Comprendre «l'après-ransomware» aide les MSP à protéger leurs clients
Les MSP ont un rôle important à jouer pour aider les PME à se protéger contre les ransomwares. Comprendre ce qui se passe après l'attaque permet de réaliser que le danger est réel.
Mis à jour le 22 février 2024Aujourd'hui, nous avons tous malheureusement entendu parler de ce type de stratagème criminel. Nous savons - plus ou moins - comment l'attraper, ce qui se passe lors de l'attaque du ransomware, mais nous avons beaucoup moins de visibilité sur «l'après».
Ce n’est qu’en comprenant ce qui se passe «après» que nous nous rendons compte rapidement que le danger est loin d’être négligeable. Cela nous permet de comprendre parfaitement pourquoi nous devons vérifier, contrôler et analyser le moindre accès à nos machines, nos serveurs et nos employés.
La première chose que vous devez savoir c’est que lors de l'attaque, alors qu'ils chiffraient vos fichiers, alors qu'ils attaquaient votre machine, l'auteur continue son travail car dans de plus en plus de cas, l'activité principale pour eux est surtout après l'attaque.
Aujourd'hui, les attaquants ne se contentent pas d'infiltrer les machines. Ils analysent tous les documents qu'ils vous ont copiés - vos documents volés. Le ransomware n'est pas seulement le cryptage des informations, c'est l'accès pour ensuite tout autoriser. Ils sont devenus les maîtres de votre machine et ils vont vous faire chanter.
La première attaque est la prise en otages de machines et de fichiers par chiffrement. Ils vous demandent de payer le déchiffrement des documents pris en otage.
La deuxième attaque est la menace des pirates de divulguer vos informations afin d'alerter les autorités. Avec la possibilité de lourdes amendes de réglementations telles que le RGPD pour la non-divulgation d'attaques, cette deuxième attaque s'est avérée de plus en plus courante.
La troisième attaque est la vente aux enchères des données volées aux entreprises qui n'ont pas payé les deux premières tentatives de chantage.
Comprenez que tout est à vendre: les identifiants, les mots de passe et essentiellement toutes les données qu'ils peuvent collecter. Les attaquants font des échantillons - un peu comme chez votre parfumeur préféré - et ils contactent toutes les parties potentiellement intéressées. Un dépôt de garantie vous permettra ensuite de participer à cette vente aux enchères en ligne de style eBay.
Des partenariats existent désormais entre les opérateurs de ransomware pour profiter de ces données volées lorsque les rançons ne sont pas payées. Les opérateurs peuvent télécharger et exploiter ce pool de données plus large pour améliorer leurs propres opérations.
Ce ne sont pas seulement les opérateurs du ransomware eux-mêmes qui peuvent lancer une attaque. Après quelques mois dans la vie du ransomware, le modèle commercial peut désormais passer au ransomware-as-a-service (RaaS). Le recrutement est simple. Vous payez un taux allant de 10 $ à plusieurs centaines ou milliers de dollars. Même si vous n’y connaissez absolument rien, il existe des outils qui vous permettront malheureusement de nuire à tout le monde. Vous pouvez infiltrer, copier, crypter, envoyer un message et négocier.
Des redevances peuvent également être collectées par l'opérateur RaaS, allant de 30% à 70% du montant généré par le ransomware. Dans le cas d'un grand cabinet d'avocats new-yorkais, par exemple, les attaquants ont demandé 40 millions de dollars - 30% de ce type de paiement peut être une véritable motivation pour l'opérateur initial de partager ses outils! Certains opérateurs RaaS créent même des vidéos promotionnelles pour vous vendre leurs petits «jouets». Ceci et les nombreuses options complémentaires que vous pouvez louer vous donnent une idée de l'état d'esprit marketing de ces opérateurs.
Il est clair que nous avons affaire à des réseaux de plus en plus organisés. De plus, la technologie des ransomwares devient accessible à tous, y compris aux employés qui pourraient vouloir se venger d’une organisation. Tout cela fait effectivement des petites et moyennes entreprises (PME) des cibles extrêmement faciles car elles ne sont pas préparées.
Les Managed Service Providers (MSP) ont un rôle très important à jouer dans la protection de leurs clients PME. Ils ont une lourde responsabilité car ils détiennent les clés des systèmes d’information de leurs clients.
Personne aujourd'hui ne peut garantir honnêtement une sécurité à 100%. Il faut être organisé à l'avance et prêt pour le jour où ce genre de catastrophe se produira. Que devons-nous faire? Que ne faut-il surtout pas faire?
Des mesures préventives et proactives clés sont nécessaires pour fournir des couches supplémentaires de défense contre les ransomwares.
Protection contre les vulnérabilités
Les vulnérabilités connues sont une cible de choix. Il est essentiel de s'assurer que les systèmes d'exploitation et les applications sont sécurisés. Bien sûr, cela peut sembler rudimentaire, mais la réalité est même dans les environnements censé être complètement sécurisé, des vulnérabilités existent toujours, permettant aux attaquants d'accéder à votre réseau.
Protection contre les menaces
Si un attaquant entre, vous devez avoir un moyen de l'arrêter avant qu'il ne puisse faire quoi que ce soit de vraiment malveillant. L'AV, la protection des points de terminaison et la liste blanche des applications ne sont que quelques types de solutions de sécurité qui peuvent neutraliser une menace au moment où elle apparait.
Protection de l'environnement
Les attaques ne peuvent réussir sans une première connexion au système contenant les données de valeur. Le fait d'avoir une sorte d'authentification à deux facteurs associée à des contrôles d'accès contextuels et à une surveillance des connexions aidera à arrêter l'utilisation abusive des informations d'identification - bien avant qu'une violation réelle ne se produise.
Protection des données
Vous devez supposer que les méchants peuvent franchir les trois premières couches. S'ils le font, vous avez besoin d'un moyen de garder un œil sur les données que vous jugez dignes d’être volées. Cela signifie utiliser un audit d'accès au niveau des fichiers pour identifier et informer le service informatique d'un accès inapproprié.