Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

02/02/2022

Cybersecurity Insights

Face aux rançongiciels, êtes-vous préparés ?

« La question n’est pas si vous allez être victime d’un rançongiciel, mais quand »

L’année 2021 a été marquée par de nombreuses attaques informatiques et principalement par des rançongiciels. Nous pensons à l’attaque qui a forcé Colonial Pipeline aux Etats-Unis à arrêter ses activités, à celle d’Axa Partners en Asie ou à celle d’Acer qui contenait une demande de rançon d’un montant non égalé pour le moment (50 millions de dollars). Nous comptons aussi les attaques contre les établissements publics comme les hôpitaux, toutes les PME et ETI qui en sont victimes chaque jour, et toutes celles qui ne rendent pas l’information publique.

Il est important d’avoir à l’esprit que les attaques par rançongiciel ne sont pas toujours ciblées et que des attaques en chaîne peuvent toucher les organisations qui ne sont pas assez protégées même si elles ne se considèrent pas comme ayant un intérêt particulier pour les cybercriminels en termes de secteurs ou de ressources financières.

Les principales méthodes d’infection des rançongiciels

Tout d’abord, pour pouvoir se préparer aux rançongiciel, il est essentiel de comprendre comment ils peuvent infecter votre équipement et se propager dans votre réseau.

Les méthodes principales d’infection des rançongiciels sont les suivantes :

  • L’hameçonnage et l’ingénierie sociale

L’une des méthodes les plus courantes d’infection par rançongiciel est l’envoi de mails indésirables contenant une pièce jointe vérolée ou un lien vers un formulaire de demande d’identifiants. Cette technique tend à être de plus en plus connue des utilisateurs mais elle fonctionne toujours très bien car il suffit qu’une seule personne considère le message comme légitime pour infecter tout un système d’information. Les contenus sont aussi de plus en plus ciblés et personnalisés, ce qui demande d’autant plus de vigilance de la part des utilisateurs.

  • Les sites web compromis

Aussi appelée « attaque par point d’eau », il s’agit d’une compromission d’un site que la victime a l’habitude de fréquenter. Ce type d’attaque est destinée à infecter les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblée.

  • Les publicités malveillantes

Si un site web héberge et affiche une publicité compromise, celle-ci peut propager et installer des logiciels malveillants sur les ordinateurs.

  • Le téléchargement d’applications et de fichiers infectés

Les logiciels piratés hébergés sur les sites de partage de fichiers illégaux sont des vecteurs privilégiés de compromission.

  • L’attaque par force brute via RDP

Remote Desktop Protocol permet à un administrateur d’accéder à l’équipement d’un utilisateur à distance pour en prendre le contrôle, mais il peut être utilisé par les cybercriminels à des fins malveillantes. Une fois que les ordinateurs cibles sont identifiés, ils lancent une attaque par force brute (qui consiste à tester, l’une après l’autre, chaque combinaison possible d’un mot de passe ou d’une clef pour un identifiant donné pour se connecter au service ciblé) afin de découvrir le mot de passe administrateur et de prendre le contrôle des machines.

  • Attaque préprogrammée

Les kits d’exploit sont des programmes réalisés par avance qui ciblent des vulnérabilités de modules de navigateurs tels que Java et Adobe Flash. Les kits ne sont pas en eux-mêmes malveillants mais ils peuvent contenir un virus. Ces kits sont vendus ou loués directement aux criminels qui les dissimulent dans des sites web, des publicités ou les envoient par mail directement aux victimes.

Ces méthodes d’infection ne concernent pas uniquement les rançongiciels mais tous les logiciels malveillants de manière générale qui peuvent bloquer l’activité. Cependant l’accent est mis aujourd’hui sur les rançongiciels car ce sont les attaques les plus courantes actuellement.

Ensuite, pour se protéger de ces attaques, il est nécessaire de prendre en considération les risques qu’elles impliquent.

L’extorsion à plusieurs niveaux des rançongiciels

Le risque des rançongiciels n’est plus à présent uniquement de se voir chiffrer ou détruire ses données, de nombreux cybercriminels opèrent à présent une extorsion à plusieurs niveaux.

Les cybercriminels fonctionnent comme des entreprises et souhaitent maximiser leurs gains en innovant. Leurs innovations consistent principalement en l’augmentation de leur surface s’attaque et des multiplications de leurs moyens d’extorsion. Le schéma classique de destruction ou de chiffrement des données leur permettait de bloquer l’activité de l’entreprise, de manière irrécupérable ou de manière temporaire contre le paiement d’une rançon. Pour augmenter la pression sur les organisations, ils ont mis en place la menace de l’exfiltration des données dans le cas où la rançon n’était pas payée dans un temps imparti. En plus du risque d’indisponibilité des données s’adjoint celui de la perte en confidentialité.

S’ajoute aussi à présent les attaques par déni de service réalisées en parallèle de l’attaque principale pour bloquer le reste de disponibilité de l’activité de l’organisation (cf. article ransomware DDoS ). Dans le même temps, et lors des négociations avec les victimes, les cybercriminels leur interdisent de coopérer avec les forces de l’ordre sous peine de publication des données.

Une attaque informatique peut alors se révéler de plus en plus déstabilisante et menacer la survie de l’organisation. Il est aussi essentiel de garder à l’esprit que des données volées le seront toujours et que payer une rançon et retrouver sa tranquillité perdue n’engage que ceux qui y croient.

L’évolution de la menace est telle qu’il est essentiel pour les organisations de se tenir au courant et d’agir de manière proactive pour l’éviter.

Suis-je préparé ?

Les normes et guides de sécurité proposent de nombreuses mesures à mettre en place pour couvrir un ensemble de risques touchant la sécurité de l’information. Combien de ces mesures sont efficaces dans la lutte contre les rançongiciels ? Comment aident-elles réellement ?

Nous avons conçu un outil d’auto-évaluation permettant à chacun d’estimer sa capacité de résistance face à un rançongiciel, en répondant à 27 questions. Basée sur le guide publié par l’ANSSI[1], la réponse est décomposée en 3 moments clés dans la lutte contre les rançongiciels :

Parmi toutes les mesures que j’ai mises en place, ai-je fait le maximum pour :

  • Prévenir l’attaque par exemple en augmentant la vigilance des utilisateurs, avec des moyens de détection techniques déployés sur mes équipements ?
  • Ralentir la contamination avec un cloisonnement et un filtrage du SI, des outils de détection capable d’isoler les équipements contaminés ?
  • Détecter et réagir avec des moyens prêts à l’emploi en cas d’attaques : sauvegardes déconnectées, cellule de crise indépendante du SI ?

Les tendances pour 2022

L’évolution des rançongiciels nous oblige à considérer que cette menace continuera d’être prépondérante en 2022. De surcroît, des changements organisationnels, comme la généralisation du télétravail, vont nécessairement amplifier cette croissance. Les cybercriminels continueront de s’adapter aux mesures de protection mises en place par les organisations pour les détourner et instaurer de nouveaux leviers de pression.

L’attribution, déjà difficile, va se complexifier, avec les groupes de rançongiciel qui sous-traitent leurs attaques à des affiliés en utilisant des Ransomwares As A Service, ainsi que l’organisation de certains groupes en cartel pour partager leurs connaissances et permettre leur diversification.

D’un point de vue plus positif, cette croissance et une prise en compte de la menace de plus en plus importante au sein des organisations va possiblement permettre de créer de nouvelles initiatives internationales pour la combattre.

WEBER-Ophelie

Ophélie WEBER

Consultante Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

13 novembre 2023
Version révisée (Edition 4) de la norme ISO/CEI 27005 : Almond vous propose un top 3 des changements normatifs et des précisions sur leurs implications directes dans les travaux des Risk Managers au sein des organisations.
19 octobre 2023
C’est ce que tente d’éclairer cet article en explorant les avantages d’une approche ISO 27001 pour structurer les réponses attendues par vos clients dans les questionnaires SSI qu’ils vous transmettent.
16 octobre 2023
L'authentification multi-facteurs, un sujet toujours d'actualité à ne pas négliger !
11 octobre 2023
Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.
5 octobre 2023
Did you ever imagine that you or your colleagues could be a serious threat to your company? Discover our study: Insider Threat !
29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
16 juin 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
12 juin 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 juin 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
2 juin 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Laïus explicatif : L’ISO 27001 est une norme internationale, dont les entreprises peuvent se prévaloir en se faisant certifier par un organisme indépendant ; elle contient un ensemble d’exigences que chaque entreprise, quels que soient sa taille et son domaine d’activité, doit impérativement appliquer pour obtenir sa certification ; ses exigences constituent donc le référentiel des audits de certification. A ne pas confondre avec la norme ISO 27002 qui est constituée de recommandations, basées sur les bonnes pratiques internationales, permettant d’aider une entreprise à appliquer les exigences de la norme ISO 27001 (donc norme qui ne donne pas lieu à une certification).

Les exigences de la norme ISO 27001 portent sur les informations nécessaires à une entreprise, recueillies et/ou traitées, quel que soit son support, électronique, papier et oral.

Les trois critères de sécurité retenus par la norme ISO 27001 sont la confidentialité, l’intégrité et la disponibilité des informations. Tout événement, qu’il soit d’origine environnementale ou humaine, intentionnelle ou involontaire, impactant un de ces trois critères, relève de cette norme.

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Laïus explicatif : Une attaque DDoS ou « Distributed Denial of Service » est une attaque visant à rendre indisponible un site en le submergeant de requêtes provenant de multiples sources. Dans le cas où toutes les requêtes proviennent de la même source, on parle simplement d’attaque DoS (« Denial of Service »), ou « par déni de service ».

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Laïus explicatif : DORA ou Digital Operational Resilience Act est un règlement européen publié en 2022 et en vigueur depuis janvier 2023. Le règlement traite de la résilience opérationnelle numérique du secteur financier. Il est applicable aux entités financières comme les banques, assurances, entreprises d’investissement, les établissements de paiement, etc. mais également aux tiers prestataires de services informatiques. Les entreprises concernées ont deux ans pour se mettre en conformité. Ils devront donc l’être en 2025 !

Le pilier relatif à la gestion des risques liés aux prestataires tiers de services TIC apparait comme l’un des plus difficile à mettre en place et à maintenir dans le temps pour les entreprises concernées. En quelques mots, les entreprises devront considérer ces risques comme faisant partie intégrante du risque lié aux technologies de l’information et de la communication (TIC) et notamment le risque de concentration, au niveau de l’entreprise mais également au niveau de l’ensemble du secteur financier européen. En effet, les autorités devront analyser ce risque en analysant les registres tenus et communiqués par les entreprises concernées par DORA et qui recense notamment la liste des tiers prestataires de services TIC avec lesquelles les entités financières conclues des contrats.

Pour plus d’informations, consultez notre avis d’expert sur le sujet : https://almond.eu/cybersecurity-insights/explorons-dora/