Les ransomwares sont désormais une menace pour les entreprises : comment OPSWAT peut aider

Qu'est-ce qu'un ransomware ?

Dans le cas improbable où vous n'auriez jamais entendu parler de la menace qui se développe le plus rapidement dans le domaine de la cybersécurité aujourd'hui, le ransomware est un type de logiciel malveillant qui s'installe secrètement sur un système, verrouille ou crypte les données qu'il contient et exige une rançon pour les débloquer ou les décrypter.

Les ransomwares ont prospéré en 2016, en partie à cause de politiques de sécurité mal définies (notamment l'absence de sauvegardes régulières) par les consommateurs et les PME, et en partie à cause des tactiques ingénieuses d'ingénierie sociale employées par les cybercriminels.

Comme le montre cette vidéo de Cisco, l'image du pirate en sweat à capuche est dépassée depuis longtemps. L'avènement du"ransomware en tant que service" a permis à des personnes ayant des compétences limitées, voire nulles, en matière de programmation d'utiliser des kits de ransomware bien emballés pour déposer des charges utiles de logiciels malveillants et extorquer de l'argent à des entreprises non averties. Les kits de ransomware peuvent être achetés pour seulement 100 dollars sur le dark web.

Les entreprises doivent être très préoccupées par les ransomwares

La nature lucrative du modèle de ransomware le rend attrayant pour les cybercriminels. Avec la rentabilité croissante des ransomwares en tant que service, les ransomwares ne concernent plus seulement les petites et moyennes entreprises et les consommateurs.

Malheureusement, les entreprises ont toujours l'impression que les ransomwares ne concernent que les consommateurs ou les PME et qu'il n'y a pas lieu de s'en préoccuper. Il s'agit d'une hypothèse dangereuse pour plusieurs raisons :

1. Le fait est que les entreprises sont effectivement touchées par les ransomwares - en 2016, 40 % des entreprises interrogées ont été touchées par ces logiciels, selon une étude de Malwarebytes(via ZDNet).
2. Même si le modèle de sécurité de votre organisation est mature et que vous disposez de modèles de reprise après sinistre bien définis, vous devez tenir compte du coût des sauvegardes incomplètes, des mécanismes de reprise limités pour les données critiques et du temps nécessaire à une reprise complète.
3. Les ransomwares évoluent rapidement - de nouvelles variantes utilisent une approche sans fichier, ce qui rend leur détection plus difficile par les scanners de fichiers. Une variante récente appelée Locky utilise un cryptage RSA et AES extrêmement puissant, crypte les fichiers non seulement sur le système infecté, mais aussi sur les lecteurs réseau non mappés connectés au point d'infection, et supprime les instantanés de l'ombre du volume. En d'autres termes, il anticipe les actions correctives et est spécifiquement conçu pour vous empêcher de restaurer vos fichiers en supprimant les copies d'ombre.

Vecteurs d'attaque

Selon la plupart des chercheurs en cybersécurité, 2016 a été l'année de l'extorsion. Parmi les méthodes les plus utilisées pour déposer la charge utile d'un logiciel malveillant en 2016, on peut citer les suivantes :

Courriels d'hameçonnage ciblés contenant des pièces jointes ou des liens malveillants (Locky, Torrentlocker, CTB-Locker)

Une méthode d'attaque courante en 2016 était la suivante : Un employé d'une entreprise reçoit ce qui semble être un courriel légitime avec une pièce jointe (telle qu'une facture). Lorsque la pièce jointe est ouverte, l'encodage du document apparaît brouillé (plein de caractères erronés). Un message similaire à celui-ci pourrait s'afficher : "Si vous voyez un encodage de données incorrect, veuillez activer les macros". Dès que l'utilisateur active les macros, le ransomware est téléchargé et la charge utile est exécutée.

L'ingénierie sociale

Les cybercriminels savent que dans la plupart des entreprises modernes, le maillon faible de la sécurité est l'utilisateur. Les méthodes d'ingénierie sociale consistent généralement à tromper les employés involontaires et à leur faire remettre des informations confidentielles ou des données telles que les mots de passe des systèmes.

Utilisation de kits d'exploitation

Les kits d'exploitation sont des boîtes à outils de logiciels malveillants qui exploitent des vulnérabilités connues ou inconnues lorsqu'une cible potentielle visite un site web compromis. Ces attaques sont souvent menées par le biais de la publicité malveillante. L'un des kits d'exploitation les plus connus aujourd'hui est le kit d'exploitation Angler. Selon le Midyear Security Report de Cisco, en 2015, Angler représentait 36 % de la pénétration des utilisateurs dans les cyberattaques observées jusqu'alors.

Comment éviter d'être victime d'un ransomware ?

1. Utilisez une solution anti-programmes malveillants performante ; dans l'idéal, utilisez plusieurs solutions. Comme le montre le tableau comparatif de OPSWAT, la probabilité de détecter une épidémie de logiciels malveillants augmente de façon exponentielle grâce à la puissance du multi-scanning. OPSWAT's MetaDefender Core La plateforme de détection et de prévention des menaces d'Apple exploite plus de 100 moteurs anti-malware, de nettoyage des données, de vulnérabilité et d'autres moteurs de sécurité pour assurer la meilleure protection contre les menaces connues et inconnues. Le multi-scanning vous permet non seulement d'améliorer considérablement les taux de détection, mais aussi de réduire le temps d'exposition aux épidémies. En outre, les API de MetaDefender permettent une intégration facile avec les solutions existantes. En savoir plus sur MetaDefender Core .

2. Disposer d'une politique de sécurité d'entreprise bien définie bien définie et appliquée à tous les niveaux de l'organisation.

3. Sauvegardez, sauvegardez et sauvegardez encore ! Veillez à ce que les fichiers soient régulièrement sauvegardés et à ce que votre organisation dispose d'un plan de sauvegarde et de reprise après sinistre bien défini. Veillez à vous renseigner au préalable auprès de votre fournisseur sur les coûts et les délais d'une reprise complète en cas d'atteinte à l'infrastructure critique.

4. Investissez dans un bon proxy web ou dans des passerelles web sécurisées qui ajoutent une couche supplémentaire de défense et protègent vos serveurs contre l'exposition aux infections. MetaDefender ICAP Server expose une interface ICAP qui permet aux administrateurs système d'intégrer facilement la technologie de multi-scanning et d'assainissement des données de OPSWAT dans un proxy web existant pour le scan anti-malware de tous les téléchargements et chargements HTTP. Pour en savoir plus, cliquez ici.

5. Traiter les vulnérabilités. En réduisant ou en éliminant les vulnérabilités, les utilisateurs malveillants disposent de moins d'options pour accéder aux informations sécurisées. Les vulnérabilités non corrigées constituent un problème grave. Même si votre politique de sécurité exige des mises à jour régulières, certains employés peuvent être irrités par les notifications constantes de mise à jour et désactiver les mises à jour automatiques.

Avec MetaDefender Core's Vulnerability Engine, vous pouvez :

• Analyser les systèmes pour détecter les vulnérabilités connues au repos, sans avoir à les mettre sous tension
• Vérifier les vulnérabilités connues des logiciels avant de les installer
• Analyse rapide de systèmes entiers et d'applications en cours d'exécution pour détecter les vulnérabilités

Téléchargez un outil gratuit d'évaluation de la vulnérabilité pour obtenir un rapport rapide sur la vulnérabilité de vos points finaux ici.

6. Accroître la sensibilisation à la sécurité au sein de l'organisation. Veillez à ce que vos employés connaissent les vecteurs d'attaque les plus courants : l'hameçonnage et l'ingénierie sociale. Investissez dans des solutions de sécurité du courrier électronique performantes - une passerelle de courrier électronique sécurisée ne suffit pas toujours. MetaDefender Email Security La sécurité de la messagerie ajoute une couche de protection plus forte à vos passerelles de messagerie sécurisées existantes.

7. Pour les organisations qui ont une politique de BYOD (Bring Your Own Device), s'assurer que les utilisateurs n'installent pas d'applications non signées ou tierces. Investir dans des solutions de mobilité d'entreprise qui permettent des pratiques BYOD plus sûres, telles que les environnements virtuels, la classification des données et les solutions d'analyse de l'intégrité des appareils.

Et si vous êtes déjà infecté ?

1. Isolez le plus rapidement possible l'appareil infecté du réseau. Cela permet d'éviter la propagation du ransomware.
2. Vérifiez si vous disposez de points de restauration du système sains qui peuvent être utilisés pour récupérer les fichiers.
3. Si vous avez investi dans une solution de sauvegarde et de reprise après sinistre, vérifiez auprès de votre équipe d'assistance si les données sont récupérables.
4. Dans certains cas, il peut être possible de décrypter vos fichiers. Voici quelques outils de décryptage de ransomware disponibles gratuitement et fournis par des sociétés de lutte contre les logiciels malveillants :
   • https://noransom.kaspersky.com/
   • https://www.avast.com/ransomware-decryption-tools
   • http://www.avg.com/us-en/ransomware-decryption-tools

Une liste complète d'outils gratuits de décryptage de ransomware pour débloquer les fichiers est tenue à jour par les bonnes gens du Windows Club. Consultez également le projet No More Ransom pour vérifier si vous pouvez récupérer vos fichiers cryptés.

Enfin, OPSWAT ne recommande pas de payer la rançon. Il n'y a aucune garantie que les attaquants décryptent les fichiers après avoir reçu la rançon, et vous risquez de vous exposer à d'autres demandes de rançon.

Pour en savoir plus sur la façon dont OPSWAT peut protéger votre organisation contre les ransomwares, contactez-nous dès aujourd'hui.