Ransomwares et cyberextorsion

Chantage via Internet

Les ransomwares, aussi appelés rançongiciels, sont des malwares généralement utilisés dans le cadre de cyberextorsions dans un but financier. Des liens vers ces ransomwares sont dissimulés dans des pages Web ou des e-mails qui semblent légitimes. Une fois activé, le ransomware empêche toute interaction des utilisateurs avec leurs fichiers, applications ou systèmes jusqu'au versement d'une rançon, qui prend souvent la forme de monnaies anonymes telles que le Bitcoin. Il s'agit d'une cybermenace sérieuse, en plein expansion, qui touche souvent les particuliers, même si des attaques de grande ampleur à l'encontre d'entreprises ont récemment fait les gros titres. Les sommes réclamées varient selon les cibles, et vont de quelques centaines à plusieurs millions de dollars.

Lorsqu'un système est infecté, il existe peu de recours. Si la rançon n'est pas versée, les représailles annoncées par l'attaquant (indisponibilité, perte de données sensibles, etc.) s'abattent sur la victime. Et même si celle-ci paye, elle reste vulnérable aux attaques de ce même auteur ou d'autres cyberpirates.

D'une manière générale, que vous décidiez de payer ou non, il est déjà trop tard.

Access Denied

LES DANGERS DES RANSOMWARES

Un ransomware, dès qu'il infecte le système de l'utilisateur, crypte les fichiers critiques ou bloque l'accès utilisateur à l'ordinateur. Il affiche ensuite un message exigeant le paiement d'une rançon, dans une monnaie virtuelle, en échange d'une clé cryptographique censée décrypter ou déverrouiller les ressources. Parfois, les auteurs menacent de divulguer publiquement les données compromises si l'entreprise ne se soumet pas à ce chantage.

Certains ransomwares sont capables de passer d'un système infecté à un serveur de fichiers connecté ou à un autre hub réseau qu'ils infectent ensuite. 

Les conséquences d'une telle attaque sont immédiates, contrairement à celles de malwares plus discrets utilisés, par exemple, dans les attaques APT. Au vu des récentes affaires qui ont fait la une des médias, les ransomwares et leurs effets complexes, notamment les préjudices financiers et interruptions des activités qu'ils provoquent, inquiètent tant les particuliers que les entreprises et les États.

 

TYPES DE DOMMAGES DUS AUX RANSOMWARES

FE-Diagram-Ransomware-Types01_FR
FE-Diagram-Ransomware-Types02_FR
FE-Diagram-Ransomware-Types03_FR

Lutte contre les ransomwares

Les ransomwares emploient souvent les vecteurs du Web ou de la messagerie électronique. Il est donc essentiel que les équipes de sécurité surveillent ces canaux afin d'y repérer tout signe d'attaque.

Les attaques Web utilisent généralement des exploits drive-by ciblant les failles de sécurité des navigateurs, plates-formes ou systèmes. Une autre tactique consiste à tirer parti d'URL ou de publicités malveillantes (malvertising) pour rediriger l'utilisateur vers des sites qui hébergent les kits d'exploits. Dès qu'un système est sous son emprise, le ransomware peut se déplacer vers d'autres serveurs ou systèmes connectés sur le réseau. Généralement, les ransomwares transmis par e-mail sont employés dans le cadre d'attaques ciblées et font appel à diverses méthodes, notamment le phishing, le spear phishing, ou encore des URL et pièces jointes malveillantes.

Trois mesures s'imposent pour se protéger efficacement contre les ransomwares :

  • Analyser rigoureusement le processus d'infection pour déterminer le chemin emprunté par l'attaque et identifier les vulnérabilités des systèmes. 
  • Étudier le code malveillant pour identifier l'objectif poursuivi et déterminer les signes d'activité (analyse comportementale). 
  • Bloquer l'accès des machines infectées aux serveurs de commande et contrôle (CnC), utilisés pour l'exfiltration de données ou le téléchargement d'autres malwares.

Cette approche défensive repose sur l'identification et le recoupement, sur plusieurs vecteurs d'attaques, des signes avant-coureurs souvent négligés par les solutions de sécurité traditionnelles. Nos solutions de sécurité avancée, notamment les séries FireEye NX (sécurité du réseau) et FireEye EX (sécurité de la messagerie électronique) ou encore le service FireEye Email Threat Prevention Cloud  (ETP), empêchent les ransomwares de prendre le contrôle. Pour ce faire, ils bloquent les kits d'exploits, les téléchargements de malwares et les communications de rappel vers les serveurs CnC. De plus, ils réduisent l'impact global des ransomwares en retraçant le déroulement et la méthodologie de l'attaque, et en partageant des renseignements sur les menaces pour repousser toute attaque ultérieure.  

COMMENT LES PRODUITS DE SÉCURITÉ DE LA MESSAGERIE ÉLECTRONIQUE DÉTECTENT ET BLOQUENT LES ATTAQUES E-MAIL PAR RANSOMWARE


COMMENT LES PRODUITS DE SÉCURITÉ DU RÉSEAU DÉTECTENT ET BLOQUENT LES ATTAQUES WEB DE TYPE RANSOMWARE


Critères de sélection d'un dispositif de cyberdéfense contre les ransomwares

Les outils de cybersécurité n'offrent pas tous la même efficacité. Tant les fonctions que les performances des solutions proposées par les divers fournisseurs diffèrent profondément. Voici divers critères auxquels doit répondre une solution de cybersécurité pour vous protéger contre les ransomwares :   

  • Protection en temps réel pour empêcher ou gêner l'activation des ransomwares — Il s'agit d'une fonctionnalité très importante, mais compliquée à mettre en œuvre. Lorsque vous recevez une demande de rançon, il est déjà trop tard : vos fichiers système ou données sont déjà cryptés. 
  • Protection instantanée — Dans le cas de demandes de rançon envoyées par e-mail, le dispositif de sécurité doit agir comme un agent de transfert de messages (MTA). L'objectif est double. D'abord, il faut garantir que tous les e-mails seront routés via les défenses de la messagerie. Ensuite, il faut réduire tout délai dans la détection des menaces ; un risque qui se pose en cas d'analyse hors ligne ou hors bande. 
  • Cyberveille exploitable et rapidement actualisée — Les systèmes de sécurité qui ne sont actualisés qu'à intervalles de plusieurs jours ou semaines laissent plus de temps aux cyberpirates pour cibler différents systèmes de votre entreprise avec le même ransomware. La cyberveille contextuelle peut déceler d'éventuels signes avant-coureurs critiques et ainsi prévenir de futures attaques. Des informations de cyberveille sur les attaquants, alliées à une connaissance pointue des indicateurs d'intention, permettent même de prévoir les menaces futures, s'y préparer et les contrer efficacement.  
  • Recherche des menaces sur tous les vecteurs d'attaques critiques — Les attaques par ransomware utilisent des URL malveillantes pour le téléchargement de malwares, ou communiquent avec un serveur de commande et contrôle (CnC) pour déterminer à quel moment s'activer. Dès lors, la seule protection de la messagerie électronique ne suffit pas. Les solutions les plus performantes sont capables de suivre la progression d'attaques multiphases sur plusieurs vecteurs pour identifier les e-mails en apparence inoffensifs qui contiennent des liens vers les sites hébergeant le ransomware.
 
Les produits et services FireEye offrent tous ces fonctionnalités de défense contre les ransomwares.

Détection et prévention des ransomwares

Sécurité de la messagerie électronique

Détectez et bloquez les e-mails de phishing et les pièces jointes malveillantes qui mènent à des attaques par ransomware.

Sécurité du réseau

Détectez, identifiez et bloquez les attaques par ransomware transmises par le Web.

Analyse des attaques par ransomware

Analyse forensique des terminaux

Analysez les activités Web, e-mail et les autres activités système au niveau du terminal pour décortiquer les mécanismes d'attaque des ransomwares.

Services d'experts

Sécurité sous forme de service

Faites appel à des services de surveillance assurés par des experts pour détecter, valider et contrer les ransomwares les plus récents.

Services de conseil et de diagnostic

Employez des services de diagnostic pour tester et améliorer vos capacités de détection et d'intervention face aux ransomwares.

Automatisation des étapes entre la détection et l'intervention

Orchestration de la sécurité

Automatise le flux allant de la détection à l'intervention sur incidents pour réduire la durée et l'étendue de l'exposition, optimiser les ressources et limiter l'impact.