Sensibilisation sur les ransomware

Bonjour à tous,

Comme vous le savez la sécurité est un aspect primordial pour les entreprises et particulièrement pour la hébergeur et les sociétés informatiques.

Une de nos principales sources de préoccupation ces derniers temps, est l’augmentation significative des attaques de type « ransomware » ou rançonlogiciel.

Ransomware ?

Pour faire simple, un ransomware est un logiciel malveillant qui va demander à la victime une rançon pour récupérer ses données, le but est donc de soutirer de l’argent. Le fonctionnement est simple, ce logiciel va rendre les données de la victime illisible grâce au chiffrement des données, un message sera affiché par les attaquants expliquant comment payer la rançon pour récupérer les données.

Les plus connus sont : Ryuk, WannaCry, Jigsaw, Petya, NotPetya…

Pour le plus grand nombre, les ransomwares sont des logiciels opportunistes qui exploitent des vulnérabilités connues sur les systèmes Windows principalement. Aucune prouesse technique dans ces cas la, ils utilisent simplement des portes déjà ouvertes et exploitent la manque de connaissance et le faible niveau de maturité des entreprises et des particuliers.

Cependant, depuis 2018, ces attaques se sont intensifiées et cibles aujourd’hui des grandes entreprises ainsi que des collectivités. Ces attaques sont réalisées par des groupes expérimentés qui sont identifiées quelques fois comme des menaces persistantes avancées (des groupes connus, souvent rattaché à des états). Le mode de fonctionnement est sensiblement différent, car en plus des vulnérabilités connues, ils utilisent des attaques ciblées grâce à des campagnes de mails.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a été alerté de 192 incidents en France en 2020, contre 54 en 2019, soit une augmentation de 255% seulement pour la France.

Les cibles ?

Suite à la récente augmentation et à la professionnalisation du milieu, les attaques sont devenues ciblées, voici les secteurs les plus touchés et les plus sensibles selon l’ANSSI :

• Les collectivités locales
• Le secteur de l’éducation
• Le secteur de la santé
• Les entreprises de services numériques

Voici quelques exemples d’attaques survenues en 2020/2021 :

• Ville d’Angers
• Mairie d’Alfortville
• Hôpital de Saint-Gaudens
• Hôpital de Dax
• Equinix : hébergeur de données

Tout cela pour montrer que personne n’est à l’abri d’un ransomware et que la protection est l’affaire de tous.

Comment ?

Les vecteurs d’infection sont multiples avec les ransomware, même s’ils reprennent dans les grandes lignes le même principe que pour toutes les autres attaques informatiques, c’est à dire mail de phishing, mauvaise configuration, absence de mise à jour…

Voici les chiffres de Sophos sur les méthodes utilisées par les ransomware :

Les menaces principales sont donc, les mails d’hameçonnage (phishing) avec ou sans pièce jointe. Cette technique connue par tous est la plus efficace et l’évolution lui permet même d’accroitre son efficacité, car il est possible d’être infecté grâce à un simple clique sur une URL en plus des pièces jointes. D’autres menaces sont particulièrement exploitées comme les attaques à distance des serveurs (absence de mise à jour) ainsi que les mauvaises configurations et l’exposition des services RDP.

Le but initial d’une attaque par ransomware est de trouver un accès au système de la victime, c’est pour cela qu’il cible souvent le personnel. Une fois la machine infectée, le logiciel va chercher à en atteindre d’autres pour se propager et chiffrer l’ensemble des machines.

Comment se protéger ?

La protection contre ce genre de menace va reprendre l’ensemble des points de l’hygiène numérique, c’est à dire :

• Ne pas ouvrir de mail, d’URL et de pièce jointe venant d’une source inconnue
  • Dans le doute, n’hésitez pas à vérifier l’expéditeur du mail ainsi qu’à contacter une personne de l’hébergement qui pourra vous accompagner
• Utiliser des mots de passe fort et les renouveler régulièrement
• Utiliser un gestionnaire de mot de passe
• Mettre à jour régulièrement vos applications ainsi que votre poste de travail
• Mettre à jour régulièrement les machines ainsi que les applicatifs (serveur)
• Ne pas exposer inutilement des services

Si vous avez un doute, vous pouvez également utiliser des services comme virustotal, afin de vérifier si une URL ou une pièce jointe est fiable ou non :

• https://www.virustotal.com/gui/

De son côté l’hébergement réalise plusieurs actions afin de se prémunir de ce genre d’attaque sur la partie hébergement :

• Mise à jour des machines
• Isolation des réseaux
• Changement des mots de passe
• Réduction de l’exposition sur Internet
• Scan de sécurité

Dans tous les cas, n’hésitez pas à vous rapprocher de lla SITEC.

L’équipe sécurité

Sources

• https://www.ssi.gouv.fr/uploads/2020/09/anssi-guide-attaques_par_rancongiciels_tous_concernes-v1.0.pdf
• https://www.sophos.com/fr-fr/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf
• https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-001.pdf
• https://www.malekal.com/historique-et-evolutions-des-attaques-de-ransomware/