Pourquoi les ransomware gagnent-ils encore autant ?

Les ransomware n’en finissent pas Leurs attaques sont assez simples. Un logiciel malveillant est installé. Les données et/ou le système sont chiffrés. Une rançon est demandée. Pourquoi ne pouvons-nous donc pas contrer les ransomware ?  Les fournisseurs de systèmes de sécurité connaissent bien le problème ainsi que les vecteurs et les méthodes d’attaque. Mais ils ne semblent pas réussir à garder une longueur d’avance. En conséquence, les dommages causés par les ransomware sont passés d’un milliard de dollars en 2016 à une estimation de 5 milliards de dollars en 2017. Il existe deux raisons principales pour lesquelles les ransomware continuent à faire le « succès » des cybercriminels.

Raison n° 1 : Les compétences des concepteurs de logiciels malveillants s’améliorent

Au moment où nous pensons avoir maîtrisé un problème de ransomware, nos adversaires changent de tactique ou créent de nouvelles techniques pour nous contrer et provoquer plus de dommages et de détresse. Nous avons récemment vu des ransomware tels que WannaCry tirer parti de vulnérabilités non corrigées du service SMB de Windows pour se propager sur les réseaux, en particulier ceux pour lesquels SMB était ouvert sur l’Internet. C’est une technique astucieuse empruntée aux vers informatiques Windows de la seconde moitié des années 90 tels que Sasser. Nous avons aussi vu des concepteurs de logiciels malveillants développer de nouvelles techniques d’installation du code malveillant sur les ordinateurs par l’intermédiaire de Microsoft Office. Alors que la menace des macros malveillantes contenues dans les documents Office existe depuis de nombreuses années, nous assistons maintenant à l’utilisation d’un protocole Microsoft appelé Dynamic Data Exchange (DDE) pour exécuter le code malveillant. À la différence des attaques par macros, une attaque par DDE n’affiche ni invite, ni avertissement, ni fenêtre contextuelle. L’exploitation de la faille de sécurité est bien plus efficace et fructueuse.

Les avancées technologiques des concepteurs de malware sont importantes, mais leurs compétences non techniques telles que l’ingénierie sociale s’améliorent également. Une meilleure rédaction, une présentation des e-mails plus réaliste et même de solides tactiques d’ingénierie sociale contribuent toutes à leur succès croissant.

Et si vous êtes bon dans ce que vous faites, offrez le sous forme de service et faites-en profiter ceux qui ont les mêmes intérêts, mais n’ont pas vos compétences.  Ainsi, le « crime en mode SaaS » et les « malware en mode SaaS » existent désormais et aggravent le problème des ransomware. La disponibilité et la facilité d’utilisation de ces plateformes permettent à n’importe qui de se tourner vers le cybercrime et les ransomware avec peu ou pas d’expérience en matière de codage ou de logiciels malveillants. Ces plateformes et ces réseaux sont dirigés par des bandes cybercriminelles organisées et génèrent des revenus importants. C’est pourquoi nous ne les verrons pas disparaître de si tôt.

Raison n° 2 : Nous sommes la cause de nos propres problèmes

Bien évidemment, il y a un problème important que nous sommes nombreux à ne pas avoir encore résolu. Ce sont les faiblesses que nous créons nous-mêmes et qui deviennent des points d’entrée pour les cybercriminels. WannaCry a eu le succès que nous lui connaissons parce qu’il tirait parti d’une vulnérabilité Windows non corrigée. Il en est de même pour NotPetya. Quelles sont donc ces faiblesses ?

  1. Un manque de correctifsNous continuons à nous saboter nous-mêmes avec ça, car nous n’avons pas de routines éprouvées de protection et de prévention qui comprennent le patching des systèmes d’exploitation et des applications, en particulier celles mises à profit par les créateurs de ransomware pour obtenir un accès.
  2. Pas assez de sauvegardes (fiables) — Le manque de sauvegardes validées (le principal outil de reprise anti-ransomware) peut nous laisser exposés et non productifs. C’est une équation simple : si vous avez des sauvegardes, vous choisissez la restauration au lieu du paiement de la rançon.
  3. Sensibilisation des utilisateurs — Les utilisateurs ne comprennent tout simplement pas la menace, les conséquences et les coûts d’une infection par ransomware. Mais ce n’est pas vraiment leur responsabilité. Ils ont déjà un travail à effectuer en matière de comptabilité ou de ventes et non de sécurité informatique. Même dans ce contexte, une bonne formation en matière de phishing et de tests peut faire une grande différence.
  4. L’absence de moindres privilèges — Plus un utilisateur a d’accès, plus la surface d’infection par ransomware est grande. Sachant que 71 % d’utilisateurs finaux déclarent avoir accès à des données de l’entreprise qu’ils ne devraient pas voir[1], l’IT a un sérieux travail à faire pour s’assurer que les privilèges sont attribués de manière adéquate.
  5. Une défense à un seul niveau — Une solution de sécurité unique telle qu’un antivirus peut seulement offrir une protection limitée à l’entreprise. Il vous faut des solutions telles qu’IPS, une passerelle de courrier électronique, une protection des postes de travail et plus encore, le tout fonctionnant de concert pour donner aux ransomware aussi peu de chances que possible.

Faire quelque chose à propos du problème des ransomware

Que devez-vous faire pour empêcher les ransomware d’atteindre leur but ? Vous cacher ? Prendre la fuite ? Vous déconnecter de l’Internet ? Même si vous tentez de rester hors de portée, il est probable qu’aucune de ces idées ne résolve le problème. J’ai mentionné ci-dessus l’idée de nombreuses couches de défense. Alors que la « défense en profondeur » peut sembler un peu périmée et avoir disparu quand nous avons perdu le contrôle du périmètre réseau, il y a certaines idées que nous pouvons lui emprunter :

  1. Défense en profondeur — Assurez-vous de disposer d’une solide sécurité proactive, incluant notamment patching, moindres privilèges, formation des utilisateurs, etc.
  2. Protection des postes de travail — Les solutions de protection des postes de travail et des ordinateurs de bureau peuvent offrir une certaine protection. Cependant, n’oubliez pas que les malware peuvent s’adapter à ces solutions et les contourner.
  3. Prévoir le pire — Les ransomware semblent toujours trouver une brèche et vous devez vous assurer d’être en mesure de rétablir une exploitation normale quand ça arrive. Les sauvegardes, les sauvegardes hors site et les sauvegardes sur des types de supports différents sont essentielles. Assurez-vous de tester également leur restauration pour ne pas chercher comment restaurer une sauvegarde en situation de crise. On dit qu’un dur entraînement assure une victoire facile. Cela n’a jamais été aussi vrai pour les plans d’urgence de l’IT.

Mettez ces trois choses au point et vous serez beaucoup plus apte à endiguer le flot des ransomware et à passer des jours, des nuits ou des week-ends tranquilles.

 

[1] Ponemon, Corporate Data: A Protected Asset or a Ticking Time Bomb? (2014)

Exit mobile version