Alors que l’année 2017 avait vu une explosion des ransomwares, 2018 avait semblé marquer le pas. Les attaques au logiciel rançonneur se sont pourtant de nouveau envolées fin 2019, avec une hausse spectaculaire de 365%* au dernier trimestre.
Nul n’est à l’abri d’un ransomware, et de sa variante la plus dangereuse, le malware cryptoverrouilleur type Cryptolocker. Découvrez comment il fonctionne pour accroître sa sécurité informatique entreprise.
C’est quoi un cryptolocker ?
Quelle différence entre un cryptolocker et un ransomware ?
Un ransomware ou logiciel rançonneur est un programme malveillant (ou malware) visant à empêcher le fonctionnement d’un ordinateur et l’accès à ses données : pour récupérer le bon usage de sa machine, l’utilisateur doit alors verser une rançon, parfois bien modeste.
La moyenne des sommes versées est de 450 euros environ, mais 20% des randonnées ne récupèrent jamais leurs données.
Le cryptolocker est la forme la plus grave des logiciels rançonneurs : le hacker va chiffrer les données de l’entreprise, les rendant inutilisables. Les récupérer suppose en effet d’avoir la clé de chiffrement, en possession du rançonneur : non seulement, le hackeur a accès aux données mais en plus, il y a le risque qu’elles soient détruites.
Découvert en 2013, Cryptolocker est à la fois l’un des tous premiers rançongiciels identifiés, et en même temps le terme générique pour désigner tous les dérivés crypto-verrouilleurs qui ont suivi, comme Cryptowall, CTB-Locker, NoPetya, WannaCry…
Comment agit un malware cryptoverrouilleur ?
C’est un cheval de Troie : il pénètre le système informatique de manière détournée, comme un WebExploit ou le plus souvent via un email contenant le trojan en pièce jointe.
Ce malware va lancer une charge active ou payload, s’installant dans la base de registre pour modifier le démarrage de la machine.
Comme n’importe quel botnet, le ransomware se connecte alors à un serveur maître pour récupérer une paire de clef de chiffrement, habituellement de 2048 bits au minimum.
Cette clef va chiffrer les fichiers du disque dur ou des disques réseau partagé, pour les rendre inutilisables, en privilégiant ceux censés avoir le plus d’importance : fichiers textes, tableurs, images, photos…
Le plus souvent, il les renomme avec une extension du genre .encrypted, .cryptolocker ou .(7 caractères aléatoires).
Dans chaque répertoire visé, le malware génère un fichier avec un lien internet indiquant les instructions de déchiffrement… et donc de paiement de la rançon, généralement en bitcoins : un compte à rebours menace souvent de détruire ces données de manière irréversible.
Comment se protéger d’un cryptolocker en entreprise ?
Comment détecter un cryptolocker ?
Il faut le détecter avant le chiffrement massif des données, et l’apparition de la fenêtre de rançon.
Il existe pour cela différentes stratégies, adaptables à chaque société.
• Surveiller l’accès aux fichiers
Un Cryptolocker va générer très rapidement tout un ensemble d’évènements fichiers (ouverture, modification, création…).
Il suffit donc d’avoir un système de surveillance sécurité informatique entreprise qui génère une alerte dès qu’apparait ce type de comportements sur l’ordinateur.
• Réaliser un audit de sécurité type audit natif
L’audit natif a pour but de vérifier la conformité des données protégées, à travers leur intégrité et leur intégralité. C’est un processus parfois assez lourd, mais qui permet de détecter des violations de fichiers protégés.
• Créer un leurre ou technique du pot de miel
Un honeypot vise à créer un partage de fichiers accessible, avec des fichiers d’apparence normale ayant de la valeur.
Ils sont en réalité sans intérêt ni pertinence, et donc inutilisés.
Toute activité sur ces fichiers faciles à surveiller, devient donc suspecte et peut témoigner d’une attaque par ransomware.
Les 3 mesures préventives pour se prémunir contre un crypto-verrouilleur ?
• Mise à jour des dispositifs de sécurité
Un antivirus professionnel performant, ainsi que la MAJ de toutes les failles de sécurité, sont un préalable indispensable.
Un audit de sécurité informatique par un prestataire multidisciplinaire permet de faire un état des lieux sur les faiblesses de tout système.
• Sauvegarde externalisée des données
Une double sauvegarde est nécessaire, à la fois locale, et à distance (solution de type cloud sécurisé).
Un audit de sécurité permet aussi de poser la question des droits d’accès aux fichiers sensibles : les limiter diminue les risques de ransomwares, mais peut altérer en revanche les conditions de travail.
Un auditeur réalise donc toujours cette évaluation en l’intégrant aux objectifs de l’entreprise en termes de process et de performances : c’est un équilibre entre sécurité et productivité.
• Sensibiliser les salariés
Sachant que plus de 80 % des ransomwares sont véhiculés dans les PJ des emails, la formation du personnel est essentielle sur le traitement des pièces jointes, et la reconnaissance des tentatives de phishing (nature et pertinence du mail, adresse de l’expéditeur…).
Les employés doivent connaître aussi les gestes d’urgence à effectuer en cas de suspicion, pour déconnecter l’ordinateur du réseau et ne pas en infecter d’autres.
Face à des techniques de plus en plus évoluées sur les logiciels rançonneurs, toute la sécurité informatique entreprise doit être repensée pour bien se protéger des ransomwares de type Cryptolocker / Cryptoverrouilleur.
*Source : https://www.lemondeinformatique.fr/actualites/lire-recap-2019-securite-les-ransomwares-ciblent-tous-azimuts-77454.html
