ‘’phishing’’.
• Arrêtez la possibilité pour les terminaux d'utilisateurs de partager des ressources ‘’Peer-to-Peer’’.
• Mettre en œuvre une stratégie de sauvegarde des données personnelles sur les disques externes ou les disques virtuels (n’oubliez pas de lancer votre anti-virus avant de réaliser vos sauvegardes afin de s’assurer que vos données sont saines, ce serait dommage de restaurer des virus ☹ (encore un smiley J)).
• Installez un programme antivirus de bonne réputation qui bloquera la majorité des attaques de rançon connues.

Site Web :

• Ne jamais héberger un serveur tourné vers l'extérieur sur le même matériel où est installé une base de données.
• Assurer une bonne segmentation entre les serveurs Web et les serveurs de bases de données.
• Gestion de l'état des correctifs de vulnérabilité des serveurs de données critiques et des partages de fichiers.
• Assurez-vous que le personnel informatique dispose d'une stratégie de sauvegarde des données pour les bases de données et les partages de fichiers.
• Envisagez l'utilisation de services cloud sécurisés tiers ou de services virtualisés pour le stockage de données critiques et le partage de fichiers hors site.

Planification avancée et ressources externes :

Ayez un plan d'intervention d'incident en place avant qu'un incident se produise. Ayant un plan en place permettant la documentation immédiate de toutes les décisions possibles et les plans de communication qui doivent être appliqués sous la pression d'un incident de la vie réelle.

Visitez le site NoMoreRansom.org pour demander de l'aide. Ce site Web à but non lucratif est un partenariat entre les fournisseurs de logiciels antivirus, les responsables de l'application de la loi internationale et les chercheurs en cyber sécurité. Cette ressource a aidé des milliers de victimes à déchiffrer des données, avec des recommandations sur ce qu'il faut faire en cas d'attaque.

Payer ou ne pas payer ?

Une dernière considération qui entre dans l'esprit de beaucoup est de savoir s’il est question ou non de payer la rançon. Le point de vue de la majorité des experts est cohérent avec celui du Bureau fédéral des enquêtes : Ne pas Payer !

À la fin de la journée, la décision sera basée sur l'impact de cette attaque vis-à-vis de votre entreprise. Alors que les auteurs de rançons renvoient, dans de nombreux cas, les données comme promis, assurez-vous qu’ils n’aient pas ‘’laissé’’ par inadvertance une ‘’Porte dérobée’’ afin de mieux vous attaquer la prochaine fois.

Nous sommes à votre disposition si vous souhaitez avoir plus d'informations ou,si vous êtes confrontés aux Ransoware,  nous pouvons vous mettre en relation avec des partenaires avec lesquels nous travaillons.

A bientôt

Jean-Yves Mathieu

CISO@aubay.lu