Ransomwares

Des solutions efficaces pour protéger vos données critiques

Les ransomwares (aussi appelés rançongiciels) sont des malwares généralement utilisés dans le cadre de cyberextorsions dans un but financier. Ce type d'attaque paralyse instantanément les fichiers, applications ou systèmes de la victime. Cette dernière doit alors s'acquitter d'une rançon contre laquelle l'attaquant rétablira l'accès à l'aide d'une clé de décryptage.

Une solution avancée de prévention et détection, alimentée par une cyberveille directement exploitable, constitue la meilleure défense contre les ransomwares et d'autres attaques avancées. La solution FireEye vous protège contre ce fléau croissant et mutant que sont les ransomwares. Elle bloque activement de multiples vecteurs d'attaque en temps réel pour empêcher toute activation du ransomware, évitant ainsi des pertes financières et des perturbations de vos activités.

Vidéo

Ransomwares : méthodes de protection des terminaux

Comment fonctionne la solution FireEye contre les ransomwares ?

Chaque composant de la solution FireEye contribue à renforcer votre cybersécurité. En combinant les éléments suivants, vous érigerez le dispositif de défense le plus efficace qui soit face aux ransomwares.

FireEye Email Security

L'analyse hors ligne et dans le cloud est souvent trop lente pour empêcher le ransomware de crypter vos systèmes et données. Déployée en mode blocage actif sur site (EX) ou dans le cloud (ETP), la solution FireEye Email Security agit comme un agent de transfert des messages (MTA). Elle peut ainsi mettre en quarantaine, analyser et bloquer les e-mails de ransomware avant qu'ils n'atteignent le destinataire.

Son fonctionnement en temps quasi réel et son architecture de stockage et de transfert permettent de bloquer efficacement de nombreuses attaques, avec une incidence minime sur les activités.

FireEye Endpoint Security

Les terminaux et leurs utilisateurs constituent le point de départ des attaques par ransomware. Celles-ci agissent à couvert par des processus difficiles à détecter qui exploitent les vulnérabilités d'applications courantes. FireEye Endpoint Security détecte et analyse ces processus pour repérer un exploit en cours, et donne aux analystes les informations dont ils ont besoin pour bloquer la menace. Ces derniers bénéficient notamment d'une excellente visibilité sur les terminaux pour mener une enquête approfondie qui limitera les dommages et adaptera le dispositif de prévention de nouvelles attaques.

FireEye Network Security

L'intrusion d'un ransomware suit trois grandes étapes : l'infection initiale, le cryptage des fichiers et la communication avec le serveur CnC. FireEye Network Security identifie le processus d'attaque, puis détecte et bloque la communication entre les serveurs qui distribuent le code malveillant crypté sur la machine de la victime et les serveurs de rappel (CnC).

Au cœur de la solution FireEye Network Security, le moteur FireEye Multi-Vector Virtual Execution™ (MVX) analyse rapidement le trafic et détecte des attaques multi-phases, y compris celles distribuant des malwares cryptés qui échappent aux solutions sandbox classiques.

FireEye Threat Intelligence

Toutes les appliances FireEye déployées chez nos clients peuvent détecter les techniques de ransomware existantes, émergentes ou inédites grâce à l'appui de FireEye Dynamic Threat Intelligence (DTI), une base de données mise à jour toutes les 60 minutes pour analyser les dernières tendances des malwares et ransomwares de façon codifiée.

De plus, FireEye iSIGHT Intelligence produit une cyberveille tactique, opérationnelle et stratégique qui aide les entreprises à mieux gérer les risques et à agir rapidement contre les ransomwares et autres menaces actuelles. Cette cyberveille se fonde sur plusieurs sources : les environnements de développement des attaquants, une connaissance approfondie de leurs outils, tactiques et procédures, ainsi que des centaines de missions sur le terrain. Constamment mises à jour, ces informations sont contextualisées et partagées sur un réseau de cyberveille qui aide les équipes de sécurité à anticiper, détecter et réagir aux attaques par ransomware.

TÉMOIGNAGE

“FireEye nous évite de faire la une de l'actualité, ce qui est une excellente chose !”

- Jeremy Taylor, Administrateur réseau, AAFCU

Air Academy Federal Credit Union

Lire l'étude de cas
Air Academy Federal Credit Union garde un coup d'avance sur les menaces de cybersécurité grâce à FireEye.

La menace grandissante des ransomwares

Les demandes de rançon sont en constante progression depuis le 2e semestre 2015. Si aucune entreprise n'est épargnée, les PME sont particulièrement ciblées. En cause : des budgets et une expertise limités malgré une forte dépendance vis-à-vis de leurs données.

Comment se déroule une attaque par ransomware ?

La plupart des infections par ransomware observées sont introduites via des pièces jointes aux e-mails ou des liens incorporés. Les attaquants ciblent souvent des membres clés du personnel et des ordinateurs essentiels de l'entreprise par le biais de tactiques d'ingénierie sociale et du spear phishing.

Les attaques par ransomware transmises via le Web utilisent généralement des kits d'exploits de type « téléchargements drive-by ». Ceux-ci exploitent les vulnérabilités des navigateurs, des applications et des systèmes selon un processus en plusieurs phases :

Phase 1 : L'attaquant infecte un site Web légitime ou pirate un réseau publicitaire pour y insérer du code malveillant.

Phase 2 : Il profile le système de l'utilisateur et redirige celui-ci vers une autre page Web équipée d'un kit d'exploits qui détecte les logiciels vulnérables sur l'ordinateur, notamment les anciennes versions Java ou Flash.

Phase 3 : Il distribue une charge active cryptée, dissimulée ou codée sur le système de l'utilisateur. Le ransomware est opérationnel dès que la charge active est décryptée.

Phase 4 : Le ransomware établit une connexion avec un serveur de rappel (CnC) à partir duquel l'attaquant pourra configurer les clés uniques destinées au cryptage des données de la victime.

Pourquoi êtes-vous vulnérable ?

Les attaquants les plus habiles testent les dispositifs de défense traditionnels (antivirus, pare-feux de nouvelle génération, passerelles email/Web sécurisées, systèmes IPS) et adaptent leurs tactiques en conséquence pour les contourner. Malheureusement, ces systèmes basés sur l'analyse statique et les signatures ne présentent aucune des caractéristiques suivantes :

  • Mises à jour suffisamment rapides pour suivre l'évolution des menaces
  • Optimisation et automatisation des opérations pour détecter des menaces émergentes et inconnues en temps réel
  • Détection des communications cryptées et personnalisées entre un hôte infecté et un serveur de commande et contrôle (CnC) externe
  • Protection contre les attaques par ransomware multiphases via le Web ou l'e-mail, qui échappent aux solutions sandbox classiques

 

 

MÉCANISME D'INFECTION PAR E-MAIL

MÉCANISME D'INFECTION PAR E-MAIL

 

MÉCANISME D'INFECTION VIA LE WEB

MÉCANISME D'INFECTION VIA LE WEB

lindsay-white-logo

Read the customer story
Lindsay Automotive Group stops email-borne threats in their fast-growing business.

TESTIMONIAL

“I never anticipated that we could protect our environment with exactly the same security solutions used by government agencies and Fortune 50 companies: I can now sleep at night!”

- Paul Moline, Chief Information Officer, Lindsay Automotive Group

Élaboration d'un business case

Ressources connexes

Vous êtes prêt ?

Demandez des compléments d'informations sur les solutions FireEye, leur implémentation ou tout autre sujet.
Nos experts en sécurité se tiennent à votre disposition, prêts à répondre à toutes vos questions.

+1 888-227-2721 +27 105008408 +49 35185034500 +61 281034308 +32 28962867 +1 877-347-3393 +82 7076860238 +971 45501444 +34 932203202 +358 942451151 +33 170612726 +852 3975-1882 +91 80 6671 1566 +353 (0)216019160 +39 0294750535 +81 345888169 +03 77248276 +52 5585268207 +64 32880234 +31 207941289 +48 223072296 +44 2036087538 +7 4954658084 +65 31585101 +94 788155851 +46 853520870 +886 2-5551-1268 +27873392 +842444581914