ransomware

Comment savoir que vous êtes victime d’un ransomware

Le ransomware est un logiciel malveillant qui crypte les données d’un PC ou en bloque l’accès. Une somme d’argent est exigée en échange du décryptage ou du déblocage. Les pirates mettent entre 60 et 120 jours pour mettre en place ce genre d’attaque. Plusieurs indices permettent de la détecter. Ceux-ci vont aider les experts en sécurité à contrecarrer le projet des attaquants.

 

 

Les liens Remote Desktop Protocol (RDP) : Un point d’entrée tout trouvé

 

Le Protocole RDP permet de se connecter sur un serveur. Il est très utilisé pour une connexion du bureau à distance. La plupart des entreprises utilisent ce procédé pour le télétravail ou pour les employés partis en mission à travers le monde.

C’est le moyen le plus utilisé par les pirates pour pénétrer à travers le réseau d’une entreprise. Une fois l’accès rendu possible, ils resteront des semaines pour espionner le réseau avant de déclencher l’attaque. C’est pourquoi il est impératif de mettre en place un système d’authentification à deux facteurs ou d’installer un « Virtual Private Network (VPN) » (tunnel sécurisé permettant aux données de transiter sans risque).

 

 

Les logiciels de votre système sont-ils tous familiers ?

 

L’apparition de logiciels inattendus est un indice particulièrement important pour l’entreprise. Les personnes malveillantes commencent souvent par pirater un PC à l’aide de courrier électronique d’hameçonnage. Une série de courriels de phishing peut fortement révéler la mise en place d’une attaque par un logiciel de rançon.

Les pirates commenceront par une surveillance accrue du réseau informatique. Ils utiliseront pour cela un certain nombre d’outils comme AngryIP (Logiciel de balayage de ports ou d’adresses IP), Advanced Port Scanner (Scanner de ports), MimiKatz (application ultrapuissante sur les authentifications, les mots de passe ou l’obtention de droits administrateurs élevés) et Microsoft Process Explorer (Gestionnaire de tâche très sophistiqué permettant non seulement de surveiller les activités du système mais aussi de les stopper).

Une fois rentrés dans le réseau, ils vont augmenter leurs droits d’utilisateurs et désactiver les logiciels de sécurité à l’aide de différentes applications comme Process Hacker (gestionnaire de tâche puissant), IOBit Uninstaller (Désinstallation de programmes), GMER (Analyse de tout le système) ou PC Hunter (Sécurité et nettoyage).

Les administrateurs réseaux doivent impérativement s’interroger lorsque ce genre de logiciels apparaît. Il est nécessaire dans ces circonstances de rechercher les comptes existants hors du système de ticketing (système permettant l’authentification de l’utilisateur) ou hors de la gestion des comptes. Après octroi de droits administrateurs, les attaquants utiliseront PowerShell (Langage script permettant l’administration et la gestion du système) pour s’étendre davantage sur le réseau.

 

 

Sauvegardes corrompues, Active Directory désactivé, il est temps d’agir

 

À la fin de l’attaque par le rançongiciel, les pirates s’emploieront à désactiver Active Directory, les contrôleurs de domaine puis à corrompre les sauvegardes pour empêcher l’entreprise de restaurer le système d’information (SI). Ils termineront par la suspension de tous les logiciels de mise à jour ou de correctifs avant le cryptage total des données ou le blocage des accès aux machines.

 

 

Protéger votre système grâce aux solutions de sécurité informatique

 

Afin de protéger l’entreprise de cette menace, il est important de contrôler les sessions RDP, de changer régulièrement et fortement les mots de passe des systèmes centraux, de surveiller l’apparition suspecte de comptes administrateurs, de limiter l’utilisation du langage PowerShell et d’effectuer les mises à jour des logiciels et appliquer les correctifs. L’application d’un antivirus professionnel, d’un anti-malware ainsi que d’un pare-feu entreprise est essentiel si l’on veut parfaire la protection de tout le système. Le plus judicieux serait de mettre en place un audit de sécurité informatique afin d’évaluer les points forts et les faiblesses du réseau. Des tests d’intrusion (pentest) peuvent s’effectuer sous trois formes : La boite noire, la boite grise et la boite blanche. La première consiste à ne donner aucune information au pentester avant intrusion dans le réseau de l’entreprise, la deuxième bénéficie de quelques informations avant le test et la troisième de toutes les informations. Enfin, une sauvegarde externalisée permet de mettre à l’abri vos fichiers les plus sensibles.

 

Les ransomwares sont des attaques puissantes. Il est difficile de s’en prémunir. Surveiller le réseau de manière efficace, avoir un système d’authentification à multi-facteurs, une utilisation de mots de passe forts et organiser des formations pour apprendre au personnel à gérer le courrier électronique pour ne pas cliquer de manière intempestive sur n’importe quel lien est donc essentiel. Il faut par ailleurs protéger au maximum les systèmes d’exploitation comme Windows 10 en ayant soin d’établir un cahier des charges dans lequel seront répertoriées toutes les mesures à suivre pour sécuriser correctement le système d’information de l’entreprise.

ARTICLES CONNEXES
MICROSOFT TEAMS

Vous souhaitez plus d’infos ?


Retour vers le haut

Découvrir les fonctionnalités