Corporate Finance, DeFi, Blockchain, Web3 News
Corporate Finance, Fintech, DeFi, Blockchain, Web 3 News

Lutter efficacement contre les ransomwares

Comprendre les ransomwares et comment les combattre avec succès


Les ransomwares, ou rançonlogiciels, en interdisant l’accès à des données sensibles, ont inventé un nouveau type de cyber attaque : le chantage numérique. Ils affectent aujourd’hui des victimes dans le monde entier, dans toutes les langues. Ciblant à l’origine exclusivement les systèmes sous Windows, ils touchent désormais d’autres systèmes d’exploitation tels qu’Android (Simplocker) et Mac OS X (KeRanger), et représentent une menace majeure pour les entreprises de toutes tailles, en raison de leur prolifération et de leur popularité grandissante auprès des cyber criminels.

Des solutions existent, qui permettent de limiter efficacement les risques et les dommages causés par les ransomwares, quel que soit le canal qu’ils utilisent pour s’introduire dans les organisations.

Trois types de dommages

Les ransomwares causent trois types principaux de dommages.

Chiffrement de documents et données d’entreprise ou personnelles
Les ransomwares sont conçus pour chiffrer des documents et des données importantes sur un système pour les rendre inaccessibles. Les fichiers chiffrés ne pouvant être restaurés avec des solutions de sécurité disponibles sur le marché, la victime n’a pas d’autres choix que de payer la rançon ou de profiter de sauvegardes pré existantes pour récupérer les fichiers. Dans de nombreux cas, une restauration complète est impossible sans la clé de déchiffrement fournie par l’attaquant. Une fois qu’un ordinateur a été infecté par un ransomware, les dommages sont quasiment toujours instantanés et inévitables.

Dommages indirects
Les ransomwares peuvent aussi causer des dommages indirects sur des équipements tels des serveurs de fichiers ou des systèmes de stockage partagé. Si l’ordinateur de la victime initiale est connecté à ces équipements, le ransomware pourra souvent chiffrer toute la ressource partagée. Lors de campagnes de ransomwares, des cyber criminels peuvent ainsi propager le malware sur d’autres systèmes au sein d’une même organisation. Certains outils utilisés pour télécharger les ransomwares peuvent aussi dérober des identifiants email, ce qui permet aux attaquants de les utiliser pour accroître la propagation du malware.
Grâce à ces mécanismes de prolifération, un seul PC infecté peut disperser un ransomware d’un bout à l’autre d’une entreprise et causer d’importants dommages.

Divulgation d’informations confidentielles durant la restauration des données
Des cyber criminels peuvent aussi entreprendre de dérober des données dans des systèmes affectés par des ransomwares. Dans de multiple cas, des acteurs malveillants ont déployé sur leurs victimes simultanément des ransomwares et des outils conçus pour dérober des données. Les infections de ransomwares servent souvent de point d’entrée pour permettre aux attaquants d’exécuter d’autres actions malveillantes.

Identifier les mécanismes d’attaque

Il n’existe pas de réponse unique pour lutter contre la menace posée par les ransomwares. La victime typiquement soit paie la rançon et espère ainsi avoir résolu le problème, soit risque des dommages importants tout en essayant de restaurer lui-même ses données.

Payer la rançon n’est pas une solution satisfaisante. En dehors du fait que cela représente un coût financier pour la victime, cela accroît la motivation de l’attaquant et l’incite à renouveler ses attaques. Les forces de l’ordre ne font aucune recommandation en ce sens et insistent plutôt sur la prévention et les plans d’urgence en cas d’attaque.

En règle générale, prévenir les attaques de ransomwares passe d’abord par le maintien des systèmes d’exploitation et des logiciels parfaitement à jour, et le respect par les employés des meilleures pratiques lors de leurs navigations sur Internet. Accroître la sécurité des emails pour bloquer les messages de ‘phishing’ est également très efficace. En cas d’infection, des sauvegardes régulières peuvent également limiter les dommages et accélérer les délais de restauration.

En dehors de ces mesures simples, les organisations doivent avant tout s’attacher à identifier les mécanismes d’intrusion des ransomwares, et mettre en place des solutions de sécurité capables de protéger leurs informations critiques.

Les ransomwares s’introduisent dans les systèmes via deux canaux principaux : le web et les emails.

Infection via le web

Les ransomwares peuvent s’introduire dans les systèmes via des sites web en utilisant des malwares de type ‘exploits’. L’attaquant infecte un site légitime ou infiltre un réseau publicitaire pour insérer du code qui redirige la victime vers un autre site qui contient l’exploit. Une fois avoir infecté l’ordinateur de la victime, le ransomware se connecte à un serveur de commande et de contrôle qui permet à l’attaquant de collecter des informations utiles.

Quatre mesures peuvent aider à réduire efficacement les dommages causés par des ransomwares introduits via le web :
• Une analyse précise de tout le processus d’infection, du site web légitime auquel l’utilisateur a accédé au départ à la page redirigée et au site de l’infection finale.
• La désactivation des scripts fonctionnant sur le navigateur.
• Une analyse comportementale du code malicieux pour déterminer sa dangerosité et les facteurs d’infection.
• Le blocage des accès au serveur de commande et de contrôle.
La mise en place de l’une quelconque de ces mesures peut limiter l’impact d’un ransomware.

Infection via email

Les emails représentent le principal canal d’infection des ransomwares. Lorsqu’ils sont introduits par ce biais, ils sont délivrés via des pièces jointes et des liens dans le message lui-même. Les attaquants utilisent souvent des techniques d’ingénierie sociale pour amener la victime à ouvrir la pièce jointe ou cliquer sur le lien.
Des fonctions d’analyse comportementale sont les plus efficaces pour bloquer proactivement les attaques et réduire ainsi les risques d’infection.

Mettre en place des solutions de sécurité adaptées

Un certain nombre de solutions « anti ransomwares » existant sur le marché se concentrent uniquement sur les sauvegardes de fichiers et sur la détection de types spécifiques de malwares. Et ne fournissent pas d’informations claires sur le canal emprunté par les attaquants, ou sur les moyens nécessaires pour bloquer efficacement les attaques.
Les meilleures solutions s’attachent au contraire à fournir une visibilité complète sur les tactiques et processus employés par les attaquants. Et fournissent une stratégie de réponse spécifique pour chaque canal d’intrusion (web et email).

La sécurité des emails est la première ligne de défense

Des solutions de sécurité des emails sont aujourd’hui capables de bloquer efficacement les ransomwares distribués via des pièces jointes ou des liens malveillants, en exécutant et analysant les contenus suspects avant que les messages ne parviennent à leurs destinataires.

Des solutions existantes permettent aussi de limiter les attaques par ransomware via le web en identifiant les sites de distribution des ‘exploits’ et en les bloquant.

Les tactiques d’intrusion des ransomwares comprennent trois étapes principales.

Infection initiale
A cette étape, la victime est redirigée d’une page web normale vers le site de distribution du code malicieux, puis ‘l’exploit’ est activé. Les meilleures solutions de sécurité réseau sont capables d’identifier les processus d’attaque dans le trafic web. Ceci permet aux organisations de savoir quels sites web sont utilisés comme sites de distribution de ransomwares et d’appliquer des politiques actives de blocage de ces sites.

Chiffrement des fichiers
A ce stade, les systèmes infectés par un ransomware peuvent manifester un comportement inhabituel. Si le ransomware n’a pas été identifié à l’étape de l’infection initiale mais s’il est détecté au cours de la phase de chiffrement des fichiers, la solution doit réaliser une analyse détaillée du code malicieux et utiliser des indicateurs d’infection pour bloquer le ransomware, mettre en place des mesures de réduction de la menace et identifier les ordinateurs infectés. Par exemple, si le ransomware démontre sa capacité à désactiver la fonction de restauration des fenêtres ou à chiffrer les fichiers, la solution analyse ces comportements et fournit des indicateurs détaillés à l’utilisateur. Ceci non seulement aide à détecter une attaque identique contre d’autres utilisateurs, mais peut aussi prévenir la propagation du ransomware dans l’ensemble du réseau.

Systèmes de commande et de contrôle
A cette étape, le ransomware envoie des informations sur l’infection à des serveurs de commande et de contrôle ou reçoit de ceux-ci les clés de chiffrement. Les meilleures solutions sont capables de détecter et de bloquer l’accès des malwares à ces serveurs. Si le ransomware ne peut communiquer avec ses serveurs de commande et de contrôle, il ne peut pas chiffrer les fichiers ou causer d’autres types de dommages.

David Grout, CTO EMEA de FireEye

FINYEAR & CHAINEUM

Lisez gratuitement le quotidien Finyear & sa newsletter quotidienne.
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en finance digitale, corporate finance & crypto finance.

Read for free The daily newspaper Finyear & its daily newsletter.
Receive the Finyear's newsletter every morning by email, a daily snapshot of the best news and expertise in digital finance, corporate finance & crypto finance.

------------------------

Chaineum :
Fondée en 2015, Chaineum est un cabinet de conseil en opérations de haut de bilan offrant une expertise de premier plan en matière d’ICO et STO, avec une vision stratégique orientée tant vers le métier de ses clients que sur la technologie blockchain. A ce titre, Chaineum a participé à la mise en œuvre de bonnes pratiques dans le secteur (ICO Charter, Security Token Network).
La division services blockchain de Chaineum, développe la technologie Chaineum Segment, une blockchain privée orientée objets.

About Chaineum:
Founded in 2015, Chaineum is a leading corporate finance advisory firm with a strong expertise in ICO and STO, and a strategic focus on both its clients' business and blockchain technology. As such, Chaineum paved the way in the implementation of certain best practices in this sector (ICO Charter, Security Token Network).
Chaineum's blockchain services division, is developing Chaineum Segment technology, an object-oriented private blockchain.

-------------------------

No Offer, Solicitation, Investment Advice, or Recommendations

This website is for informational purposes only and does not constitute an offer to sell, a solicitation to buy, or a recommendation for any security, nor does it constitute an offer to provide investment advisory or other services by FINYEAR.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.

Jeudi 19 Septembre 2019




OFFRES D'EMPLOI


OFFRES DE STAGES


NOMINATIONS


DERNIERES ACTUALITES


POPULAIRES