Les ransomwares ne sont pas un nouveau vecteur d’attaque. En fait, le premier logiciel malveillant de ce type est apparu il y a plus de 30 ans et était distribué via des disquettes de 5,25 pouces. Pour payer la rançon, la victime devait envoyer de l’argent à une boîte postale au Panama.
Aujourd’hui, des kits de ransomware-as-a-service (RaaS) abordables sont disponibles sur le dark web pour que tout le monde puisse les acheter et les déployer, et les attaquants disposent d’un nombre infini de canaux pour infiltrer les organisations en raison de la dépendance aux technologies mobiles et en nuage.
Le déclenchement d’une attaque par ransomware consiste à obtenir un accès discret. Et comme les employés peuvent désormais accéder à vos données de n’importe où, vous avez perdu toute visibilité sur la façon dont ils le font. Pour vous prémunir contre ces attaques, vous ne vous contentez pas de rechercher les logiciels malveillants, vous avez besoin de connaître en permanence vos utilisateurs, les terminaux qu’ils utilisent et les applications et données auxquelles ils accèdent.
Bien que le logiciel malveillant utilisé pour prendre vos données en otage soit appelé ransomware, ce n’est pas ce sur quoi vous devez vous concentrer. Avant de déployer quoi que ce soit, les attaquants doivent avoir accès à votre infrastructure.
Bloquez les attaques de phishing et masquez les applications Web.
Aujourd’hui, les utilisateurs accèdent aux données en utilisant des réseaux que vous ne contrôlez pas et des appareils que vous ne gérez pas, ce qui rend obsolètes les mesures de sécurité sur site dont vous disposiez.
Cela signifie que les acteurs de la menace peuvent lancer des attaques de phishing pour compromettre les informations d’identification des utilisateurs ou exploiter une application vulnérable sans grande conséquence. Et une fois qu’ils sont dans votre infrastructure, ils déploient rapidement des logiciels malveillants pour créer des portes dérobées persistantes qui leur permettent d’aller et venir à leur guise. S’ils escaladent leurs privilèges, il devient presque impossible de les empêcher de se déplacer latéralement et de prendre vos données en otage.
Étape par étape : comment se protéger contre les ransomwares
Un certain nombre d’étapes se déroulent entre le moment où un attaquant accède à votre infrastructure et celui où il demande une rançon. Ces étapes sont décrites dans l’infographie sur l’anatomie d’une attaque de ransomware et voici un résumé de haut niveau de ce qui se passe et de la façon dont vous pouvez protéger votre organisation.
L’une des façons les plus simples pour les attaquants d’obtenir un accès est de prendre le contrôle d’un compte utilisateur en compromettant les informations d’identification par des attaques de phishing. Il est essentiel de pouvoir inspecter le trafic web sur n’importe quel appareil pour empêcher ces attaques d’affecter les utilisateurs de PC et de mobiles. Ainsi, les opérateurs de ransomware ne pourront pas lancer leurs attaques en compromettant les comptes.
Les acteurs de la menace vont également parcourir le web pour trouver une infrastructure vulnérable ou exposée à l’Internet à exploiter. De nombreuses organisations ont des applications ou des serveurs exposés au web pour permettre un accès à distance, mais cela signifie que les attaquants peuvent les trouver et rechercher des vulnérabilités. La dissimulation de ces applications est une tactique de défense essentielle. Cela vous permet de vous éloigner de l’accès débridé fourni par les VPN et de vous assurer que seuls les utilisateurs autorisés accèdent aux données dont ils ont besoin.
Détecter et répondre aux comportements anormaux
Si les attaquants parviennent à pénétrer dans votre infrastructure, ils commenceront à se déplacer latéralement pour effectuer une reconnaissance. Il s’agit de trouver des vulnérabilités supplémentaires dans le but ultime de découvrir des données sensibles. Parmi les mesures qu’ils pourraient prendre, citons la modification de vos paramètres pour réduire les autorisations de sécurité, l’exfiltration de données et le téléchargement de logiciels malveillants.
Certaines de ces mesures ne sont pas forcément malveillantes, mais peuvent être considérées comme des comportements anormaux. C’est là qu’il est essentiel de comprendre le comportement des utilisateurs et des appareils et de segmenter l’accès au niveau des applications. Pour stopper les mouvements latéraux, vous devez vous assurer qu’aucun utilisateur ne peut accéder librement à votre infrastructure et qu’il n’agit pas de manière malveillante. Il est également crucial de pouvoir détecter les privilèges excessifs ou mal configurés afin d’empêcher toute modification de la posture de vos applications et du cloud.
Rendez les données inutilisables
L’étape finale d’une attaque par ransomware consiste à prendre vos données en otage. Outre le chiffrement des données et le verrouillage de vos administrateurs, l’attaquant peut également exfiltrer certaines données pour les utiliser comme levier, puis supprimer ou chiffrer ce qui reste dans votre infrastructure.
L’exfiltration et l’impact sont généralement le moment où l’attaquant révèle enfin sa présence. Les modifications qu’il apporte aux données, qu’elles soient au repos ou en mouvement, déclencheront des signaux d’alarme et il exigera des paiements. Cependant, vous pouvez réduire à néant tous leurs efforts si ces données sont cryptées de manière proactive par votre plateforme de sécurité et qu’elles deviennent absolument inutiles pour l’attaquant. Le chiffrement est un élément essentiel de toute stratégie de prévention des pertes de données (DLP), et le fait de le déclencher.