Sécurité

Dois-je payer une rançon ransomware ? Découvrez tous les dangers

Le monde de la cybercriminalité ne se repose jamais et ils sont toujours à la recherche de nouvelles stratégies pour obtenir des avantages. Désormais, les cybercriminels n’agissent plus seuls et travaillent parfois en groupe, ce qui les rend plus dangereux. A cette occasion, nous allons parler des attaques de ransomware et s’il est pratique pour nous de sauver les données en payant des cybercriminels. Nous connaîtrons tous les dangers et comment nous pouvons éviter de payer pour la rançon des données.

Qu’est-ce qu’un ransomware et quelles conséquences a-t-il

Lorsque nous subissons une attaque de ransomware, le malware est responsable du cryptage de toutes nos données sur le PC où il a été exécuté, et il est également possible que toutes les données partagées sur le réseau local soient cryptées, par conséquent, nous devons non seulement protéger notre ordinateur , mais toutes les équipes de l’entreprise et vérifient bien les autorisations d’écriture dont elles disposent.

Si nous voulons revenir à la normalité, nous devrons effacer et restaurer les serveurs et les PC à l’aide de nos copies de sauvegarde, si nous avons appliqué une bonne politique de sauvegarde. L’autre option consiste à utiliser une clé de déchiffrement pour pouvoir déverrouiller des fichiers et des données. L’inconvénient est que, pour obtenir cette clé de déchiffrement, dans la grande majorité des cas, nous devons payer une rançon aux cybercriminels.

Les ransomwares ont un impact négatif énorme qui perturbe les opérations commerciales et peut également entraîner une perte permanente de données. Les causes qu’elle cause à l’entreprise sont : les temps d’arrêt, la perte de productivité, de revenus et de réputation. Mais ce n’est pas tout, vos informations commerciales confidentielles peuvent également être détruites ou divulguées publiquement.

Évolution des attaques de ransomware

Les attaques de ransomware au cours des 6 premiers mois de 2020 ont augmenté à un rythme vertigineux . Selon le rapport de milieu d’année de Bitdefender 2020 , le nombre de rapports mondiaux sur les ransomwares a augmenté de 715% en glissement annuel. Si nous classons par le nombre d’attaques reçues, les États-Unis se classent en premier, suivis du Royaume-Uni. Voici un graphique des ransomwares dans le monde :

En Espagne, également au cours du premier semestre 2020, les attaques de ransomwares ont augmenté, comme vous pouvez le voir ici :

Une autre chose à garder à l’esprit est qu’une attaque de ransomware est rarement ciblée. En ce sens, 99% d’entre eux ne traquent pas leurs victimes ou ne procèdent pas à un examen approfondi. Leur tactique consiste à envoyer des e-mails sans discernement, puis à attendre de voir qui ils ont touché.

Payer la rançon ou restaurer les données à partir des sauvegardes

Comme nous l’avons mentionné précédemment, les cybercriminels cherchent à collecter une rançon, et si nous la payons, ils nous donneront la clé. Cette rançon est normalement payée en crypto-monnaies telles que Bitcoin bien que les attaquants puissent en stipuler une autre. Bien que travailler avec Bitcoin soit relativement simple, cela peut prendre des jours pour que tout soit prêt. De plus, pendant cette période, vous ne pourrez pas opérer normalement sur le système infecté, ou du moins, vous le ferez de manière très limitée.

Dans le cas du paiement de la rançon, il n’y a aucune garantie de récupération des données. Parfois, le déchiffrement du ransomware ne fonctionne pas ou vous perdez certaines de vos données. Même si vos fichiers sont bien décryptés, il est également probable que vous soyez toujours infecté par des logiciels malveillants, des chevaux de Troie et des enregistreurs de frappe. Par conséquent, notre système ne sera pas propre et peu fiable une fois le processus de décryptage terminé.

Pour résumer, nous allons vous donner une série de points négatifs pour lesquels payer la rançon du ransomware n’est pas une bonne idée :

  • Vous aidez les cybercriminels dans leur entreprise d’extorsion.
  • Personne ne garantit que la clé de déchiffrement fonctionne, d’abord vous payez, puis ils peuvent ne rien vous envoyer ou cela peut ne pas fonctionner.
  • Les cybercriminels pourraient avoir introduit des logiciels malveillants supplémentaires, pour vous infecter après un certain temps, et vous devrez payer à nouveau (parce que vous avez déjà payé une fois).
  • Il sera toujours moins cher d’avoir une bonne politique de sauvegarde et de ne pas avoir à payer des cybercriminels.

La restauration à partir de sauvegardes, même si cela prend plus de temps, peut être la solution. Cependant, cela n’est possible que si nous avons :

  1. Une procédure de sauvegarde robuste, idéalement avec le schéma de sauvegarde 3-2-1.
  2. La procédure établie a été suivie.
  3. Les sauvegardes ont été testées lors d’exercices et d’incidents simulés.

Cependant, les cybercriminels derrière les ransomwares ont également des moyens de s’assurer que nos sauvegardes sont également infectées. Pour cette raison, les entreprises doivent planifier et protéger leurs sauvegardes de manière à garantir leur intégrité lorsque nous devons les utiliser.

Prévention et sensibilisation du personnel

La prévention contre les attaques de ransomware implique d’avoir un plan de réponse aux incidents. De la même manière que, par exemple, nous avons une assurance habitation ou autre, nous espérons ne pas avoir à l’utiliser, mais en cas de malheur nous sommes couverts. Un autre élément important est la sensibilisation des employés d’une entreprise pour éviter une attaque de ransomware. La plupart des infections de ce type sont dues à un employé qui tombe dans le piège d’ une attaque de phishing .

En ce sens, le personnel d’une entreprise doit être formé à la sensibilisation à la cybersécurité, de cette manière, il peut identifier les e-mails de phishing, autres escroqueries et menaces de toutes sortes. Une façon de réduire les risques est d’essayer de réduire les e-mails internes, il sera donc plus facile de se concentrer et de prêter attention aux e-mails externes qui sont ceux qui présentent un danger. Certaines applications comme Slack pourraient contribuer à cette réduction des emails internes.

De plus, les employés doivent être préparés en suivant des cours de sensibilisation à la sécurité . De plus, si nous embauchons une entreprise privée qui teste les travailleurs avec une campagne de phishing surprise, cela peut ajouter un bonus de sécurité. Cela ne présente aucun risque et nous vérifions donc s’ils ont appris à agir correctement.

Comment améliorer la sécurité dans notre entreprise

Un élément important est l’application du principe du moindre privilège . Ici, nous devons nous assurer que les employés disposent des droits d’accès minimum pour exercer les fonctions définies par leur rôle. Ils ne doivent pas pouvoir accéder à des fonctions qui ne leur correspondent pas, ainsi, si leur compte est compromis, comme leurs fonctions sont plus limitées, c’est moins dangereux. En ce sens, il est nécessaire de limiter adéquatement les personnes qui ont accès à un compte administrateur.

Une bonne configuration du filtre anti-spam peut également aider, ainsi, en réduisant le volume de spam, cela nous permettra de passer plus de temps à rechercher des anomalies dans les e-mails que nous recevons.

Nous devons également disposer d’un bon antivirus et antimalware qui doit être mis à jour tous les jours. De plus, le système d’exploitation et les programmes que nous utilisons doivent être à jour avec les derniers correctifs de sécurité. À cela, nous devons également ajouter que notre équipement réseau dispose du dernier firmware disponible installé pour éviter les failles de sécurité.

Concernant la topologie du réseau, il est préférable de travailler avec des sections segmentées en VLAN et avec des contrôles d’accès. En cas de problème, si un segment est infecté, il est plus facile à résoudre, et à atténuer l’impact, qu’un réseau où nous avons tous les équipements connectés.

Bonne politique de sauvegarde

Dans une attaque de ransomware, l’une des choses qui nous permettra de réussir l’attaque est d’ avoir une bonne politique de sauvegarde . Celui-ci doit être basé sur :

  • Nous devrions avoir trois copies de nos données : le système en direct, plus deux sauvegardes.
  • Ces deux sauvegardes doivent être sur des supports différents.
  • L’une de ces sauvegardes doit être effectuée hors site.

La régularité avec laquelle nous effectuons ces sauvegardes déterminera les informations que nous pouvons perdre, il est donc fortement recommandé de faire des sauvegardes quotidiennes, et pour les systèmes critiques, il est essentiel de faire des sauvegardes toutes les heures.

De plus, un détail très important est que les copies de sauvegarde doivent être cryptées . Cependant, rien de tout cela n’aidera si les cybercriminels parviennent à infecter vos sauvegardes. Le ransomware est configuré pour prendre un certain temps avant de s’activer afin que vos copies puissent être infectées. Si nous voulons lutter contre cela, nous pouvons utiliser des sauvegardes immuables . Ce sont des sauvegardes qui ne peuvent pas être écrites une fois effectuées. Cela signifie qu’ils ne peuvent pas être infectés par un ransomware ou tout autre type de malware. Le problème que vous avez, c’est que c’est cher, mais cela pourrait sauver votre entreprise.

Signaler et avoir un plan de réponse aux incidents

Si nous voulons garantir une réponse coordonnée et efficace à une attaque de ransomware, nous devons disposer d’un plan de réponse aux incidents . Ce plan doit comprendre les phases suivantes :

  • Préparation . Le réglage fin de ce qui a été mentionné dans ce didacticiel est un bon point de départ. En outre, répéter le plan avec des incidents simulés et voir comment un attaquant pourrait attaquer notre entreprise peut être un bon point de départ.
  • Identifiant . Identifiez dès que possible ce qui se passe, qui et quoi est infecté, quelle est l’étendue du problème et si des données ont été divulguées.
  • Confinement . Nous devons empêcher l’infection de se propager et mettre en quarantaine les systèmes infectés.
  • Éradication . Nous devons nous assurer que les logiciels nuisibles ont été supprimés de tous les ordinateurs compromis.
  • Récupération . Ici, nous devons restaurer les données à partir de sauvegardes immuables si nous les possédons. Sinon, nous devons vérifier que les sauvegardes sont exemptes de malware avant de les restaurer.
  • Analyse finale . Une fois que nous avons résolu le problème, nous devons découvrir comment l’infection s’est produite et ce qui a pu l’arrêter. Il faudrait aussi discerner s’il s’agit de la conséquence d’une vulnérabilité exploitée, ou d’une erreur humaine. Enfin, prenez des mesures pour que cela ne se reproduise plus.

Lorsque nous subissons une attaque de ransomware, nous devons la signaler, car il s’agit d’un crime. En outre, vous devrez peut-être signaler l’incident à votre autorité régionale ou nationale de protection des données. Enfin, n’oubliez pas que payer la rançon n’est généralement pas la meilleure option car votre système pourrait toujours être infecté après le décryptage.

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba