Qu'est-ce qu'un Ransomware?

Les ransomwares constituent aujourd'hui une des principales menaces qui pèsent sur les entreprises et leurs utilisateurs. Ces logiciels malveillants visent principalement à infecter une partie des SI des entreprises, aussi bien côté desktop que côté infrastructure pour ensuite demander à celles-ci des rançons en échange d'une libération parfois illusoire. Très simple d'utilisation et aujourd'hui très facile à se procurer sur des modèles de ransomware-as-a-service, ils ont plusieurs modes de fonctionnement ou d'infections (phishing, injection de code, menaces avancées, etc.) en fonction des objectifs des hackers (extorsion de données, verrouillage des données, du SI, etc.) mais ont toujours un impacte colossale sur les entreprises. La question pour ces dernières n'est d'ailleurs pas de savoir si elles vont être attaquées, mais plutôt quand tant la menace est devenue omniprésente. À travers cet article, nous allons ainsi voir comment ces malwares fonctionnent et comment s'en prémunir. 

Comment fonctionnent les ransomwares?

Les ransomware sont avant tout définis par leur finalité : extorquer de l'argent. Ensuite, si leur fonctionnement varie en fonction des méthodes utilisées, des cibles, etc. on distingue deux grandes familles, à savoir les cryptolockers et les screenlockers. Quand les premiers chiffrent toute ou partie des données de l'entreprise, les seconds visent plus particulièrement le fonctionnement du SI en bloquant les accès. À chaque fois, l'entreprise touchée se verra demander une rançon à payer, sans quoi elle ne pourra pas récupérer ses données ou ses accès. Dans certains cas, notamment avec les attaques que nous avons vues récemment comme celles contre l'hôpital de Corbeil-Essonnes, le blocage s'accompagne de menaces de diffusions des données extorquées directement en ligne.

Pour installer leurs ransomware sur les SI de leurs victimes, les acteurs malveillants ont recours à plusieurs techniques avec souvent en pointe le phishing. Les ransomwares peuvent ensuite pénétrer plus profondément et sans se faire repérer dans les systèmes en utilisant des techniques d'obscurcissement avancées, telles que l'insertion de codes morts, le chiffrement et le décodage à l'exécution. Ils sont ainsi capables de cibler précisément les éléments critiques tout en restant invisibles dans le système d'information pendant parfois plusieurs semaines. Une fois les systèmes visés atteints, l'attaquant peut alors décider de lancer l'attaque et il est déjà trop tard. 

Quelles sont les cibles des ransomwares

Aujourd'hui toutes les entreprises et organisations sont la cible des ransomwares. Les récentes attaques divulguées dans la presse montrent que n'importe quel secteur peut être visé, qu'il s'agisse de PME ou de grands groupes. Toutefois, les hackers semblent avoir ces derniers temps des préférences pour les infrastructures de santé et hospitalières avec des attaques de plus en plus médiatisées qui ont touché, entre autres, les hôpitaux de Corbeil-Essonnes et de Charleville-Mézières avec à chaque fois des conséquences sérieuses allant de la diffusion de données patients à l'interruption de certains services. On a également eu plusieurs exemples de services publics visés avec le département de la Seine-Maritime en France ou les parlements slovaque et polonais avec a chaque fois des interruptions des services assurés par ces entités. Comme l'assurent depuis déjà plusieurs années les différentes instances, personne n'est épargné par les ransomwares. 

Quelle est la fréquence des ransomwares

Si le nombre des attaques visibles dans la presse explose, c'est bien que la fréquence des attaques augmente elle aussi considérablement. Mais plus que le nombre d'attaques, qu'il reste difficile de chiffrer face aux différentes études réalisées, c'est la propension des acteurs malveillants à viser plusieurs fois les mêmes entreprises qui doit être prise au sérieux. D'après l'étude menée par Hiscox et Forrester, 36% des entreprises qui avaient été frappées par un ransomware et qui avaient payé la rançon ont été à nouveau attaquées. Ainsi, même après avoir été ciblées, les entreprises ne peuvent pas se reposer sur leurs lauriers et les mesures de remédiations aussi bien que de protection doivent sans cesse être renforcées et améliorées. 

Quelques exemples de ransomwares

Pour pouvoir se défendre, mieux vaut connaître ses attaquants et surtout leurs armes. En analysant le fonctionnement des ransomware, les entreprises tout comme les offreurs peuvent acquérir des bases tactiques solides sur les techniques et les exploits utilisés par les acteurs malveillants, et ainsi mieux se protéger. Voici donc quelques exemples :

Lockbit: Probablement un de ceux dont on entend le plus parlé en ce moment, le ransomware LockBit est un logiciel malveillant conçu pour bloquer l'accès des utilisateurs aux systèmes informatiques et lever le blocage en échange d'une rançon. LockBit analyse automatiquement les ressources importantes, propage une infection et chiffre tous les systèmes informatiques accessibles d'un réseau. Ce ransomware est utilisé pour les attaques hautement ciblées à l'encontre d'entreprises et autres organismes importants qui sont souvent menacés de voir leurs informations sensibles publiées sur le Darknet. 

CryptoLocker: Il s'agit de l'un des premiers ransomwares de la génération actuelle qui exigeait un paiement en crypto-monnaie (Bitcoin) et chiffrait les disques de l'utilisateur et les lecteurs réseau connectés. Cryptolocker s'est propagé par le biais d'un e-mail contenant une pièce jointe qui prétendait être une notification de suivi de FedEx et UPS. Si un outil de déchiffrement a été publié pour contrer le ransomware, divers rapports suggèrent que plus de 27 millions de dollars ont été extorqués par CryptoLocker à ce jour.

NotPetya: Considéré comme l'une des attaques de ransomware les plus dommageables, NotPetya a exploité les tactiques de son homonyme, Petya, comme l'infection et le chiffrement de l'enregistrement des systèmes Microsoft Windows. NotPetya a exploité la même vulnérabilité que WannaCry pour se propager rapidement, exigeant un paiement en bitcoins pour annuler les modifications. Il a été classé par certains comme un wiper, car NotPetya ne peut pas annuler les modifications apportées au disque de démarrage principal et rend le système cible irrécupérable.

Bad Rabbit: Considéré comme un cousin de NotPetya et utilisant un code et des exploits similaires pour se propager, Bad Rabbit était un ransomware visible qui semblait cibler la Russie et l'Ukraine, touchant principalement les entreprises de médias de ces pays. Contrairement à NotPetya, Bad Rabbit permettait le déchiffrement si la rançon était payée. La majorité des cas indiquent qu'il s'est propagé par le biais d'une fausse mise à jour du lecteur Flash qui peut avoir un impact sur les utilisateurs par le biais d'une attaque par drive by.

REvil: REvil est l'œuvre d'un groupe d'attaquants motivés par des raisons financières. Il exfiltre les données avant de les crypter, de sorte que les victimes ciblées peuvent être contraintes de payer si elles choisissent de ne pas envoyer la rançon. L'attaque provient d'un logiciel de gestion informatique compromis, utilisé pour corriger les infrastructures Windows et Mac. Les attaquants ont compromis le logiciel Kaseya utilisé pour injecter le ransomware REvil dans les systèmes des entreprises.

Ryuk: Ryuk est une application ransomware distribuée manuellement, principalement utilisée dans le cadre du spear-phishing. Les cibles sont soigneusement choisies par reconnaissance. Des messages électroniques sont envoyés aux victimes choisies, et tous les fichiers hébergés sur le système infecté sont alors chiffrés.

L'impact des ransomwares sur l'activité

L'impact des ransomwares sur l'activité d'une entreprise est colossal. Bien évidemment, il y a d'abord l'impact sur le fonctionnement direct des services de l'entreprise. Qu'il s'agisse de cryptolocker ou de screen lockers, s'ils frappent des services vitaux de l'entreprise, celle-ci ne peut tout simplement plus fonctionner ce qui impacte aussi bien ses résultats financiers que son image auprès de ses clients et de ses partenaires. L'exemple de Colonial Pipeline est sûrement un des plus flagrants. L'interruption complète des activités du service de transport de carburant par l'opérateur américain a directement entraîné des pénuries qui ont même obligé les compagnies aériennes à revoir leurs plannings de vol sur certains aéroports. Si le FBI a pu récupérer une grande partie des 4,4 millions de dollars de rançon payé en bitcoin, l'impact financier de cette interruption de service s'est chiffré en plusieurs millions de dollars pour Colonial Pipeline. 

Au-delà de ces aspects évidents, il faut aussi prendre en compte les impacts humains sur les employés de l'entreprise ciblée. L'expérience d'une telle attaque peut être très vite traumatisante pour les équipes qui d'un jour au lendemain se retrouvent privées de leur outil de travail et ne savent pas quand ils vont pouvoir le récupérer.

Comment se protéger des ransomwares

Aujourd'hui, se protéger contre les ransomwares demande d'adhérer à un ensemble de bonnes pratiques et de technologies capables de fonctionner de concert. Le temps où la sécurité périmétrique régner seule en maître sur la sécurité du SI doit absolument être révolue. La protection contre les ransomware doit ainsi s'appliquer à l'ensemble du SI et de l'organisation de l'entreprise, notamment ses salariés. Voici ainsi une liste des bonnes pratiques technologiques et managériales pour se protéger des ransomwares: 

• Segmenter le SI: Dans la lutte contre les ransomwares, la microsegmentation, dans le cloud et sur site devient un "must have". En permettant d'isoler logiquement les différents assecs critiques du système d'information, elle permet d'éviter que les attaques puissent se propager horizontalement. 
• Faire des scans de vulnérabilités réguliers: Tous les jours, les chercheurs en cybersécurité et les acteurs malveillants découvrent de nouvelles failles qui peuvent être exploitées pour lancer et diffuser des ransomwares. Il est donc primordial de scanner son SI pour pouvoir détecter au moins les failles connues et prendre les mesures nécessaires pour les colmater.
• Faire les mises à jour: Dans la droite lignée du point précédent, il est important de maintenir des logiciels à jour. Les éditeurs et les fabricants intègrent fréquemment les correctifs aux failles connues dans les mises à jour de leurs produits. Trop souvent encore, des attaques réussissent en s'appuyant sur des systèmes anciens pas maintenus à jour. 
• Protéger et isoler les sauvegardes: S'assurer d'avoir des sauvegardes isolées et protégées des ransomware permet aux entreprises de ne pas payer les rançons et de restaurer rapidement les données qui auraient été chiffrées par les cryptolocker. L'usage d'un stockage WORM (Write Once, Read Many) permet également d'éviter que les logiciels malveillants puissent réécrire les données stockées et sauvegardées. 
• Protéger les collaborateurs: Les infections par les ransomware se propagent en premier lieu par les extrémités du SI. Il faut donc adopter des solutions pour protéger les endpoint, aussi bien les ordinateurs que les mobiles et surtout les clients emails des collaborateurs. 
• Sensibiliser les équipes: Une grande partie des attaques ransomware ayant frappé les entreprises se sont appuyées sur le phishing pour réussir. L'adoption d'une hygiène de sécurité irréprochable permet déjà de se prémunir d'un grand nombre d'attaques. 
• Tester ses RPA et PRA: L'éventualité d'une attaque réussie étant malheureusement très élevée, il faut avoir un plan de reprise et de continuité des activités solide et surtout testé. Trop souvent, des entreprises se sont reposées sur des PRA qui fonctionnaient en théorie, mais qui, parce qu'ils n'avaient pas été testés en conditions réelles, ont fait faux bond au moment où elles en avaient le plus besoin. 

Faut-il se protéger contre les ransomware?

La question peut paraître étrange tant le portrait que nous dressons de la menace semble alarmiste.  Cependant, certaines entreprises se la posent encore, ou du moins, elles se demandent si les investissements demandés sont vraiment nécessaires, notamment parce qu'il reste encore difficile de mesurer précisément l'impact d'une attaque ransomware. Pourtant, la réponse est évidente : oui il faut prendre la menace au sérieux et se protéger. Surtout, il ne faut pas se dire qu'en cas d'attaque, il faudra juste payer la rançon. Le versement de cette dernière n'est absolument pas une certitude de remédiation et pire, elle ne garantit pas que vous ne serez pas attaqué à nouveau dans les mois qui suivent la première attaque. 

Que faire après une attaque ransomware?

Comme dit plus haut, la potentialité de subir une attaque ransomware est quasiment assurée au regard du nombre d'attaques. C'est pourquoi il faut avoir un plan clair sur ce qu'il faut faire en cas d'attaque. Voici les principaux éléments:

• Circonscrire l'attaque: Dès l'attaque détectée, il faut, dans la mesure du possible, isoler les éléments infectés pour éviter qu'elle ne puisse se propager plus loin. Dans les cas les plus extrêmes, certains sont même allés jusqu'à directement débrancher les switchs réseau pour empêcher la propagation. Les solutions de microsegmentation permettent en général d'isoler rapidement les éléments qui peuvent être touchés. 
• Alerter les autorités: Cette étape qui est devenue une obligation légale doit se faire le plus rapidement possible, en précisant quelles sont les données qui ont pu être impactées ou dérobées. Par ailleurs, les organismes tels que l'ANSSI ou Cybermalveillance.gouv en France peuvent également dépêcher des équipes et accompagner les entreprises touchées grâce à la solide expérience qu'ils ont acquise ces dernières années.
• Ne pas payer la rançon: Tant que possible, il faut temporiser avec les hackers et ne pas payer la rançon. Comme dit plus haut, le paiement de celle-ci, en échange d'une récupération des données ou pour éviter la diffusion de celles-ci, ne garantit absolument que les promesses faites seront tenues. Par ailleurs, le paiement de la rançon ne fait qu'encourager les hackers à continuer.
• Enquêter: Avant de penser à redémarrer un SI, il faut comprendre comment celui-ci a été infecté, à quel moment et quels sont les actifs qui sont touchés. Il est primordial d'avoir ces informations pour pouvoir sereinement préparer la reconstruction du SI. Il faut non seulement s'assurer de ne pas restaurer des éléments encore infectés, mais également de savoir quelles parties du SI peuvent être redémarré sans avoir à être restaurées, ce qui limite considérablement la charge et accélère les temps de redémarrage. Tant que possible, on évitera d'avoir à restaurer tout le SI et de se concentrer sur les parties endommagées. 
• Reconstruire et restaurer: Une fois la phase d'enquête terminée, les entreprises peuvent se lancer dans la remise en place de leurs systèmes d'information. Si leur Plan de reprise après sinistre (PRA) est prêt et fonctionnel, les entreprises peuvent s'appuyer dessus pour restaurer les parties du SI impactées et débarrassées de toutes traces de ransomware. Dans d'autres cas, il faudra peut-être reposer une toute nouvelle architecture.

Conclusion

La menace ransomware ne peut aujourd'hui plus être ignorée. Non seulement les entreprises doivent se protéger contre ces derniers, mais elles doivent également s'assurer d'être prêtes dans le cas où elles seraient frappées. Si une bonne protection contre les ransomwares ne permet d'éliminer tous les risques, certains éléments laissent toutefois espérer que l'impact des attaques peut être minimisé. Par ailleurs, l'état de la menace n'est pas figé. Tous les jours, les hackers cherchent de nouvelles failles et de nouvelles techniques à exploiter pour arriver à leurs fins. La lutte contre les ransomwares doit donc être un travail qui se fait sur la longueur et qui demande de réviser constamment sa posture de sécurité, mais aussi de toujours avoir un plan prêt à être exécuté en cas d'attaque.

Ressources Associées

• Qu'est-ce que la sécurité des applications ?
• Qu'est-ce que la sécurité du cloud ?
• Qu'est-ce que la reprise après sinistre (DR) ?
• Qu'est-ce que la reprise après sinistre en tant que service (DRaaS) ?
• Qu'est ce que la Microsegmentation?