Les attaques par ransomware se multiplient. De nouveaux malwares, disponibles clefs en main sur le darknet, allient facilité de déploiement et chiffrement de haut niveau pour un effet toujours plus dévastateur. Aucune organisation n’est épargnée : établissements publics, entreprises, usines, etc.
Le scénario d’une attaque ransomware, du point de vue de la victime, commence toujours de la même manière. Le système d’information (SI) se fige soudainement et une demande de rançon apparaît sur les écrans. Comment, à partir de cet instant crucial, réagir et s’assurer que la menace est bien écartée une fois la phase de restauration des données complétée ?
En aucun cas vous ne devez céder à la panique et agir sans avoir établi au préalable un plan d’action. Idéalement, ce plan d’action doit être défini en amont, mais si ce n’est pas le cas, il faut impérativement se donner le temps de la réflexion et de la consultation, y compris auprès d’experts.
Pendant cette phase d’évaluation, cinq bonnes pratiques peuvent vous aider à mieux aborder la crise.
- Ne pas éteindre les systèmes impactés. Très souvent, le ransomware n’est pas présent sur le système de stockage de l’ordinateur, mais uniquement en mémoire vive. En coupant l’alimentation de l’équipement, le malware est effacé… Ainsi que les possibilités de l’identifier et de le cibler. Pouvoir récupérer le code du malware permet parfois de trouver la clé de chiffrement par reverse engineering et ainsi de récupérer ses données. Il ne faut donc pas éteindre les systèmes impactés, mais les déconnecter du réseau, afin de freiner la propagation de l’attaque.
- Ne pas payer la rançon. Certaines organisations souffrent plus que d’autres des effets d’un ransomware. L’arrêt de la production dans une usine par exemple se paye au prix fort, ce qui peut pousser la direction à payer rapidement la rançon. C’est une erreur, car cela confirme la pertinence de leur business plan aux yeux des criminels. En prouvant qu’elle est prête à payer, l’entreprise prend le risque de devenir la cible idéale pour de futures attaques, y compris d’autres groupes de hackers.
- Maîtriser la communication, interne et externe. Même si l’entreprise a une obligation légale de communiquer publiquement sur l’incident – en particulier en cas de fuite de données – il n’est pas judicieux de le faire sans avoir des informations complètes, notamment sur la nature exacte des données qui ont pu être exfiltrées. Il convient d’analyser avant de communiquer, et d’éviter les fuites internes afin de conserver la maîtrise de sa communication.
- Ne pas se connecter aux systèmes infectés avec des comptes à privilèges. Ces derniers disposent de bien trop de pouvoir, lequel pourrait être mis à profit par les pirates, le ransomware n’étant parfois pas le seul malware circulant sur le système. Il est préférable d’utiliser des comptes à usage unique, dédiés à la réponse aux incidents. Il sera alors possible de prendre note des actions que ces comptes vont réaliser, et ainsi de repérer l’intervention éventuelle d’un pirate.
- Ne pas se fier à des outils non audités venant d’Internet. Face à une attaque, il est tentant d’aller chercher des solutions sur Internet. Il n’est pas recommandé d’installer des outils sans conseil préalable : certains peuvent tout simplement être des malwares. D’autres, mal conçus, peuvent détruire vos chances de traquer et d’éliminer le ransomware qui vous affecte. Les outils doivent impérativement avoir été testés et validés par des experts avant toute utilisation sur une machine infectée.
Retracer la kill chain et reprendre la main
Les ransomwares représentent souvent le dernier maillon d’une chaîne d’attaque (kill chain) bien plus longue. Le pirate est tout d’abord entré dans l’infrastructure par différentes méthodes (phishing, exploit kit, vulnérabilité zero-day…). Il a tenté par la suite d’avoir accès à des comptes privilégiés, puis s’est étendu sur le réseau. Enfin, il a effectué une reconnaissance et une cartographie du SI, puis il a extrait des données. Dernière étape, le lancement d’une attaque par ransomware sur l’ensemble de l’infrastructure IT.
Vouloir remettre en route le SI le plus rapidement possible via ses sauvegardes est une démarche risquée, car l’environnement restauré peut également être compromis. Remettre à zéro les mots de passe des comptes à privilèges n’est pas non plus la panacée… en particulier si le pirate a pris le contrôle d’infrastructures critiques, comme l’Active Directory de l’entreprise.
En résumé, il est impératif de savoir ce qui s’est passé et de rechercher toutes les compromissions touchant le SI, certaines pouvant dater de plusieurs années. Des outils d’EDR (endpoint detection and response) permettent de gagner en visibilité sur l’infrastructure et ses terminaux (ordinateurs, serveurs…). Une fois les backups vérifiés et restaurés, il faudra veiller à fermer tous les points d’entrée découverts au travers de ce travail d’enquête : supprimer les comptes compromis, reprendre la main sur les actifs stratégiques piratés, combler les failles de sécurité, etc.
Tirer des enseignements de l’incident
L’aide d’experts est un atout pour reprendre son SI en main. Mais aussi pour disposer d’informations sur le déroulé exact de l’attaque et la manière de se prémunir de la prochaine. Dans tous les cas, des processus devront être revus et des procédures mises en place pour renforcer les défenses de l’entreprise.
Il est impossible de prétendre empêcher les incidents de sécurité, mais vous pouvez prétendre retarder leur apparition et d’en diminuer autant que possible les effets.
Source : Fabien Bernard journaldunet.com