Rançongiciel

Certains cybercriminels se spécialisent dans l’obtention d’accès initiaux, souvent par le biais de l’hameçonnage ou de vulnérabilités logicielles, puis les vendent sur le dark web. 

Ces pirates d’accès initiaux recherchent les actifs vulnérables exposés à Internet et exploitent les vulnérabilités connues pour accéder à votre système. Lorsqu’ils ne peuvent pas exploiter les appareils, ils exploitent la confiance en autrui. Une fois l’accès obtenu, ils peuvent s’attaquer à d’autres vulnérabilités afin d’augmenter leurs privilèges ou se déplacer au sein de votre réseau. Ils utilisent également des outils de sécurité légitimes pour évaluer votre système.

En règle générale, le cybercriminel prend également des mesures pour esquiver la consignation, la détection et la réponse.

CE QUE FONT LES CRIMINELS

Les organisations dont les sauvegardes sont difficiles à atteindre par les cybercriminels sont beaucoup moins susceptibles de devoir payer une rançon. Les cybercriminels ciblent souvent les sauvegardes pour limiter vos options dans les situations critiques. Ils peuvent supprimer des machines virtuelles entières qui hébergent des sauvegardes ou modifier des fichiers critiques et attendre que le point de récupération souhaité ne soit plus disponible pour lancer complètement leur attaque.

EXFILTRATION DES DONNÉES

Dans la plupart des incidents inhérents à un rançongiciel, les cybercriminels volent également des données. 

LANCEMENT D’UN RANÇONGICIEL

Les nouvelles variantes de rançongiciel allient un chiffrement plus rapide à de meilleures techniques de chiffrement pour rendre la récupération plus difficile. 

DEMANDE DE RANÇON

Les cybercriminels utilisent depuis peu de nouvelles techniques pour accroître la pression exercée sur une organisation afin qu’elle paie. L’une d’entre elles consiste à contacter directement les employés en joignant leurs informations personnelles. Ils tentent de discréditer une organisation afin de contrôler le processus de réponse à l’incident et le présenter comme inefficace afin de mettre la pression sur leur demande de rançon.

L’hameçonnage est l’un des principaux moyens utilisés par les cybercriminels pour voler des informations d’identification ou inciter les employés à télécharger des logiciels malveillants.

RÉDUCTION DE L’EXPOSITION AUX E-MAILS D’HAMEÇONNAGE

Mettez en œuvre des mesures susceptibles de modifier le traitement des e-mails suspects (les normes de sécurité des e-mails SPF, DKIM, DMARC peuvent contribuer à atténuer les attaques par hameçonnage et à travers des e-mails indésirables). Pensez à bloquer les e-mails provenant de nouveaux domaines, qui peuvent avoir été créés par des cybercriminels à des fins d’hameçonnage.

Appliquez les correctifs aux serveurs de messagerie sur site afin de compliquer la tâche des cybercriminels.

ÉVALUATION INTELLIGENTE DES E-MAILS

Déclenchez et évaluez automatiquement les pièces jointes et les liens entrants dans un environnement sandbox afin de déterminer s’ils sont malveillants avant que l’utilisateur ne les reçoive.

La mise à jour des systèmes et des applications est essentielle pour prévenir les accès non autorisés et les intrusions par des logiciels malveillants.

GESTION DES ACCÈS

Mettez en place des mesures appropriées d’accès général aux systèmes par les utilisateurs à l’échelle de l’organisation comme l’accès privilégié aux actifs critiques (serveurs, terminaux, applications, bases de données, etc.) et appliquez l’authentification multifacteur.

GESTION DE VOS ACTIFS

Votre système d’inventaire de gestion des actifs doit intégrer un outil de découverte des actifs qui cartographie en permanence les appareils connectés à votre réseau interne, une base de données des actifs à jour et une base de données de gestion de la configuration à jour.

MISE EN ŒUVRE DE L’EDR

Lorsqu’ils sont déployés et surveillés de manière efficace, les outils de détection et réponse aux terminaux (EDR) constituent l’une des meilleures défenses contre les rançongiciels et autres attaques de logiciels malveillants.

Les solutions EDR surveillent les serveurs, les ordinateurs portables et de bureau, ainsi que les appareils mobiles gérés pour détecter les signes d’activité ou de comportement malveillant ou inhabituel des utilisateurs. Ces outils permettent également aux experts en sécurité d’apporter une réponse rapide. La solution EDR doit être configurée en mode application plutôt qu’en mode audit. 

OBTENTION D’UNE ÉVALUATION DE LA CONFIGURATION OU D’UN TEST DE PÉNÉTRATION

De nombreuses organisations bénéficient d’une aide extérieure pour identifier les faiblesses des pare-feu ou des commutateurs à l’origine de mouvements latéraux dans leur système, et pour comprendre comment un cybercriminel pourrait être en mesure de se déplacer dans leur système.

SÉCURISATION DE VOS SAUVEGARDES

Les sauvegardes doivent être effectuées sur un périphérique non virtuel et être, si possible, immuables. En cas de réplication active des sauvegardes vers une installation hors site, la compromission d’une copie pourrait rendre les autres inutilisables. 

Conservez les journaux du pare-feu. Ces derniers se renouvellent fréquemment. Si vos journaux sont centralisés, protégez-les et conservez-en une copie. Dans la mesure du possible, déconnectez du réseau les appareils dont vous suspectez la compromission. Veillez à ne pas les éteindre si cela est possible.