Ransomwares, la menace est loin d’être écartée

Identifié pour la première fois en 2013, CryptoLocker a ouvert la voie aux désormais célèbres ransomwares. Une tendance qui n’est pas prête de s’arrêter !

Qu’est-ce que c’est ?

Cryptolocker fait partie de la famille des ransomware, ou rançongiciel dans la langue de Molière. C’est une catégorie de virus qui chiffre les fichiers présents sur l’ordinateur de la victime et sur les serveurs rattachés (généralement les fichiers textes, tableurs, PDF, images, vidéos etc…) et qui cible plus particulièrement les entreprises.
Ces virus sont tout simplement transmis par email, imitant un expéditeur connu (magasin, organisme gouvernemental, société immobilière…) et incitant au téléchargement ou à l’ouverture d’une pièce jointe (dans 80% à 90% des cas, il s’agit d’un PDF). Une fois activé, le ransomware va ensuite réclamer une rançon contre la clé de déverrouillage qui permettra de décrypter les fichiers de l’utilisateur. Généralement cette demande de rançon s’accompagne d’un délai de prescription (entre 72 et 90 heures selon le ransomware) au-delà duquel l’utilisateur ne pourra plus payer la rançon.

Le premier réflexe à adopter face à cette situation est de ne surtout pas payer ! Et ce, pour deux raisons. Premièrement parce que payer pour un ransomware, c’est envoyer le message aux cybercriminels que cette technique marche, ce qui les incite encore plus à l’employer. Et deuxièmement, parce que rien ne garantit que le pirate informatique vous rendra accès à vos fichier une fois la rançon payée.

Pourquoi les ransomwares prospèrent-ils ?

En août 2014, un autre ransomware faisait parler de lui, CryptoWall, avec 600000 ordinateurs infectés à travers le monde, 5 millards de fichiers cryptés et un joli pactole de 1 million de dollars pour son créateur.

En février 2015, une hausse importante des attaques de CTB-Locker a été constatée, un ransomware clone de Cryptolocker.

Un business plutôt juteux pour les cybercriminels ce qui explique en partie la popularité et la prolifération de ces attaques. Tellement que le créateur supposé du Cryptolocker orignal est aujourd’hui activement recherché par le FBI.

Aujourd’hui, il existe tellement de variantes et de clones de cryptolocker qu’il est devenu impossible pour les anti-spam de filtrer tous les ransomwares présents sur le web. Il est très difficile de chiffrer le nombre de ransomwares existants mais en moyenne, des milliers voire des centaines de milliers de nouvelle versions sont créées par jour. Ce chiffre n’a rien d’officiel et reste une estimation à la louche mais avec Tox (service en ligne pour créer des ransomwares) et les diverses manoeuvres frauduleuses permises par le « dark web », il reste parfaitement plausible.

Pour résumer: appât du gain + prolifération de clones = prospérité des ransomwares.

Comment s’en prémunir ?

Car oui, il s’agit bien de se prémunir: une fois infecté, il est impossible de récupérer l’accès à ses fichiers! La clé de chiffrement étant de 256 bits, il est impossible de les décrypter (à moins d’y passer 2.84 milliards d’années). Les ransomwares sont l’illustration parfaite de l’expression: « le mal est fait ». Voici donc quatre précautions essentielles à prendre pour se prémunir:

1. Sensibilisez vos employés

Dans le cas des ransomwares, ce sont les employés les meilleurs remparts de protection ou les plus importants vecteurs de risques (au choix). Il faut donc qu’ils soient en mesure de les identifier rapidement et d’avoir les bons réflexes: ne pas ouvrir les emails et les pièces-jointes machinalement, vérifier l’adresse email, sa correspondance avec le nom de l’expéditeur, le contenu de l’email (l’orthographe et la syntaxe notamment) et l’extension de l’adresse email (extensions classiques .com, .be, … ou plus exotiques).

2. Vérifiez vos paramètres de sécurité

Dans l’idéal, vos utilisateurs ne devraient pas avoir les droits d’administrateur sur leur poste de travail. Cela évite le lancement et l’installation d’exécutables (qu’ils soient malicieux ou non). En plus de vous prémunir contre des risques éventuels, cela vous permettra de mieux piloter la sécurité au sein de votre société. En revanche, pour des logiciels plus vicieux comme les ransomwares, l’exécutable est automatiquement téléchargé dans le répertoire temporaire du poste. Pour l’empêcher de s’exécuter, il est possible d’utiliser Windows Applocker. Et bien sûr, faites en sorte de garder vos logiciels à jour et à leur apporter les correctifs nécessaires (les systèmes d’exploitation tout comme les applications tierces).

3. Assurez-vous une bonne protection antivirale

Si les anti-spams ne sont pas en mesure de bloquer tous les ransomwares, c’est parce qu’ils détectent des virus déjà connus. Or, quand ce sont plusieurs milliers de déclinaisons qui naissent chaque jour, les anti-spams sont totalement débordés. Il en va de même pour les antivirus qui fonctionnent sur base de signature. Pour vous garantie une protection optimale contre les ransomwares, préférez l’utilisation d’un antivirus basé sur l’analyse heuristique (analyse des comportements d’un programme). Cette méthode permet de vous prémunir contre la création de variantes des virus puisqu’elle ne prend pas en compte uniquement la signature du virus mais aussi son mode opératoire pour détecter ses variantes.

4. Réalisez des sauvegardes régulières et efficaces !

Assurément le seul moyen de limiter les dégâts si vous êtes victime d’un ransomware.

Sauvegardez régulièrement vos fichiers et évitez les solutions de sauvegardes simplement connectées (par USB par exemple à vos équipements).

Que pouvons-nous faire pour vous aider ?

  1. Réaliser une audit de vos installations informatiques, établir un rapport de votre situation, et tirer des conclusions; vous proposez des améliorations si nécessaires.
  2. Vous accompagner dans le suivi ou la mise en place de solution de sécurité:
    • antivirus
    • firewall
    • VPN (liaison multi-sites, téléworkers, …)
    • wifi
    • équipements mobiles
  3. Vous accompagner dans le suivi et l’optimisation de vos sauvegardes:
    • internes: sauvegardes non connectées, cryptées, et contrôlées; locales ou multi-sites.
    • externes: « cloud », nous avons nos propres installations en datacenter pour externaliser une partie de vos données critiques nécessaires à un redémarrage en cas de désastre, sauvegardes accessibles en tout lieu et à tout moment, indépendantes de vos locaux (en cas d’incendie, inondation, vol, casse, attaque virale, acte de piratage, …)
  4. Vous assister dans la maintenance au quotidien de vos outils informatiques (maintenance, suivi, …).

Nous restons à votre disposition, contactez-nous !