Ransomware, une star sans rival des menaces en 2020
Introduction
Les boules de cristal des acteurs de l’industrie de la cybersécurité étaient formelles : 2020 promettait d’être pire que 2019 sur le front des rançongiciels. Cette prévision se retrouvait aussi bien chez Centrify, que chez Check Point, CyberArk, Darktrace, FireEye, Kaspersky, McAfee, Netwrix, RSA, ou encore Sophos. Le temps leur a donné raison : depuis le début de l’année, les attaques publiquement connues se sont multipliées, jusqu’à atteindre des sommets sans précédent.
Las, la détonation du ransomware n’est que la partie visible d’attaques qui, désormais, s’étendent en profondeur dans le système d’information, avec des assaillants empruntant largement aux APT. Car le chiffrement de fichiers n’intervient qu’en phase ultime d’opérations menées patiemment et ayant généralement conduit à une compromission étendue de l’infrastructure.
Elle peut avoir eu pour point de départ une campagne de hameçonnage, comme l’exploitation de vulnérabilités graves sur des équipements de périphérie.
Dès lors, il apparaît essentiel de travailler sur trois axes : la prévention, la détection et la préparation. Pour le premier, il s’agit de restreindre les possibilités d’intrusion initiale et de déplacement latéral dans le système d’information.
Le second se concentre sur la mise en place de contrôles visant à permettre de repérer les signaux faibles d’une attaque engagée.
Quant au troisième, il consiste surtout à se préparer à l’éventualité d’une attaque et, surtout, à son succès, afin de savoir gérer la crise efficacement et, autant que possible, rebondir au plus vite.
Et ces trois axes ont chacun une composante technique et une composante humaine, organisationnelle, qu’il convient de ne pas négliger.
Mais s’il ne se trouve personne pour dire que tout cela est bien simple, on relève tout de même quelques conseils d’experts de la cybersécurité qui peuvent réduire rapidement et considérablement le risque, sans nécessiter d’efforts insurmontables ni pénaliser significativement la productivité des collaborateurs. Certains de ces conseils sont répétés à l’envi depuis des années. Il est peut-être temps de les suivre… pour ne pas venir allonger la frise chronologique ci-dessous des attaques connues, en France, pour 2020.
1Menaces-
Un éventail de victimes vaste et varié
Ransomware : un mois de septembre 2020 sans précédent
La rentrée a été marquée par un nombre jamais égalé de cyberattaques connues impliquant un rançongiciel. Le fruit de la conjonction de multiples facteurs. Et ceux-ci ne laissent pas entrevoir de véritable apaisement. Lire la suite
Ransomware : quand les assaillants atteignent leur but en un clin d’œil
Si les cyberdélinquants peuvent rester tapis longtemps dans le système d’information de leur victime, ils sont également susceptibles d’agir très très rapidement. Lire la suite
Ransomware : CMA-CGM victime de la piraterie de Ragnar Locker
Le transporteur a dû couper les accès externes à ses applications IT, évoquant un problème avec son infrastructure interne. En France, la téléphonie est affectée. Lire la suite
BTP, cabinet d’avocats : Maze revendique deux nouvelles victimes en France
Le premier, Léon Grosse, semble exposer trois équipements réseau qui auraient pu servir de point d’entrée. Mais sa migration passée vers le cloud pourrait l’aider. Le second, le cabinet Cornet Vincent Ségurel, penche pour la piste du hameçonnage. Lire la suite
Ransomware : SPIE confirme avoir été frappé par Nefilim
Le groupe français spécialisé dans les domaines de l'énergie et des communications, indique que la détonation du rançongiciel est survenue dans la nuit du 13 au 14 juillet. Selon lui, « certains serveurs Windows » ont été affectés. Les assaillants commencent à diffuser des données dérobées à cette occasion. Lire la suite
Quel ransomware s’est invité au département d’Eure-et-Loir, et par où ?
C’est l’ensemble de l’infrastructure du département profitant des services de connectivité d’Adista qui semble avoir été coupée, suite à la cyberattaque du premier week-end de juillet. On y trouvait notamment les serveurs de messagerie et un VPN Pulse Secure. Lire la suite
Ransomware : Roger Martin refuse de céder au chantage
Ce spécialiste français de l’enrobage a été surpris par le déclenchement d’un rançongiciel mi-mars, tout juste alors qu’était lancé le confinement. Il apparaît décidé à résister à la pression des opérateurs de DoppelPaymer. Lire la suite
2Expériences-
La gestion de l’attaque, côté pile et côté face
Guillaume Poupard (Anssi) voit du positif, mais un manque criant de préparation
Le patron de l’Agence a, pour la septième fois, ouvert les Assises de la sécurité qui se déroulent cette semaine à Monaco. L’occasion d’un point d’étape et d’un panorama des chantiers ouverts. Lire la suite
Ransomware : les ratés de la communication de crise
Beaucoup minimisent initialement l’importance et l’étendue de l’attaque, lorsqu’elle est détectée. Ce qui se produit souvent au dernier moment. A la clé : un délicat exercice de réorientation bien involontaire de la communication. Lire la suite
Ransomware : l’attaque peut être maîtrisée sans que la situation soit sous contrôle
La métropole Aix-Marseille-Provence en fait la douloureuse expérience. Les données volées par les opérateurs du rançongiciel Pysa, lors de l’attaque du mois de mars, viennent tout juste d’être divulguées. Lire la suite
Ransomware : l’illusion d’un système d’information assaini
Les opérateurs de Maze ont récemment revendiqué la compromission réussie d’Artech. Une entreprise qui avait déjà été présentée par ceux de Sodinokibi comme l’une de leurs victimes, en début d’année. Lire la suite
Enquête sur la face cachée des ransomwares : les négociations
Certaines organisations cèdent à la pression et l’assument. D’autres préfèrent le mutisme ou espèrent ainsi que la cyberattaque passera inaperçue. Mais les cyberdélinquants se préoccupent peu de ces espoirs de discrétion. Lire la suite
Ransomware : pourquoi quand il détone, c’est vraiment trop tard
Les assaillants sont probablement installés de longue date dans le système d’information. Les travaux de reconstruction seront de toute façon longs et laborieux. D’où l’importance de stopper l’infection en amont. Lire la suite
Ransomware : s’y retrouver dans le processus de remédiation
Si des systèmes sont bloqués par un rançongiciel, à quoi convient-il de donner la priorité ? Ce plan aide à éviter des problèmes supplémentaires avant de lancer la remédiation. Lire la suite
Ransomware : les premiers enjeux de la reconstruction
Les équipes de Wavestone ont été amenées à intervenir sur plusieurs situations de crise provoquées par des infections de rançongiciel. Gérôme Billois partage son expérience avec la rédaction. Lire la suite
3Conseils d’experts-
Combiner prévention et préparation
Ransomware : une préparation solide en 20 mesures
Être prêt à faire face à la menace des rançongiciels suppose de couvrir la prévention en réduisant autant que possible le risque d’exécution du maliciel, mais également la réponse, notamment avec des sauvegardes bien protégées. Lire la suite
Ransomware : où concentrer ses efforts de détection ?
L’automne est marqué par une activité particulièrement intense des cyberdélinquants adeptes des rançongiciels. Ces derniers ne brillent toutefois pas par leur furtivité. C’est leur mode de distribution qui s’avère redoutable. Lire la suite
Contre les ransomwares, la difficile chasse aux signaux faibles
Il ne semble plus y avoir que l’épreuve de la reconstruction à craindre d’une attaque par rançongiciel. De quoi encourager au renforcement des capacités de détection. Mais cela n’a rien de généralisé. Lire la suite
Emotet : comment éviter une cyberattaque conduite avec ce malware ?
… et se prévenir d’une éventuelle détonation ultérieure d’un ransomware. En combinant filtrages multiples, protection du poste de travail, renseignement sur les menaces, et journalisation, suivant une approche de contrôle continu. Lire la suite
Mimikatz, déplacement latéral : comment se protéger ?
Ce logiciel – ou du moins les techniques qu’il utilise pour dérober des données d’authentification – est souvent impliqué dans les attaques de ransomware. Son créateur, Benjamin Delpy, explique comment s’en protéger. Lire la suite
Active Directory : pourquoi réplication ne vaut pas sauvegarde
La réplication automatique de la base de données d’annuaire entre contrôleurs de domaine, n’a pas d’autre vocation que d’assurer une disponibilité permettant la continuité de l’activité. Lire la suite
Ransomware : un vaccin utile, mais au pouvoir limité contre la double extorsion
Baptisé Raccine par son créateur, l’expert Florian Roth, ce logiciel bloque les ransomwares qui essaient d’effacer les snapshots de Windows. L’approche est assurément prometteuse, mais ce n’est hélas pas un remède miracle. Lire la suite