Nous avons tous entendu parler des attaques ransomware. Nous savons plus ou moins ce qui se passe avec ce type de stratagème criminel mais nous avons très peu de visibilité sur ce qui se passe après l’attaque.

Cependant, pour se rendre compte de la réalité du danger, il faut comprendre ce qui se passe après. C’est ce qui va nous permettre de comprendre pourquoi il est extrêmement important de contrôler et analyser chaque accès aux machines, serveurs et fichiers.

Que se passe-t-il après l’attaque ?

Retenez une chose, pendant l’attaque, pendant qu’ils sont en train de chiffrer tous vos fichiers, les attaquants continuent  leur travail. Dans de plus en plus de cas aujourd’hui, l’activité principale d’une attaque de ransomware se passe après l’attaque.

Ils ne se contentent pas de juste infiltrer votre machine, ils analysent ensuite tous vos documents volés. Lorsqu’on parle de ransomware aujourd’hui, il ne s’agit plus du simple cryptage des informations, il s’agit d’un accès pour ensuite tout autoriser. Les hackers sont devenus maître de votre machine et ils comptent bien vous faire chanter.

Il y a un état d’esprit marketing flagrant face à la malveillance mise en place:

• La première étape consiste à prendre en otages les machines et les fichiers par chiffrement puis à vous demander de payer le déchiffrement de ces fichiers.
• La deuxième étape consiste à menacer de divulguer les informations volées pour alerter les autorités. Avec les réglementations de type RGPD et la possibilité de lourdes amendes pour non-divulgation d’attaques, cette deuxième étape est de plus en plus courante.
• La troisième étape consiste à vendre aux enchères les données volées pour les entreprises qui n’ont pas payé aux deux premières tentatives de chantage.

Vente aux enchères des données volées

Il faut que vous sachiez que tout est à vendre : les identifiants, les mots de passe et finalement toutes les données qu’ils ont pu collecter. Les hackers font des échantillons – un peu comme chez le parfumeur – puis ils contactent les parties potentiellement intéressées. Un dépôt de garantie vous permet ensuite de participer à la vente aux enchères en ligne de style eBay.

Locations et redevances avec RaaS

Le modèle commercial a changé. Ce ne sont plus seulement les opérateurs du ransomware qui peuvent vous attaquer. Avec le ransomware-as-a-service (RaaS), à peu près n’importe qui peut désormais lancer une attaque ransomware. Le fonctionnement est assez simple. Il suffit de payer un taux pouvant aller de 10$ à plusieurs centaines ou milliers de dollars. Même si vous n’y connaissez rien, il y a des outils qui vous permettent malheureusement de nuire à tout le monde. Grace à ces outils, vous pouvez infiltrer, copier, crypter, envoyer des messages et négocier.

Souvent, des redevances sont également collectées par l’opérateur RaaS, pouvant aller de 30% à 70% du montant généré par le ransomware. Dans le cas d’un grand cabinet d’avocats à New-York, par exemple, les attaquants ont demandé une rançon de 40 millions de dollars – vous imaginez bien que 30% de ce montant peut être une véritable motivation pour l’opérateur RaaS de partager ses outils! Plusieurs opérateurs créent même des vidéos promotionnelles pour vous vendre leurs «jouets». Vous aurez donc compris qu’entre ces vidéos et les nombreuses options complémentaires qu’ils proposent, il existe un état d’esprit marketing clair.

Comment se protéger ?

Nous avons affaire à des hackers de plus en plus organisés et sophistiqués. C’est encore plus terrifiant de savoir que la technologie des ransomware devient désormais accessible à tous, y compris à certains employés qui souhaiteraient se venger d’une entreprise.

La sécurité informatique à 100% n’existe malheureusement pas. C’est pourquoi il faut être organisé à l’avance afin d’être prêt pour le jour où ce genre de catastrophe se produit. Que faut-il faire? Que ne faut-il surtout pas faire?

Il faut mettre en place des mesures préventives et proactives clés afin de fournir des couches supplémentaires de défense contre les attaques de ransomwares.

1. Protection contre les vulnérabilités

Les vulnérabilités de votre environnement sont une cible de choix pour les hackers. C’est pourquoi vous devez vous assurer que vos systèmes d’exploitation et vos applications soient sécurisés. Cela peut vous sembler basique mais la réalité montre que même dans les environnements censés être complètement sécurisé, des vulnérabilités continuent d’exister et permettent aux attaquants d’accéder au réseau.

1. Protection contre les menaces

Si un hacker réussi à entrer, il vous faut avoir un moyen de le stopper avant qu’il ne puisse faire quelque chose de vraiment malveillant. Il existe de nombreuses solutions de sécurité qui peuvent neutraliser une menace ou moment où elle montre le bout de son nez : AV, protection des points de terminaison, liste blanche des applications…etc.

1. Protection de l’environnement

Les attaques ne peuvent être un succès sans connexion préalable au système contenant les données importantes. Afin d’arrêter les identifiants compromis et les accès non autorisés au réseau, il faut mettre en place une authentification à deux facteurs associée à des contrôles d’accès contextuels et à une surveillance des connexions. Cela vous aidera à stopper l’attaque bien avant qu’elle ne se produise.

1. Protection des données

Ici, il faut imaginer que les attaquants ont réussi à franchir les trois premières couches de sécurité ci-dessus. Ils sont donc sur votre réseau et ont accès à vos données. Il vous faut donc un moyen de surveiller vos données de valeur. Pour cela, il faut utiliser un audit d’accès au niveau des fichiers afin d’identifier et d’informer l’équipe informatique dès lors qu’un accès inapproprié se produit.