Business | 15/07/2024 8 min de lecture Langue de l'article
Langue de l'article

Chiffrement par ransomware : Prévention et intervention

download report
Jason Buffington Jason Buffington Emilee Tellez Emilee Tellez

Selon le rapport  sur les tendances de la protection des données en 2024, seule une entreprise sur quatre (soit 25 %) estime ne pas avoir été frappée par un ransomware. Croire est le mot clé ici, car l’histoire montre que de nombreux acteurs malveillants sont souvent dans l’environnement de leur victime jusqu’à 200 jours avant une attaque, recueillant des informations, se déplaçant latéralement dans l’environnement et s’élevant pour obtenir les privilèges les plus élevés. Ensuite, ils n’ont plus qu’à attendre. Selon le rapport sur les tendances des ransomwares en 2024, 96 % des attaques visent de cibles de sauvegarde. Ces attaquants attendent dans votre environnement le moment idéal pour frapper, chiffrer vos données (en particulier vos sauvegardes, afin que vous ne puissiez pas vous sauver) et exiger leur rançon.

Cet article abordera les méthodes les plus courantes lors des attaques par ransomware, la chronologie de ces catastrophes et, enfin, les tendances, les outils et les défis que les entreprises de toutes tailles doivent connaître pour protéger leurs données contre le chiffrement par les ransomware.

Méthodes de chiffrement les plus courantes utilisées par les ransomwares

Pour chiffrer vos données, les auteurs de menace doivent d’abord accéder à vos systèmes. Les cybercriminels utilisent diverses tactiques pour infecter les ordinateurs de leurs victimes au moyen de logiciels malveillants. Les manières les plus courantes d’accéder aux systèmes d’une entreprise :

  • Hameçonnage : E-mails et SMS frauduleux qui incitent les utilisateurs à fournir des mots de passe et des informations d’identification.
  • Pièces jointes d’e-mails malveillantes : E-mails avec des pièces jointes de logiciels malveillants.
  • Attaques à la volée : Logiciels malveillants téléchargés à partir de sites Web infectés.
  • Vulnérabilités logicielles : Utiliser les vulnérabilités non corrigées sur les serveurs pour accéder aux systèmes informatiques.

Toutes ces techniques, et bien d’autres, permettent aux cybercriminels d’infiltrer votre environnement, d’effectuer des reconnaissances, de se déplacer latéralement dans votre environnement, et d’accéder à des rôles plus privilégiés pour accéder à davantage de données et obtenir une importante rançon. En savoir plus sur les différents types de ransomware en consultant ce blog.

Comme nous l’avons mentionné plus haut, les acteurs malveillants visent souvent vos cibles de sauvegarde. En clair, si vous parvenez à restaurer vos propres systèmes sans problème, vous n’aurez pas à payer de rançon. La seule solution logique pour les acteurs malveillants consiste alors à s’en prendre à vos sauvegardes avant que vous sachiez que votre environnement a été compromis.

De la violation au chiffrement : Chronologie d’une attaque de ransomware

Le parcours d’un ransomware, de la violation au chiffrement, est le suivant :

  1. Violation initiale, souvent effectuée au moyen des méthodes mentionnées ci-dessus
  2. Collecte d’informations
  3. Reconnaissance
  4. Intrusion initiale
  5. Élévation de privilèges
  6. Chiffrement

Les étapes une et deux peuvent être échangées en fonction de la sophistication de l’attaque. En règle générale, les auteurs de menace recueillent d’abord des renseignements sur leur cible, puis déploient des méthodes comme l’hameçonnage et l’ingénierie sociale pour accéder à leur environnement. Ensuite, ils créeront une base d’opérations et tenteront d’obtenir un accès privilégié à des cibles de grande valeur. Ils sont également connus pour effectuer leurs propres tests pour voir quels sont les temps de réponse de la cible pour tester la sécurité de l’utilisateur. Puis ils chiffrent les données, effacent les sauvegardes et exigent une rançon.

À l’heure actuelle, le délai établi pour une cybercatastrophe de cette ampleur peut s’élever à plusieurs mois. Cependant, il est important de souligner que tous les acteurs de la menace ne se comportent pas de la même manière. La chronologie dépend également du type d’attaque, du type de criminel et du type de ransomware utilisé. Certains déclenchent une charge malveillante dans les heures/jours suivant l’infiltration d’un environnement et d’autres se cachent dans les environnements pendant plus d’un an !

Dans le cas d’attaques plus sophistiquées, les acteurs malveillants accèdent à votre environnement et l’apprennent. Ils font beaucoup d’observations parce qu’ils veulent connaître toute la logistique et les tenants et aboutissants de ce qui se passe au sein de votre entreprise avant de se faire connaître. Cela permet aux criminels d’obtenir le plus gros gain possible.

Une fois que la brèche s’est produite, ils se cachent. (Ce type de violation, soit dit en passant, est le plus souvent causé par quelqu’un qui clique sur le mauvais lien dans un e-mail de phishing). Plus ils rôdent, plus ils peuvent explorer et tester votre environnement. Les acteurs malveillants testeront vos systèmes pour recueillir toutes sortes d’informations : Avez-vous appliqué ce correctif ? Avez-vous utilisé un mot de passe par défaut ? Votre mot de passe est-il sécurisé ? Essentiellement, ils regardent autour d’eux pour déterminer ce qu’ils peuvent attaquer. En effectuant ce travail de reconnaissance à l’avance, ils mettent essentiellement une balle dans chaque chambre, de sorte que le jour où ils vous demandent vos bitcoins, ils peuvent appuyer sur toutes les gâchettes et la brèche s’ouvre de manière dévastatrice.     

Et le pire, c’est que même payer la rançon ne vous garantit pas de récupérer vos données. Selon le rapport sur les tendances des ransomwares en 2024, une entreprise sur trois ayant payé la rançon n’a pas pu restaurer ses données, même après l’avoir payée. Cela signifie que la capacité de votre entreprise à restaurer ses données en toute sécurité à partir de ses propres bases de données saines est l’une des rares options qui garantissent une restauration complète des données. Même si vous récupérez vos données après avoir payé la rançon, cela ne garantit pas que vous ne serez pas frappé à nouveau.

Si des acteurs malveillants se cachent dans vos systèmes, ils se préparent également pour des succès futurs. Les cybercriminels explorent, testent et, dans certains cas, créent des mots de passe ou des vulnérabilités qui reviendront plus tard pour exiger une nouvelle rançon. Toutes ces choses néfastes sont faites dans l’ombre pour assurer un paiement une fois la charge utile libérée.

Outils et défis du déchiffrement

De nos jours, la question n’est plus de savoir si une entreprise sera la cible d’un ransomware, mais quand. En fait, les enquêtes montrent que les ransomware constituent un « attaquant qui ne fait pas de distinction entre ses cibles », qui cible tout le monde, des plus grandes entreprises aux plus petites, avec une relative cohérence. Comme c’est finalement inévitable, la question clé à se poser est de savoir si votre solution de protection des données vous permet de restaurer rapidement, de respecter des objectifs de temps de restauration et des délais optimaux de reprise d’activité (RTO et RPO), et de maintenir le bon fonctionnement de votre entreprise. Plusieurs outils sont actuellement à la disposition des entreprises pour les aider dans la lutte contre les ransomwares, et notamment :

Chiffrement des données : Utilisez des mécanismes de chiffrement efficaces pour rendre les données sensibles indéchiffrables pour les utilisateurs non autorisés, assurant ainsi la sécurité de vos données au repos et en cours de transfert.

Identification des ransomwares : En identifiant et en bloquant les activités de fichiers suspectes ou les tentatives de chiffrement non autorisées, la protection contre la perte de données contribue à atténuer le risque d’attaques de ransomware susceptibles de chiffrer des données précieuses et d’extorquer des entreprises à des fins lucratives.

La règle du 3-2-1 : Il s’agit d’une stratégie de protection des données standard qui recommande de conserver trois copies de vos données, stockées sur deux types de médias différents, avec une copie conservée hors site. Il s’agit d’une recommandation solide de protection des données garantissant redondance, résilience et capacité de restauration des données, y compris en cas d’événements imprévus ou de sinistre.

Bien que ces outils soient tous efficaces à leur manière et doivent absolument être considérés comme les pierres angulaires des meilleures pratiques en matière de protection des données, les professionnels de l’IT et de la cybersécurité peuvent néanmoins faire face à un large éventail de défis malgré la mise en place de ces outils.

L’un des plus grands de ces défis se présente sous la forme d’une collaboration entre les équipes. La mise en œuvre des mesures et processus de sécurité requis exige la collaboration et l’adhésion de tous les niveaux de votre organisation. Les équipes IT, de sécurité et d’exploitation doivent également travailler ensemble pour mettre en œuvre efficacement des mesures de sécurité, de sauvegarde et de chiffrement. Autrement dit,  la cyber-résilience est un sport d’équipe. Cependant, il s’avère que pour la plupart des organisations, les équipes informatiques, de sécurité et de direction, ainsi que les équipes telles que le juridique, la conformité et les achats, ne sont pas aussi alignées qu’elles devraient l’être.

Pour la troisième année consécutive, le Rapport sur les tendances des ransomwares indique que plus de la moitié des entreprises (63 %) estiment qu’une « amélioration significative » ou une « réorganisation complète » est nécessaire pour aligner les équipes de sauvegarde et de cybersécurité. Il convient de remarquer que des trois fonctions interrogées, les administrateurs de sauvegarde sont les moins satisfaits de l’alignement de ces équipes. Cela suggère que la sauvegarde, bien qu’importante, n’est peut-être pas aussi impliquée dans la stratégie de préparation qu’elle devrait l’être. En approfondissant, l’enquête a ensuite demandé pourquoi les équipes n’étaient pas mieux alignées, la réponse la plus courante étant le manque d’intégration entre les outils de sauvegarde et de cybersécurité.

Le rôle du chiffrement dans les opérations de ransomware

Les solutions Veeam sont spécifiquement conçues pour atténuer les effets du chiffrement avant, pendant et après une attaque.

Avant : Nous avons intégré des mécanismes de détection à la volée au flux de sauvegarde pour mieux identifier une éventuelle activité malveillante en production.

Pendant: En cas d’attaque, nous offrons une myriade d’options pour mettre en place un référentiel renforcé ou inaltérable et à l’abri des cyberattaques.

Après : Nous intégrons des technologies de détection pendant la restauration par phases ou en quarantaine pour garantir qu’aucun chiffrement et logiciel malveillant ne sont réintroduits dans l’environnement.

Bonus : Veeam a établi des partenariats avec les fournisseurs de sécurité dans une multitude de domaines, notamment SIEM, XDR, EDR, SOAR, KMS, etc. pour identifier les indicateurs de compromission pendant une attaque

Coveware by Veeam peut être votre partenaire en matière de réponse aux incidents grâce à son expertise et ses outils brevetés conçus pour vous aider à prendre des décisions qui minimisent les dommages et permettent de déterminer la bonne voie de restauration.

Selon le Rapport sur les tendances des ransomwares de cette année, 85 % des utilisateurs utilisent un cloud capable d’inaltérabilité, et 75 % d’entre eux disposent d’un disque sur site qui offre l’inaltérabilité. Cela montre que de nombreuses entreprises jettent les bases nécessaires à une protection moderne des données et un plan de restauration plus résilients. Malheureusement, tous n’ont pas encore activé l’option d’inaltérabilité, ce qui représente pour Veeam une simple case à cocher dans l’interface utilisateur. Cela étant, il est encourageant de voir des entreprises adopter la règle du 3-2-1 standard de l’industrie qui consiste à disposer de plusieurs types de supports, qu’ils soient immuables ou non.

Conclusion

Comprendre la réalité des menaces telles que le chiffrement des ransomware constitue une première étape puissante dans la lutte contre la perte de données. En comprenant les méthodes courantes utilisées lors des attaques par ransomware, la chronologie de ces sinistres — ainsi que les tendances, les outils et les défis que toute entreprise devrait connaître — joue un rôle clé dans la manière d’élaborer une stratégie globale de cybersécurité.

La dernière pièce du puzzle est la manière dont vous prévoyez de mettre en œuvre cette compréhension lorsqu’il s’agit de récupérer vos données. Il existe plusieurs manières de récupérer vos données :

  1. Vous pouvez payer en bitcoins pour obtenir la baguette magique des méchants et espérer que cela fonctionne. Mais, comme nous l’avons mentionné plus haut, 75 % de ceux qui ont suivi ce plan n’ont toujours pas pu restaurer leurs données.
  2. Vous pouvez utiliser Coveware, qui est une société composée de personnes ayant une expertise en matière d’analyse scientifique, de négociation et de règlement qui est maintenant sous Veeam.
  3. Ou vous pouvez restaurer vos données sans payer, ce qui, selon le rapport sur les tendances des ransomwares, est la réponse la moins souvent signalée par les cybervictimes. L’année dernière, seulement 15 % d’entre eux ont restauré leurs données sans payer, et franchement, cela devrait être l’objectif de tout un chacun.

En fin de compte, vous allez devoir payer quelqu’un. Ne préféreriez-vous pas payer des pièces de cinq cents à l’avance plutôt que des bitcoins plus tard ? Ou, en d’autres termes, ne préféreriez-vous pas payer un peu les gentils plutôt que de payer beaucoup les méchants ?

Ressources associées

Chiffrement par ransomware et restauration [Vidéo]

Veeam Data Platform

Réponse aux incidents par Coveware

2024 Global Report
Get report
Jason Buffington
Jason Buffington

Jason Buffington (@JBuff) est vice-président de l’équipe stratégie produits de Veeam. Fort de plus de 30 années d’expérience dans la protection des données, il a collaboré à de nombreuses solutions de sauvegarde, de réplication/basculement et de BC/DR pour plusieurs fournisseurs et pour Microsoft. Avant de rejoindre Veeam, Jason était analyste en chef chez Enterprise Strategy Group (ESG), chargé de la myriade de fournisseurs de solutions de protection des données du secteur IT. En dehors de l’informatique, Jason est un bénévole actif de Scouting BSA.

Chez Veeam, Jason se consacre à accélérer la réussite des grands comptes dans le cadre des partenariats Alliance de Veeam. Il s’occupe également de projets stratégiques, de l’évangélisation du leadership d’opinion lors des événements majeurs du secteur et de la communication autour de la vision et de la stratégie à long terme de Veeam.

More about author
Emilee Tellez
Emilee Tellez
Emilee Tellez is a Global Technologist for Product Strategy at Veeam Software. She has 10 years of IT experience with over eight years working directly for Veeam®. Based in Mesa, AZ, she supported both commercial and public sector customers in the desert region, spanning from New Mexico to Hawaii. She helps customers work on their data protection and disaster recovery strategies for the ever-changing modern datacenter. She is a graduate of Arizona State University, and holds certifications in AWS, VMware and Veeam.
More about author
Article précédent Article suivant
Contenu de l’article
Langue de l'article
Français
Stay up to date on the latest tips and news
En vous inscrivant, vous acceptez que vos données personnelles soient traitées conformément aux termes de la Politique de confidentialité de Veeam.
You're all set!
Watch your inbox for our weekly blog updates.
OK