8 avril 2016
Commentaires : 0

Ransomware, préconisations de nos experts

Le pôle Sécurité du groupe ACESI a émis à l’intention de tous un petit guide pour apprendre à connaître et reconnaître une tentative d’infection par ransomware, à s’en prémunir et à réagir de la meilleure façon possible en cas d’intrusion.


Or à l’heure où le nombre d’attaques par ransomware, ces malwares qui cryptent vos fichiers en RSA-2048 et vous demandent tout bonnement de payer une rançon pour recevoir la clé de décryptage, n’a jamais été aussi élevé, il est bon d’éveiller et de sensibiliser tous les publics à ce fléau.


Et ce n’est qu’un début, car si Locky par exemple, qui cible actuellement surtout l’Allemagne et la France, correspond au ransomware classique, d’autres plus élaborés émergent.

Ainsi Petya est un Trojan qui non seulement rend vos fichiers inutilisables mais réécrit de surcroit le secteur principal de démarrage (MBR) et désactive la possibilité de redémarrer en mode sans échec. Les instructions sont alors directement affichées sur un bel écran rouge après le démarrage du terminal…


Et les personnes malintentionnées derrière tout cela ne cessent de faire preuve d’imagination. Ainsi dernièrement, Cerber vous donne les instructions vocalement, Chimera vous propose de propager le ransomware pour le compte contre 50 % des profits et plus inquiétant, SAMAS a la capacité de crypter les fichiers du réseau et cherche prioritairement les backups accessibles afin d’empêcher toute restauration


Alors agissez en amont ! Voici les préconisations techniques et organisationnelles de nos équipes :

Le Ransomware va vous infecter le plus souvent à travers un mail avec lien, avec page jointe ou par le biais d’une application vérolée. Il peut également prendre pied dans votre système via un support de stockage ou un terminal qui se connecte au réseau avec un contrôle en amont insuffisant.

Infographie ACESI Group sur l'infection par ransomware à travers un mail compromis

Une fois installé et son contenu téléchargé, en sus du cryptage de vos fichiers et de la demande de rançon qui l’accompagne, il récupère vos contacts et utilise vos informations et mail pour paraitre légitime dans sa propagation.


S’il est à l’heure actuelle impossible d’être à 100 % protégé, il existe plusieurs parades techniques et organisationnelles à mettre en place pour non seulement avoir un risque d’infection fortement diminué mais aussi ne pâtir que peu d’une éventuelle intrusion.


Techniquement :

  • Une passerelle SMTP antispam
  • Une solution d’inspection des exécutables avec sandboxing
  • Une solution d’inspection des flux réseaux au niveau firewall
  • Une solution d’analyse comportementale du poste
  • Une solution antivirale endpoint de nouvelle génération
  • Une stratégie de contrôle d’accès au réseau 802.1x
  • Mise en place de filtrage web HTTP et HTTPS (EAL4+)
  • Mise en oeuvre d’un plan de sauvegarde et de restauration efficace


Au niveau organisationnel :

  • Augmenter la fréquence de mise à jour du moteur antiviral (toutes les 15 minutes)
  • Sensibilisation et formation des utilisateurs
  • Sensibilisation et formation des administrateurs
  • Mise en oeuvre de contrôles (audits internes, campagnes d’ingénierie sociales)
  • Conduite de plans de test du PRA/PCA


Enfin, si malgré tout le ransomware a trouvé une faille exploitable et est présent dans votre réseau, le temps de réaction est critique afin de limiter les actions destructrices de celui-ci :

  • Identifier la ou les machines infectées
  • Les déconnecter du réseau
  • Communiquer à l’ensemble des collaborateurs sur l’incident de sécurité
  • Demander à l’ensemble des collaborateurs d’exécuter un scan antivirus sur leur poste
  • Contacter son prestataire afin d’auditer l’infrastructure et de définir l’impact
  • Réinstaller intégralement les données, les postes ou serveurs infectés depuis la dernière sauvegarde saine.


Identifier et isoler les machines et terminaux visés, posséder une sauvegarde (plusieurs idéalement, selon la règle du 3-2-1) et faire appel rapidement à des experts sécurité sont les clés pour sortir quasi indemne d’une infection potentiellement dévastatrice pour votre métier et votre entreprise. Nos experts sont à votre écoute pour sécuriser, mettre en place les bonnes pratiques ou limiter l’impact, identifier et éradiquer les menaces, contactez-nous !

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *