Les recommandations pour se protéger des cryptolockers 

En France, toutes les 40 secondes, une entreprise est la cible d’une attaque informatique (1). Cette recrudescence des attaques informatiques s’accompagne d’une faiblesse des infrastructures puisqu’on apprend que plus de la moitié des entreprises de l’Hexagone ne disposent pas de moyens pour faire face aujourd’hui à une cyberattaque (2). Ces ingérences ont pour conséquences principales l’interruption des opérations mais également la mise en danger de données sensibles, affectant de plein fouet la productivité d’une entreprise.

UNE ATTAQUE INFORMATIQUE, QU’EST CE QUE C’EST ?

Le ransomware (rançongiciel en français),  est un logiciel malveillant qui a pour but de rendre inexploitable les données d’une entreprise (ou d’un particulier) afin d’exiger une rançon contre la clé permettant de rendre à nouveau lisible les données.

De nombreux ransomware ont vu le jour depuis plusieurs années : Cryptolocker, CryptoWall, CTB Locker, Locky Ransomware etc….

Le ransomware se propage de manière autonome et se diffuse au niveau d’un poste pour ensuite se propager via le réseau à tous les équipements, dont les serveurs. Il va crypter progressivement tous les fichiers et ces données deviendront inexploitables. Le hacker exigera ensuite une somme d’argent moyennant le code de décryptage, mais pas toujours…

En effet, l’objectif recherché de ses cybercriminels peut effectivement être un moyen d’extorquer de l’argent à l’entreprise victime en échange de la restitution ses données, mais le but recherché parfois est tout simplement de saboter le système d’information d’une société, sans aucune demande de rançon.

• Différents moyens d’être infecté 
• Différents supports d’infection 
• 7 attaques sur 10 sont réalisées par le biais du phising e-mails
• 20% des attaques informatiques ont pour cible des Smartphones selon Kapersky

QUE FAIRE SI JE SUIS VICTIME D’UN CRYPTOLOCKER OU LOGICIEL MALVEILLANT

Court circuiter la propagation du ransomware 

En général une attaque va très rapidement se propager à l’ensemble des ordinateurs & des équipements situés sur le réseau. Il est primordial d’éviter la propagation du cryptolocker par le réseau :

Débrancher le(s) switch réseau
Débrancher tous les supports de stockage externes (Disques USB et/ou serveurs de sauvegarde, stockage NAS/SAN etc…)
Eteindre l’ordinateur  à l’origine de l’infection (s’il est identifié)

Analyser l’origine de l’infection

Cette analyse doit être réalisée par un intervenant disposant d’une bonne expertise technique systèmes & réseaux, de votre service informatique interne et/ou de votre prestataire informatique. Cette action doit être menée avec l’aide des utilisateurs (petite investigation à mener auprès d’eux).

L’objectif est  double :

• Identifier la nature du cryptolocker : permettra de vérifier d’éventuelles solutions existantes afin de l’éradiquer. Les attaques de grande ampleur sont scrutées par des milliers d’experts en sécurité après leur propagation. Une solution technique d’éradication a pu être mise au point.
• Localiser le 1er équipement à l’origine de l’infection : permettra de déterminer l’étendue potentielle de la contamination (accès aux partages réseaux, droits admins etc…..)

Evaluer l’étendue de l’infection

Il faut redémarrer les postes en mode sans échec (sous Windows) et passer sur tous les équipements potentiellement infectés et vérifier leur niveau de droits d’accès aux données. Si un administrateur avec des droits élargis est infecté, cela n’aura pas la même incidence qu’un simple utilisateur.

Il faut identifier tous les fichiers ayant une extension caractéristique du cryptolocker concerné (ex fichiers .locky pour tous les fichiers infectés par le cryptolocker du même nom).

Procéder à la récupération des données infectées

Si une solution de décryptage des données existe, il faut appliquer la procédure recommandée permettant notamment l’éradication du ransomware.

Dans le cas contraire, il faut restaurer les données avant sinistre (via les systèmes de sauvegarde mis en place).

Payer n’est pas toujours une garantie de récupérer ses données

Un ransomware laisse généralement dans chaque répertoire infecté un fichier texte contenant les instructions de récupération des données infectées en contrepartie du paiement d’une rançon.

Dans certain cas de figure, même les données sauvegardées peuvent être infectées et ne permettront pas de restaurer les données à leur état d’origine.

Il est recommandé de  contacter le site www.cybermalveillance.gouv.fr, et/ou la compagnie en charge de votre cyber assurance qui vous donneront les instructions à suivre.

Sachez que le paiement de la rançon exigée (généralement effectué en Crypto-monnaie type bitcoin) n’est en aucun cas une garantie de la récupération des données dérobées. En plus de son effet incitatif à la cybercriminalité, Kapersky atteste que 20% des entreprises ayant payée la rançon n’ont jamais récupéré leurs données.

 COMMENT S’EN PROTÉGER ?

Une formation des collaborateurs
Très souvent, une cyberattaque débute par une erreur humaine. En l’occurrence, une personne ouvre un fichier semblant anodin (et parfois d’un expéditeur déjà connu) et qui est en réalité contaminé. Il est donc indispensable de sensibiliser ses collaborateurs à identifier les sources potentielles de ransomware :

Ne pas ouvrir les e-mails suspects, de destinataires inconnus, ou faisant partie d’une chaîne de message par exemple.
Ne cliquer sur aucun lien vers des sites inconnus
Etablissement d’une charte informatique afin de sensibiliser mais aussi de responsabiliser les collaborateurs

Les pirates informatiques, rivalisent sans cesse d’ingéniosité, il est donc important de poursuivre cette sensibilisation dans le temps par des notes d’information, la mise en place d’une charte informatique etc….

Une mise à jour récurrente de votre système & logiciel

Les mises-à-jour n’ajoutent pas simplement de nouvelles fonctionnalités, elles corrigent surtout des bugs & des failles sécuritaires. Il est vrai que cela occasionne des frais et nombre d’entre elles décident de tourner sous XP nonobstant l’abandon des mises à jour par la firme. A cet égard, à l’occasion de la dernière attaque WannaCry, une corrélation s’est dessinée entre le taux de contamination et les systèmes d’exploitation obsolètes utilisés.

Dispositif de bac à sable « Sandboxing » ou de watcher

L’objectif est d’isoler en amont un fichier externe arrivant par mail … – et d’analyser son comportement. Si celui-ci est suspect il sera alors automatiquement mis de côté et ne sera pas distribuer à l’utilisateur.

On retrouve ces dispositifs au niveau des Firewall & Antispamm (si ceux-ci proposent cette fonctionnalité).

Limiter les accès externes 

Les accès externes à votre serveur doivent être limités au strict minimum par l’octroi d’identifiants sécurisés. En effet, à travers la communication au sein de ces espaces mutualisés – FTP, RDS, SSH, serveurs Mail etc… –  le risque de prolifération s’accroît en raison du nombre d’échanges entre les divers utilisateurs.

De la même manière, la provenance des supports de stockage externes (clé USB, disque dur…) doivent être systématiquement vérifiés afin d’endiguer les risques d’intrusion informatique.

Système de sauvegarde externalisée fiable

La première protection est de disposer d’une sauvegarde à jour & sûre. Vous ne serez pas dépendant des pirates ou encore de leur rançon. En effet, la contamination pourra être endiguée en retournant à votre dernière sauvegarde.
Il pourrait être judicieux d’opter pour un plan de reprise d’activité ou de continuité d’activité afin de reprendre votre activité avec un impact contrôlé pour le fonctionnement de votre entreprise.

Vous souhaitez améliorer votre sécurité informatique ? 

Contactez nous pour une solution de sécurité pour votre PME

Sources :

(1) Etudes Kapersky 2017

(2) Etudes Mountain Security 2016