Ransomware : et si votre entreprise était prise en otage ?


Les cyber criminels l’ont bien compris : les ransomware sont efficaces et ne sont pas près de tomber dans l’oubli. Quelques jours seulement après son apparition, Locky est parvenu à infecter plus de 500 000 PC à l’échelle mondiale.

Actualités, Menaces // 02/06/2016

Le Hollywood Presbyterian Medical Center a capitulé.

L’hôpital californien a décidé de payer la rançon fixée à 40 bitcoins (soit environ 17 000 dollars) pour pouvoir reprendre le contrôle de ses systèmes suite à une attaque de ransomware survenue le 5 février.

C’est la première fois que les médias américains s’intéressent au ransomware, un phénomène dont le Laboratoire F-Secure parle depuis plus de cinq ans.

À l’image des entreprises disposant de données client sensibles, les établissements de santé sont particulièrement vulnérables face à ce genre d’attaques, comme l’explique Sean Sullivan, Security Advisor chez F-Secure, dans une interview avec l’International Business Times UK :

Bien qu’ils entrent dans la catégorie des infrastructures critiques, les hôpitaux ne sont pas soumis aux mêmes exigences de sécurité que d’autres installations comme les centrales nucléaires, par exemple. Cet incident a poussé certains établissements à optimiser la transparence afin d’éviter de potentielles difficultés liées à la non-divulgation. Cela étant dit, de nombreux hôpitaux restent des cibles opportunes. J’ai travaillé dans un hôpital universitaire disposant de plus de 20 000 nœuds au sein de son serveur, une approche motivée par deux facteurs. Pour des raisons financières, les systèmes back-end devaient rester séparés. Pour des raisons médicales, toutes les données devaient être mises à disposition des clients, indépendamment de la configuration back-end de l’établissement. Au fil des années, l’hôpital avait également fusionné et acquis de nombreux groupes médicaux. Le résultat ? Un réseau extrêmement complexe. Même avec une excellente approche de gestion, il était impossible de parer à toute éventualité.

Les cyber criminels l’ont bien compris : les ransomware sont efficaces et ne sont pas près de tomber dans l’oubli.

Quelques jours seulement après son apparition, Locky est parvenu à infecter plus de 500 000 PC à l’échelle mondiale.

Dans un article du blog du Laboratoire F-Secure, Andy Patel décrit la menace ainsi :

Jusqu’à présent, Locky s’est principalement propagé par e-mail, sous forme d’une fausse facture en format Word. A l’ouverture, le document ne s’affiche pas intégralement, et incite l’utilisateur à activer les macros pour pouvoir le consulter. S’il accepte, un exécutable (ladybi.exe) commence à chiffrer les données à l’aide d’un chiffrement AES 128 bits. 

Il est ensuite impossible d’accéder aux fichiers Microsoft Office : beaucoup d’entreprises se résignent donc à payer leur rançon, à l’image de l’hôpital d’Hollywood.

« Locky est un véritable chef-d’œuvre : les tests sur échantillons réduits réalisés lundi (une phase de bêta-testing pour les cyber-criminels, en quelque sorte) ont montré que son infrastructure est extrêmement développée et que le ransomware a été traduit dans un grand nombre de langues », explique Kevin Beaumont. « Il faut se rendre à l’évidence, tout a été soigneusement planifié. »

Le « malware-as-a-service » proposé par des développeurs mal intentionnés qui ont le sens des affaires n’est pas un phénomène récent, comme l’explique Mikko Hyppönen, Chief Research Officer chez F-Secure :

Cela fait un certain temps que les cyber-criminels privilégient le mode SaaS. Nous avons déjà été confrontés à cette approche avec les attaques DDOS, les chevaux de Troie bancaires et les chevaux de Troie ransomware en tant que service.

L’année dernière, ce sont en réalité les attaques par macros qui ont créé la surprise. Disparues depuis les années 1990, elles sont revenues en force et menacent aujourd’hui de nombreuses entreprises.

Même les organisations disposant de systèmes à jour et de solutions de sécurité performantes ont fait l’objet d’attaques, car elles n’avaient pas mis en place de listes blanches, ce qui permettait aux utilisateurs d’activer les macros des documents infectés.

Mais comme le signale Andy Patel, les utilisateurs de F-Secure bénéficient d’un niveau de sécurité supplémentaire :

Si vous utilisez notre solution, DeepGuard, notre moteur de détection des comportements, permet de bloquer à la fois les vecteurs d’attaque utilisés par Locky et l’activité du malware lui-même. Cela fait un certain temps que nous détectons ces menaces. Reposant sur notre stratégie de prévention éprouvée, DeepGuard identifie les comportements suspects, notamment les documents Office qui téléchargent des données, génèrent des fichiers ou exécutent du code. DeepGuard est ensuite capable de bloquer ces activités afin de neutraliser l’infection de votre système. 

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s