Les attaques par rançongiciels deviennent de plus en plus complexes et sophistiquées

Dans un webinaire récent, la firme de cybersécurité Kaspersky explore la stratégie et l’exécution d’une attaque générale par rançongiciels et présente les pratiques exemplaires actuelles pour se protéger contre ces attaques, tant lors de leur diffusion que de leur exécution. 

Auparavant, les rançongiciels étaient généralement envoyés aux individus par courriel, explique Kaspersky. Aujourd’hui, les attaques par rançongiciel sont beaucoup plus complexes et sophistiquées. Les cybercriminels tentent de s’introduire dans les systèmes de leurs victimes en exploitant des vulnérabilités, en utilisant la force brute pour deviner des mots de passe, ou en achetant des identifiants volés sur le Dark Web. 

Une fois dans le système, les attaquants recherchent des informations de base sur le réseau et le système pour comprendre les configurations de la victime (notamment en utilisant des commandes Windows) et identifient les hôtes ayant des privilèges élevés sur le réseau. 

Les données volées, souvent essentielles aux opérations de l’entreprise victime, sont généralement utilisées pour accroître les demandes de rançon, ajoute la firme. 

Trois points clés pour détecter et prévenir les attaques 

Seongsu Park, chercheur principal en sécurité au sein de l’équipe mondiale de recherche et d’analyse de Kaspersky, souligne que ces attaques peuvent être détectées et empêchées à trois étapes clés : la distribution, l’exécution du logiciel malveillant et la phase de reconnaissance de l’attaquant. 

Lors du webinaire intitulé Ransomware Prevention Strategies, les recommandations suivantes ont été formulées : 

• Corrigez les vulnérabilités connues. Ce processus, selon M.Park, doit être répété régulièrement à mesure que de nouvelles vulnérabilités sont découvertes. 

• Effectuez régulièrement des tests de pénétration pour identifier les faiblesses de sécurité dans l’environnement. 

• Bloquez les comptes après plusieurs tentatives de connexion infructueuses et suspectes. 

• Filtrez les courriels et les spams en utilisant des technologies de bac à sable pour vérifier les pièces jointes suspectes et bloquer les logiciels malicieux avant qu’ils n’atteignent les utilisateurs. « Il est crucial d’adopter cette technique pour filtrer le trafic entrant », précise M. Park. « De nombreuses cyberattaques commencent par une erreur humaine. » 

• Offrez une formation continue et régulière sur les menaces cybernétiques à tous les employés. 

• Utilisez des solutions antivirus adaptées pour bloquer l’exécution des logiciels malicieux. 

• Désactivez les macros. « De nombreux groupes de rançongiciels exploitent encore les macros intégrées dans les documents Office », affirme M. Park. 

• Bloquez les supports amovibles et désactivez la fonctionnalité d’exécution automatique dans les courriels, qui peut être utilisée pour exécuter du code malveillant. 

• Segmentez le réseau, une étape cruciale selon M. Park. 

• Passez en revue régulièrement les comptes d’utilisateurs et leurs permissions, particulièrement lorsqu’un employé quitte l’entreprise. 

• Envisagez d’imposer des restrictions temporaires sur les autorisations. Tous les employés n’ont pas besoin de privilèges complets en dehors des heures de travail. 

La règle des trois, deux, un pour les sauvegardes 

M. Park recommande également d’appliquer la règle des « trois, deux, un » pour les sauvegardes : « Cela signifie conserver trois copies des données importantes sur deux types de supports différents, avec au moins une copie hors site. » 

Les sauvegardes sont particulièrement essentielles en cas d’attaque par rançongiciel, car certains groupes malveillants pourraient tenter de désactiver ou de détruire les systèmes de sauvegarde avant de déployer leur modèle, avertit M. Park. 

« Pour protéger vos données importantes et maintenir la fiabilité des services, une politique complète de sauvegarde est essentielle », conclut-il.