Le jour où les ransomwares ont changé de dimension ?

Publié le

L’alerte nous vient des États-Unis, des ransomwares d’un nouveau genre, ciblés et touchant directement les entreprises auraient vu le jour. Quels sont leurs caractéristiques et comment prendre en compte ce risque ?

Des ransomwares d’un nouveau genre

Les ransomwares sont aujourd’hui très répandus, des milliers d’attaques ont lieu chaque jour et de très nombreuses entreprises sont touchées. Mais cela uniquement par « malchance » car les ransomwares que nous connaissons aujourd’hui ne ciblent personne en particulier. Ils sont  en effet envoyés dans des vagues massives de faux emails, avec des pièces jointes véroles. L’ouverture de  ces pièces jointes permettra au ransomware de se télécharger et entrainera le chiffrement des données présentes sur le poste de travail mais également sur  les disques réseaux partagés.

Quelques postes, quelques serveurs touchés, la gestion de l’incident est alors réalisée en quelques heures, voire quelques jours et les pertes sont souvent limites si des sauvegardes existent.

Mais ce schéma « classique » pourrait se voir supplanter par un nouveau type de ransomware : les ransomwares ciblés.

Des cas récents de ransomwares ciblés

Trois grandes sociétés aux États-Unis auraient été touchées très récemment.  Le mode opératoire de ces nouveaux ransomware rappellent les attaques ciblées : les attaquants s’introduisent sur le réseau en compromettant un poste puis rebondissent jusqu’à prendre le contrôle des infrastructures centrales. A la différence des attaques ciblées classiques, les attaquants ne volent pas de données mais utilisent les droits d’administration acquis pour distribuer un ransomware sur l’ensemble des postes d’une entreprise. Ce n’est alors plus quelques postes de travail qui sont touchés, mais plusieurs milliers. Les impacts sont alors considérables et se rapprochent de ceux subits lors d’attaque visant à détruire les machines comme chez Sony ou chez Saudi Aramco.

Repenser la cyber résilience pour inclure l’évolution de la menace

Même si ces attaques sont encore peu répandues et qu’elles n’ont pas totalement réussies, ces révélations posent beaucoup de questions sur les motivations des attaquants. Ces attaques peuvent  en effet être très lucratives, car pour retrouver les données infectées, le ransomware demande de payer une rançon. La question est de savoir si certaines entreprises paieront cette rançon. Si c’est  le cas, cela motivera encore plus les attaquants. Rappelons le cas de l’hôpital américain qui avait finalement payé la demande de rançon de 17 000 dollars en février dernier pour récupérer les données de leurs patients.

Pour les entreprises il est essentiel de se prémunir de ces attaques mais aussi de savoir les gérer. Se prémunir passe par une bonne hygiène informatique et surtout par une sécurisation poussée des mécanismes d’administration massive du SI (Active Directory, télédistribution…) et en particulier par la sécurisation des postes utilisés par les administrateurs du SI. La compartimentation du SI est aussi clé pour être capable de limiter les impacts (principe des cloisons étanches du bateau). Ces chantiers sont souvent en cours dans les grandes entreprises mais l’apparition de cette nouvelle menace ne peut que renforcer leur priorité.

D’autre part les processus de gestion de crise doivent être adaptés pour prendre en compte ce scénario qui pose le problème de la capacité même à gérer la crise si plus aucun poste de travail ou serveur n’est disponible. On retrouve alors certains mécanismes déjà prévus pour les scénarios destructifs comme l’approvisionnement rapide de machine ou l’existence d’un parc alternatif (avec des OS différents et/ou hors systèmes de gestion de parc classique) pour a minima gérer la crise. Les systèmes dans le cloud peuvent aussi être une réponse au moins partielle à cette problématique. À nouveau, ces réflexions sont en cours mais la prise en compte de ce scenario de risque est certainement à réévaluer.

 

Les ransomwares évoluent, ils se professionnalisent et font courir aux entreprises des risques forts d’indisponibilité massive du SI. Ces risques sont aujourd’hui inacceptables dans bons nombres d’entreprises. Il faut donc évaluer ces risques et les prendre en compte dans les prochains plans d’action.