Les attaques de ransomware ont transformé le paysage des cyberattaques. Ces menaces sophistiquées et persistantes peuvent éteindre rapidement les ordinateurs, arrêter les opérations commerciales, déstabiliser les économies etlimiter l'accès aux biens et services en quelques minutes. Les principales cibles des attaques de ransomwares incluent les organisations des secteurs des services financiers, de lasanté, de la technologie, de la fabrication et de la construction, bien que de nombreux attaquants de ransomwares se soient avérés aveugles dans le choix des cibles. Les gangs de cybercriminalité sondent les vulnérabilités au sein d'une organisation, déterminent comment créer le chaos et la perturbation, puis planifient le profit. Certains hackers optent pour une approche "smashn'grab", tandis que d'autres se cachent discrètement dans les systèmes pendant des mois afin de maximiser les niveaux de perturbation et de gain financier. Une attaque de rançongiciel moyenne coûte aux entreprises environ 3,86 millions de dollars. Des cas exceptionnels, comme le ver rançongiciel WannaCry, ont entraîné des dépenses impayées. On estime que WannaCry a causé 4 milliards de dollars de dommages dans lemonde. 2
Alors que le coût total des ransomwares et des rançons continue d'augmenter, les attaques de ransomwares ne doivent pas nécessairement être une dépense commerciale der outine ni être incluses dans le coût d'exploitation d'une entreprise. Avec des niveaux plus élevés de maturité en matière de cybersécurité, les organisations peuvent développer des environnements plus résilients.
2. TABLE DES MATIÈRES
Introduction................................................. .................................................. .............. 3
Événements récents liés aux rançongiciels .................................................. ........................................ 4
Tendances dynamiques.........................................................................................................................5
Ransomwares, MSP et MSSP ......................................................... .................................... 6
La prévention ................................................. .................................................. ................ 7
Faits saillants de l'entrevue d'experts .................................................. ................................................ 8
La défense ................................................. .................................................. ..................... 9
Étude de cas.........................................................................................................................................dix
Solution et conclusion........................................................................................................................11
2
GUIDE DE PRÉVENTION DES RANSOMWARE DU CIISO||2
3. INTRODUCTION
Les attaques de ransomware ont transformé le paysage des cyberattaques. Ces menaces sophistiquées et persistantes peuvent éteindre
rapidement les ordinateurs, arrêter les opérations commerciales, déstabiliser les économies et limiter l'accès aux biens et services en
quelques minutes.
Les principales cibles des attaques de ransomwares incluent les organisations des secteurs des services financiers, de la santé, de la technologie, de la
fabrication et de la construction, bien que de nombreux attaquants de ransomwares se soient avérés aveugles dans le choix des cibles.
Les gangs de cybercriminalité sondent les vulnérabilités au sein d'une organisation, déterminent comment créer le chaos et la perturbation, puis
planifient le profit. Certains hackers optent pour une approche "smash n' grab", tandis que d'autres se cachent discrètement dans les systèmes pendant
des mois afin de maximiser les niveaux de perturbation et de gain financier.
Une attaque de rançongiciel moyenne coûte aux entreprises
environ 3,86 millions de dollars.1Des cas exceptionnels,
comme le ver rançongiciel WannaCry, ont entraîné des
dépenses impayées. On estime que WannaCry a causé 4
milliards de dollars de dommages dans le monde.2
Alors que le coût total des ransomwares et des rançons continue d'augmenter, les attaques de ransomwares ne doivent pas nécessairement être une
dépense commerciale de routine ni être incluses dans le coût d'exploitation d'une entreprise.
Avec des niveaux plus élevés de maturité en matière de cybersécurité, les organisations peuvent développer des environnements plus résilients.
1Rapport sur le coût d'une violation de données 2021, IBM
2Ransomware : une menace constante, Kirk Hayes, Infosecurity Magazine, 21 février 2022
3
LA CEISOt'oSpgptudansIDENTIFIANTgEZJeOroARréNunSyOsMutn
tU
ONhReESPpReEeVréFRoJFjeréOjeNgit|un3je
WannaCry a causé des dommages estimés à 4
milliards de dollars américains dans le monde.
4. LE GUIDE DU RSSI POUR LA PRÉVENTION DES RANSOMWARE|4
ÉVÉNEMENTS RÉCENTS DE RANSOMWARE
Services financiers
Plus tôt cette année, un fournisseur d'administration d'investissement de plusieurs billions de dollars basé en Afrique du Sud a subi une attaque de ransomware.
Le groupe d'investissement est resté incapable d'accéder aux systèmes pendant cinq jours consécutifs. Bien que les actifs financiers du groupe n'aient pas été
menacés, la panne a réduit la capacité des clients à traiter les instructions liées aux investissements et restreint d'autres services.
Au milieu de la panne, l'entreprise concernée n'a pas été en mesure de mettre à
jour les prix de certains portefeuilles de courtage.
Le groupe d'investissement fait partie d'un grand nombre
d'entités financières des secteurs privé et public qui ont été
victimes de ransomwares. Le secteur bancaire a connu une
nombre disproportionné d'attaques ; connaît une augmentation de 1 318 % d'une année sur l'autre au cours de la première partie de 2021.3
Soins de santé
Les organisations de santé sont un autre favori parmi les attaquants de ransomware. Au cours des dernières années, des groupes médicaux aux États-Unis,
en Australie et ailleurs ont fait face à des attaques dévastatrices de ransomwares. Les attaques ont conduit à la compromission des données des patients ;
des numéros de sécurité sociale aux informations sur les dossiers de santé personnels.
Au moins une organisation médicale a décidé de fermer définitivement ses portes après avoir échoué à récupérer les données rançonnées. Alors que le cyber-
risque pour le secteur de la santé s'étend en raison du climat géopolitique, les efforts pour protéger les hôpitaux, les cliniques, les employés et les patients
doivent augmenter.
3Le secteur bancaire constate une augmentation de 1381 % des attaques de ransomwares en 2021, Maria Henriquez, Security, 20 septembre 2021
90% des institutions financières auraient été
touchées par des ransomwares.3
Pourquoi les services financiers et les organisations de santé ? Des millions de dollars en banque et/ou des données précieuses = des profits élevés.
5. LE GUIDE DU RSSI POUR LA PRÉVENTION DES RANSOMWARE|5
TENDANCES DYNAMIQUES
Ransomware en tant que service
Historiquement, les attaques de ransomwares étaient en grande partie menées par des gangs de ransomwares.
Une opération de ransomware était un exploit difficile à réaliser seul. Cependant, le nouveau logiciel
Ransomwareas-a-Service permet à tout acteur malveillant d'investir dans des produits de ransomware "prêts à
l'emploi". À son tour, n'importe quel individu peut exécuter indépendamment une attaque de ransomware.
Une fois l'attaque basée sur Ransomware-as-a-Service (RaaS) lancée, la victime ou les victimes de l'auteur de la
menace sont dirigées vers le portail de paiement des opérateurs RaaS. Dans certains cas, les opérateurs fournissent
un « service client » pour aider les victimes à payer les frais d'extorsion.
Triples menaces d'extorsion
Des outils de décryptage de ransomwares en ligne gratuits, des sauvegardes de données et d'autres tactiques astucieuses
peuvent aider les victimes à contourner les difficultés causées par les attaques de ransomwares.
Par exemple, les entreprises peuvent faire face à des fichiers cryptés en restaurant des données à partir de
sauvegardes, ce qui rend obsolète le paiement d'extorsion de rançon.
Les pirates ont pris le dessus. De nouvelles façons de ramener les organisations à la table des
négociations émergent. Chef d'entre eux ? Menacer de divulguer des données sensibles appartenant à
des clients ou menacer d'une attaque par déni de service distribué contre l'organisation cible.
De nos jours, les rançongiciels ne signifient pas seulement une perturbation de l'infrastructure et un potentiel de fuite
de données internes ; les menaces de ransomwares sont désormais très multidimensionnelles.
L'essentiel est que les acteurs de la menace des ransomwares ajoutent des couches de pression
supplémentaires pour tenter de forcer les organisations à se séparer de leurs ressources.
Ransomware commun-
Souches en tant que service
• Logiciel de rançon Ryuk.Les experts estiment
que Ryuk est à l'origine d'environ un tiers des
infections par ransomware.
• Logiciel de rançon LockBit.LockBit
existe depuis plusieurs années, mais
est récemment devenu une partie des
opérations RaaS.
• REvil/Sodinokibi. Ce type de
ransomware a touché de grandes
organisations dans le monde entier.
• Logiciel de rançon Egregor/Maze. Bien
que Maze ait cessé ses opérations, les
variantes de rançongiciels associées,
comme Egregor, restent
opérationnelles sous le modèle
d'affiliation RaaS.
Les souches de Ransomware-as-a-Service
mentionnées ci-dessus représentent une fraction du
nombre de souches de ransomware qui existent.
Cependant, ceux-ci ont eu un impact significatif sur
les entreprises et, par conséquent, les «affiliés» RaaS
les trouvent lucratifs à déployer.
6. LE GUIDE DU RSSI POUR LA PRÉVENTION DES RANSOMWARE|6
RANSOMWARE, MSP ET MSSP
En juillet 2021, une attaque de ransomware a frappé la société informatique connue sous le nom de Kaseya. Les répliques de l'attaque ont été ressenties par tous les clients
de Kaseya et les clients de leurs clients. Cela peut se produire parce que l'entreprise susmentionnée est un fournisseur de services gérés (MSP), ce qui signifie qu'elle
distribue des services informatiques à d'autres organisations. À leur tour, ces organisations fournissent des services informatiques à des entreprises encore plus petites.
L'affilié Ransomware-as-a-Service qui a mené l'attaque avait clairement l'intention de propager le ransomware aux clients MSP de Kaseya. Une fois que
l'attaque du ransomware a détruit Kaseya, elle a également immédiatement affecté au moins 1 000 entreprises supplémentaires. Un paiement de
rançon de 70 millions de dollars (en Bitcoin) a été demandé afin de compenser la victimisation de toutes les organisations.4
Comme le montre l'exemple susmentionné, les MSP et les MSSP peuvent être exposés à un risque élevé d'attaques de ransomwares. Ils représentent des
conduits faciles pour les attaques, avec un potentiel d'effets en aval et d'augmentations correspondantes des bénéfices.
Les experts affirment que les MSP et les MSSP ne prennent souvent pas au sérieux la menace des ransomwares. Ceux qui conservent une infrastructure de
cybersécurité sophistiquée et solide peuvent être en mesure de résister à la tempête.
Mesures de cybersécurité exploitables pour les MSP et les MSSP :
• Mener une évaluation des risques
• Lancer l'analyse des vulnérabilités
• Identifier un partenaire solide en cybersécurité (fournisseur)
• Investir dans des solutions de cybersécurité qui traitent tous les vecteurs d'attaque ; e-mail, point de terminaison, mobile, etc.
• Élaborer et mettre à jour régulièrement un plan de réponse aux cyberincidents
• Suivez les meilleures pratiques en matière de cybersécurité ; correctifs, mises à jour logicielles en temps opportun, programmes de sensibilisation à l'éducation, etc.
Compte tenu de l'incidence accrue des attaques de rançongiciels sur les fournisseurs de services, les organisations devraient saisir l'occasion de rechercher une sécurité
renforcée.
4 Kaseya, ce que signifie cette attaque de rançongiciel, Cyber Talk
https://www.cybertalk.org/2021/07/06/kaseya-what-this-ransomware-attack-fallout-means/
7. LE GUIDE DU RSSI POUR LA PRÉVENTION DES RANSOMWARE|7
LA PRÉVENTION
Pour éviter les dommages causés par les attaques de rançongiciels, mettez en œuvre ces habitudes et bonnes pratiques en matière de cyber-hygiène :
1 Offrir aux employés une formation de sensibilisation à la cybersécurité. De nombreuses attaques de rançongiciels commencent par un e-mail de phishing convaincant envoyé
dans la boîte de réception d'un employé.
2 Développer des méthodologies d'authentification des utilisateurs plus solides ; ceux-ci incluent l'authentification multifacteur et les politiques de mot de passe.
3 Assurez-vous que votre organisation conserve des sauvegardes utilisables de toutes les données, bases de données, applications clés et serveurs critiques dans
des emplacements hors réseau.
4 Testez régulièrement les sauvegardes dans le cadre de votre stratégie de prévention des ransomwares.
5 Segmenter les réseaux pour éviter les mouvements latéraux en cas de brèche.
6 Mettez régulièrement à jour et corrigez le logiciel. Les organisations ont subi inutilement des incidents de sécurité dus à des oublis de correctifs.
7 Déployez des outils éprouvés et efficaces de détection des menaces. Optez pour la détection automatisée des menaces, qui peut augmenter les capacités avancées
d'identification des attaques.
8 Filtrez la plupart des menaces hors des systèmes avant qu'elles ne puissent causer des dommages en utilisant des outils automatisés de sécurité des e-mails et des terminaux.
9 Adoptez une approche de « défense en profondeur », qui consiste à superposer les mesures de sécurité.
dix Tenez-vous au courant des dernières menaces de sécurité grâce aux blogs sponsorisés par les fournisseurs, tels queCyberTalk.org .
8. LE GUIDE DU RSSI POUR LA PRÉVENTION DES RANSOMWARE|8
TEMPS FORTS DE L'ENTRETIEN D'EXPERTS
Giorgio Brembati, architecte de sécurité cloud et bureau du CTO
La perspective d'une menace de ransomware peut sembler intimidante. Pour certains, lutter contre les rançongiciels peut même sembler sans espoir. Voici ce
que l'un des experts de Check Point Software a à dire à ce sujet…
Comment les rançongiciels ont-ils affecté l'infrastructure de cloud computing ?
La plupart des organisations s'appuient aujourd'hui sur le cloud, et au cours des dernières années, nous l'avons vu devenir l'un des
composants cruciaux des organisations informatiques. Nous avons vu des entreprises déplacer des environnements
d'infrastructure de bureau virtuel (VDI) et des machines virtuelles (dans une approche lift/shift), puis commencer à utiliser des
services natifs.
Dans un rôle d'architecte de sécurité cloud, Giorgio Brembati
travaille au sein de l'équipe de spécialistes Check Point
Software EMEA pour l'Europe du Sud. Il accompagne les
clients et les entreprises dans l'adoption de stratégies,
d'architectures et de solutions pour sécuriser leurs
environnements dans des contextes de cloud public et privé.
Lorsque nous examinons la protection mise en place avec cette première technique de migration, nous pouvons voir comment les
systèmes natifs ne fournissent pas de capacités de prévention des menaces. Les entreprises doivent s'appuyer sur des techniques
anti-malware et d'émulation pour empêcher les attaques connues et inconnues susceptibles d'atteindre les systèmes IaaS du
point de vue du trafic et de la charge de travail.
En quoi les technologies cloud sont-elles particulièrement vulnérables aux ransomwares ?
Dans les environnements cloud, nous constatons fréquemment l'utilisation intensive des services de plate-forme en tant que
service avec des bases de données et du stockage. Dans un contexte défini par un modèle de responsabilité partagée qui
représente un client comme responsable des données, la bonne configuration de ces services devient cruciale pour mettre en
œuvre les bonnes pratiques de sécurité. Ces services reposent sur une grande flexibilité et disponibilité, et posent la question de
savoir comment contrôler l'exposition et les paramètres de notre stockage ou de notre base de données fournie en tant que
service. Si nous élargissons ensuite notre vision de la façon dont les entreprises utilisent les environnements cloud aujourd'hui,
nous pouvons identifier une tendance qui se concentre sur les environnements multi-cloud, rendant ces pratiques de sécurité
encore plus difficiles sans solutions de sécurité multi-cloud.
9. LE GUIDE DU RSSI POUR LA PRÉVENTION DES RANSOMWARE|9
LA DÉFENSE
Dans le cas où une attaque de ransomware toucherait votre organisation, voici comment réagir :
1 Contenir la brèche. Atténuez efficacement les dégâts et évitez que l'attaque ne s'aggrave.
2 Si possible, isolez le ou les appareils infectés de votre réseau
3 Assurez-vous que toutes les traces du ransomware/malware sont supprimées de votre système.
4 Analysez les sauvegardes pour vérifier les logiciels malveillants. Si aucune menace n'est détectée, essayez de restaurer les données à partir des sauvegardes.
5 Contactez les administrateurs et les cadres informatiques internes qui devraient être au courant de l'attaque.
6 Les organisations sont également encouragées à contacter les forces de l'ordre, le cas échéant.
7 Évitez de payer des frais d'extorsion de rançon. Les outils de décryptage ne sont pas garantis pour fonctionner et les pirates peuvent toujours choisir de divulguer des données.
8 Que vous déteniez ou non une police d'assurance cyber, contactez votre groupe d'assurance entreprise.
9 Les départements appropriés doivent informer les clients des autres relations d'affaires qui peuvent avoir été négativement affectées par la violation.
dixContactez votre fournisseur de cybersécurité, qui pourra peut-être vous fournir des informations supplémentaires sur votre expérience spécifique avec les
ransomwares.
10. LE GUIDE DU RSSI POUR LA PRÉVENTION DES RANSOMWARE|dix
ÉTUDE DE CAS : Conseil médical et sensibilisation (MOA)
Bloquer les menaces de rançongiciels de nouvelle génération
Lorsqu'un nouveau directeur de division informatique a rejoint Medical Advisory and Outreach (MAO), il s'est rendu compte que l'infrastructure
actuelle de l'organisation ne pouvait pas répondre aux nouveaux besoins de l'organisation. Le groupe devait mettre à niveau la sécurité, faire évoluer
la sécurité pour répondre aux nouveaux besoins, respecter des exigences de conformité spécifiques et arrêter les menaces de logiciels malveillants/
ransomwares.
Solutions : au-delà et au-delà
Pour sécuriser les cliniques le plus rapidement possible, le nouveau chef de division a déployé les appliances de sécurité Check Point. Cela a immédiatement donné aux
spécialistes de la cybersécurité une visibilité immédiate sur l'état de conformité du système, amélioré l'efficacité, renforcé la confidentialité des données des clients et
empêché les infections par les logiciels malveillants et les rançongiciels.
Solutions : au-delà et au-delà
Check Point me donne, à moi et à mes équipes, une confiance totale dans notre capacité à nous développer et à maintenir efficacement la sécurité et la
confidentialité », a déclaré le chef de division. "J'ai travaillé avec la plupart des autres produits et Check Point m'offre la plus grande tranquillité d'esprit."
Lorsqu'un rançongiciel attaquait le navigateur d'un utilisateur,
Check Point l'a arrêté instantanément,
l'empêchant de chiffrer les partages de fichiers MAO.