Ransomwares : ce qu’il faut savoir pour rétablir l’activité

Saviez-vous que seulement 65 % des données étaient restaurées après l’attaque d’un ransomware, selon une étude de Sophos consacrée à l’état des ransomwares ? Nous abordons aujourd’hui quelques-unes des questions les plus fréquemment posées sur le retour à la normale après l’attaque d’un ransomware et ce que chacun devrait savoir avant d’être frappé.

En quoi consiste le retour à la normale après l’attaque d’un ransomware ?

Il s’agit du processus à suivre pour rétablir le fonctionnement des systèmes informatiques après que le ransomware a frappé. Le retour à la normale peut se dérouler simplement, en appliquant les nombreuses mesures de reprise après incident aujourd’hui à votre disposition, à condition que vos PRA soient correctement documentés et méticuleusement (et récemment) testés.

Dans le domaine de la protection des données, l’accent est principalement mis sur la restauration, plus particulièrement celle des VM chiffrées à partir d’une sauvegarde. Cela représente certes une partie importante du processus de retour à la normale, mais d’autres aspects de votre environnement IT peuvent aussi être largement impactés.

Une analyse technique est menée dans le cadre d’un incident de cybersécurité pour déterminer par quel moyen le ransomware s’est introduit et quels systèmes il a infectés. Des mesures peuvent alors être prises pour éradiquer le ransomware, éliminer les vulnérabilités ayant permis aux attaquants de s’introduire et restaurer les systèmes impactés.

Est-il possible de supprimer les ransomwares ?

Au cours du processus de réponse à l’incident de cybersécurité, des mesures sont prises pour déterminer comment le ransomware s’est introduit dans l’environnement et quel est son impact sur les systèmes, au-delà du simple chiffrement des données.

D’une part, le programme lui-même doit être retiré des machines chiffrées, mais il faut aussi prendre des mesures pour déterminer comment les attaquants se sont introduits, afin de minimiser ces vecteurs d’attaque. Une fois que le ransomware aura frappé, vous pourrez vous assurer que les définitions dans vos systèmes anti-malware permettent de détecter le variant dont vous êtes victime.

Est-il possible de restaurer les systèmes impactés par un ransomware ?

Aujourd’hui, la question qui taraude la plupart des services IT est la suivante : « Est-il possible de rétablir l’activité après l’attaque d’un ransomware ? ». Le retour à la normale est presque toujours possible. Malheureusement, la plupart des services IT n’ont pas confiance dans leur processus de reprise. C’est pourquoi il est essentiel de prendre des mesures pour s’assurer que votre environnement peut fonctionner à nouveau.

Première mesure à prendre pour mettre vos données à l’abri des ransomwares : assurez-vous de disposer d’une sauvegarde récente et réussie. Celle-ci s’avèrera cruciale lorsque les machines auront été chiffrées. En effet, vous devrez alors restaurer la sauvegarde précédente.

Et selon le temps d’exposition pendant lequel le ransomware aura été présent sur votre système, vous devrez peut-être restaurer également celui-ci pour vous assurer de ne pas y réintroduire la menace.

En quoi consiste le retour à la normale après l’attaque d’un ransomware ?

L’un des aspects les plus déroutants des ransomwares concerne souvent les événements qui suivent l’attaque. Première étape : faire intervenir votre équipe chargée de la sécurité informatique pour qu’elle initie le processus de réponse à l’incident. Celui-ci peut se distinguer légèrement des pratiques habituelles de la plupart des administrateurs de la sauvegarde lorsqu’ils restaurent les données.

Avant de relancer l’activité après l’attaque d’un ransomware, vous devez mener à bien les différentes étapes du plan de réponse à l’incident : détection et analyse, confinement, éradication et restauration. Le MODE D’EXÉCUTION de la reprise dépendra des découvertes effectuées pendant l’étape de détection et d’analyse. Il est donc important d’avoir mis en place plusieurs stratégies soigneusement testées.

Vous ne maîtrisez pas vraiment les réponses aux incidents de cybersécurité ? Je vous invite à consulter les vade-mecum récemment publiés par l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA).

Quels sont les différents types d’attaque de ransomware ?

Il existe différents types d’attaque de ransomware, le plus classique étant le chiffrement des données. On rencontre aussi des attaques qui consistent en une double ou triple extorsion. Dans le premier cas, non seulement le ransomware chiffre vos données, mais en plus il les vole. Dans le deuxième, les machines sont chiffrées et les données dérobées. Et les acteurs malveillants repoussent encore les limites en ciblant les données des clients et des fournisseurs de l’entreprise.

Un ransomware peut-il voler des données ?

Le chiffrement des données est l’attaque la plus communément évoquée. Il existe cependant un autre type d’attaque, en pleine expansion : l’exfiltration des données. Elle intervient lorsque des acteurs malveillants dérobent vos données et vous menacent de les divulguer si vous ne payez pas la rançon.

Comme les ransomwares s’introduisent-ils ?

Les ransomwares peuvent utiliser de nombreux moyens pour se répandre. L’un des plus courants est le phishing par e-mail. Une fois que l’attaquant s’est introduit dans votre environnement, les possibilités qui s’offrent à lui sont infinies. Et n’oubliez pas : il lui suffit d’un point d’entrée pour paralyser totalement votre environnement.

Quelle est la meilleure solution pour empêcher que vos fichiers essentiels soient la proie d’un ransomware ?

Si la plupart des entreprises cherchent à se protéger contre les ransomwares, la vérité c’est que chacun doit s’attendre à en être la cible. Les groupes d’attaquants sont nombreux et ils recherchent constamment de nouveaux moyens d’exploiter les failles des environnements pour s’y introduire et déployer leurs ransomwares. Et si une stratégie de sécurité informatique à toute épreuve peut contribuer largement à contrer les ransomwares, rien ne peut garantir à 100 % qu’ils seront empêchés de frapper.

La meilleure solution réside donc dans une stratégie de sauvegarde efficace incluant des sauvegardes inaltérables, c’est-à-dire ne pouvant pas être chiffrées ni supprimées par des acteurs malveillants.

Combien de types de ransomware existe-t-il ?

Il existe une multitude de types de ransomware différents et des nouveaux font sans cesse leur apparition. Parmi ceux les plus fréquemment cités dans les médias figurent REvil, Conti et DarkSide.

Ce qu’il faut savoir les concernant, c’est que les groupes de ransomware fonctionnent comme n’importe quel service IT. Ils disposent de leurs propres développeurs qui peaufinent sans arrêt les ransomwares pour les rendre toujours plus dangereux pour les systèmes informatiques.

Combien de temps faut-il pour rétablir l’activité après l’attaque d’un ransomware ?

Il existe à ce sujet de nombreux histoires terrifiantes, la pire étant l’impossibilité de rétablir l’activité, tout simplement. On entend régulièrement des récits de reprise d’activité qui prennent des semaines ou des mois, mais cela ne devrait pas se produire ainsi.

Le retour à la normale après une attaque de ransomware devrait faire l’objet de tests réguliers, comme c’est le cas d’un PRA. De fait, votre plan de reprise d’activité est un excellent point de départ pour rétablir un fonctionnement normal après une attaque de ransomware, à condition qu’il soit actualisé et soigneusement testé.

Une fois la restauration testée, il vous reste à prendre les mesures nécessaires pour l’accélérer afin de répondre aux exigences de votre activité. Cela passe notamment par le déploiement d’infrastructures supplémentaires dans votre environnement.

La reprise de l’activité ne doit pas s’éterniser, mais il est crucial de tester les processus pour respecter vos RTO.

Combien de temps prend le chiffrement ?

La vitesse de chiffrement dépend du type de ransomware qui frappe votre environnement. N’oubliez pas que les groupes de ransomware perfectionnent sans cesse leurs programmes. Ils tentent d’accélérer le mouvement pour causer le plus de tort possible avant que l’équipe IT découvre ce qu’il se passe.

À titre d’exemple, le ransomware REvil utilise des processus multithread qui exploitent l’ensemble des ressources de la cible pour la chiffrer.

Est-il possible d’annuler le chiffrement effectué par un ransomware ?

Bien que les groupes de ransomware affirment être capables d’annuler le chiffrement des informations une fois la rançon payée, ce n’est en réalité pas le cas pour la totalité des données. Le plus troublant concerne l’intégrité des données après le déchiffrement : elle est inexistante. Même si son chiffrement est annulé après une attaque, il faudra toujours restaurer un serveur depuis une sauvegarde.

Suffit-il de réinstaller Windows pour supprimer un ransomware ?

Réinstaller simplement Windows sur une machine infectée n’en retirera pas le ransomware. En nettoyant complètement une machine avant d’y réinstaller Windows, vous avez l’assurance qu’elle n’abrite plus le ransomware, mais vous perdez toutes vos données si elles n’ont pas été correctement sauvegardées.

Un ransomware peut-il voler des données personnelles ?

Les attaquants apprennent à repérer les vulnérabilités d’un environnement. Ils peuvent ainsi cibler les données les plus sensibles qu’il abrite, notamment les données personnelles sur les salariés et les clients, les informations financières et d’autres données confidentielles. N’oubliez pas qu’un groupe de ransomware mettra tout en œuvre pour s’assurer que vous allez payer la rançon.

La reprise d’activité après une attaque de ransomware nécessite de prendre un grand nombre de mesures. Votre priorité : vous assurer que vous respectez les étapes pour protéger votre environnement aujourd’hui. Cela passe non seulement par une sécurisation renforcée de votre environnement pour empêcher les attaquants de s’y introduire, mais aussi par une sensibilisation des utilisateurs à la cybersecurité. Vous aurez ainsi l’assurance que les collaborateurs de votre entreprise ne cliqueront pas sur des liens suspects qui ouvrent la voie aux ransomwares.

Au bout du compte, les sauvegardes sécurisées sont votre dernière ligne de défense. En plus de disposer de sauvegardes inaltérables que les ransomwares ne peuvent pas chiffrer ni supprimer, il est important de tester la reprise. Cela vous permet non seulement de vérifier que vos sauvegardes fonctionnent, mais aussi votre capacité à respecter vos RTO en cas d’attaque.

Si vous souhaitez en savoir plus sur les moyens de protéger vos données contre les ransomwares, prenez connaissance du kit de prévention anti-ransomware de Veeam et lancez-vous dès aujourd’hui.

Recevoir les mises à jour hebdomadaires du blog
En vous inscrivant, vous acceptez que vos données personnelles soient traitées conformément aux termes de la Politique de confidentialité de Veeam.
Merci de nous accorder une place dans votre boîte aux lettres !
Désormais, grâce à ce résumé hebdomadaire, vous avez moins de risque de manquer ce qui se passe sur notre blog.
OK
NOUVELLE
V11A

Limitez les pertes de données
Bloquez les ransomwares

#1 Backup and Recovery