Guides Essentiels

Ransomware, une star sans rival des menaces en 2020

Introduction

Les boules de cristal des acteurs de l’industrie de la cybersécurité étaient formelles : 2020 promettait d’être pire que 2019 sur le front des rançongiciels. Cette prévision se retrouvait aussi bien chez Centrify, que chez Check Point, CyberArk, Darktrace, FireEye, Kaspersky, McAfee, Netwrix, RSA, ou encore Sophos. Le temps leur a donné raison : depuis le début de l’année, les attaques publiquement connues se sont multipliées, jusqu’à atteindre des sommets sans précédent.

Las, la détonation du ransomware n’est que la partie visible d’attaques qui, désormais, s’étendent en profondeur dans le système d’information, avec des assaillants empruntant largement aux APT. Car le chiffrement de fichiers n’intervient qu’en phase ultime d’opérations menées patiemment et ayant généralement conduit à une compromission étendue de l’infrastructure.

Elle peut avoir eu pour point de départ une campagne de hameçonnage, comme l’exploitation de vulnérabilités graves sur des équipements de périphérie.

Dès lors, il apparaît essentiel de travailler sur trois axes : la prévention, la détection et la préparation. Pour le premier, il s’agit de restreindre les possibilités d’intrusion initiale et de déplacement latéral dans le système d’information.
Le second se concentre sur la mise en place de contrôles visant à permettre de repérer les signaux faibles d’une attaque engagée.
Quant au troisième, il consiste surtout à se préparer à l’éventualité d’une attaque et, surtout, à son succès, afin de savoir gérer la crise efficacement et, autant que possible, rebondir au plus vite.
Et ces trois axes ont chacun une composante technique et une composante humaine, organisationnelle, qu’il convient de ne pas négliger.

Mais s’il ne se trouve personne pour dire que tout cela est bien simple, on relève tout de même quelques conseils d’experts de la cybersécurité qui peuvent réduire rapidement et considérablement le risque, sans nécessiter d’efforts insurmontables ni pénaliser significativement la productivité des collaborateurs. Certains de ces conseils sont répétés à l’envi depuis des années. Il est peut-être temps de les suivre… pour ne pas venir allonger la frise chronologique ci-dessous des attaques connues, en France, pour 2020.

Télécharger gratuitement ce dossier au format PDF

1Menaces-

Un éventail de victimes vaste et varié

Actualités

Ransomware : un mois de septembre 2020 sans précédent

La rentrée a été marquée par un nombre jamais égalé de cyberattaques connues impliquant un rançongiciel. Le fruit de la conjonction de multiples facteurs. Et ceux-ci ne laissent pas entrevoir de véritable apaisement. Lire la suite

Actualités

Ransomware : quand les assaillants atteignent leur but en un clin d’œil

Si les cyberdélinquants peuvent rester tapis longtemps dans le système d’information de leur victime, ils sont également susceptibles d’agir très très rapidement. Lire la suite

Actualités

Ransomware : CMA-CGM victime de la piraterie de Ragnar Locker

Le transporteur a dû couper les accès externes à ses applications IT, évoquant un problème avec son infrastructure interne. En France, la téléphonie est affectée. Lire la suite

Actualités

BTP, cabinet d’avocats : Maze revendique deux nouvelles victimes en France

Le premier, Léon Grosse, semble exposer trois équipements réseau qui auraient pu servir de point d’entrée. Mais sa migration passée vers le cloud pourrait l’aider. Le second, le cabinet Cornet Vincent Ségurel, penche pour la piste du hameçonnage. Lire la suite

Actualités

Ransomware : SPIE confirme avoir été frappé par Nefilim

Le groupe français spécialisé dans les domaines de l'énergie et des communications, indique que la détonation du rançongiciel est survenue dans la nuit du 13 au 14 juillet. Selon lui, « certains serveurs Windows » ont été affectés. Les assaillants commencent à diffuser des données dérobées à cette occasion. Lire la suite

Actualités

Quel ransomware s’est invité au département d’Eure-et-Loir, et par où ?

C’est l’ensemble de l’infrastructure du département profitant des services de connectivité d’Adista qui semble avoir été coupée, suite à la cyberattaque du premier week-end de juillet. On y trouvait notamment les serveurs de messagerie et un VPN Pulse Secure. Lire la suite

Actualités

Ransomware : Roger Martin refuse de céder au chantage

Ce spécialiste français de l’enrobage a été surpris par le déclenchement d’un rançongiciel mi-mars, tout juste alors qu’était lancé le confinement. Il apparaît décidé à résister à la pression des opérateurs de DoppelPaymer. Lire la suite

2Expériences-

La gestion de l’attaque, côté pile et côté face

Actualités

Guillaume Poupard (Anssi) voit du positif, mais un manque criant de préparation

Le patron de l’Agence a, pour la septième fois, ouvert les Assises de la sécurité qui se déroulent cette semaine à Monaco. L’occasion d’un point d’étape et d’un panorama des chantiers ouverts. Lire la suite

Actualités

Ransomware : les ratés de la communication de crise

Beaucoup minimisent initialement l’importance et l’étendue de l’attaque, lorsqu’elle est détectée. Ce qui se produit souvent au dernier moment. A la clé : un délicat exercice de réorientation bien involontaire de la communication. Lire la suite

Actualités

Ransomware : l’attaque peut être maîtrisée sans que la situation soit sous contrôle

La métropole Aix-Marseille-Provence en fait la douloureuse expérience. Les données volées par les opérateurs du rançongiciel Pysa, lors de l’attaque du mois de mars, viennent tout juste d’être divulguées. Lire la suite

Actualités

Ransomware : l’illusion d’un système d’information assaini

Les opérateurs de Maze ont récemment revendiqué la compromission réussie d’Artech. Une entreprise qui avait déjà été présentée par ceux de Sodinokibi comme l’une de leurs victimes, en début d’année. Lire la suite

Actualités

Enquête sur la face cachée des ransomwares : les négociations

Certaines organisations cèdent à la pression et l’assument. D’autres préfèrent le mutisme ou espèrent ainsi que la cyberattaque passera inaperçue. Mais les cyberdélinquants se préoccupent peu de ces espoirs de discrétion. Lire la suite

Conseils IT

Ransomware : pourquoi quand il détone, c’est vraiment trop tard

Les assaillants sont probablement installés de longue date dans le système d’information. Les travaux de reconstruction seront de toute façon longs et laborieux. D’où l’importance de stopper l’infection en amont. Lire la suite

Conseils IT

Ransomware : s’y retrouver dans le processus de remédiation

Si des systèmes sont bloqués par un rançongiciel, à quoi convient-il de donner la priorité ? Ce plan aide à éviter des problèmes supplémentaires avant de lancer la remédiation. Lire la suite

Projets IT

Ransomware : les premiers enjeux de la reconstruction

Les équipes de Wavestone ont été amenées à intervenir sur plusieurs situations de crise provoquées par des infections de rançongiciel. Gérôme Billois partage son expérience avec la rédaction. Lire la suite

3Conseils d’experts-

Combiner prévention et préparation

Conseils IT

Ransomware : une préparation solide en 20 mesures

Être prêt à faire face à la menace des rançongiciels suppose de couvrir la prévention en réduisant autant que possible le risque d’exécution du maliciel, mais également la réponse, notamment avec des sauvegardes bien protégées. Lire la suite

Actualités

Ransomware : où concentrer ses efforts de détection ?

L’automne est marqué par une activité particulièrement intense des cyberdélinquants adeptes des rançongiciels. Ces derniers ne brillent toutefois pas par leur furtivité. C’est leur mode de distribution qui s’avère redoutable. Lire la suite

Conseils IT

Contre les ransomwares, la difficile chasse aux signaux faibles

Il ne semble plus y avoir que l’épreuve de la reconstruction à craindre d’une attaque par rançongiciel. De quoi encourager au renforcement des capacités de détection. Mais cela n’a rien de généralisé. Lire la suite

Conseils IT

Emotet : comment éviter une cyberattaque conduite avec ce malware ?

… et se prévenir d’une éventuelle détonation ultérieure d’un ransomware. En combinant filtrages multiples, protection du poste de travail, renseignement sur les menaces, et journalisation, suivant une approche de contrôle continu. Lire la suite

Conseils IT

Mimikatz, déplacement latéral : comment se protéger ?

Ce logiciel – ou du moins les techniques qu’il utilise pour dérober des données d’authentification – est souvent impliqué dans les attaques de ransomware. Son créateur, Benjamin Delpy, explique comment s’en protéger. Lire la suite

Conseils IT

Active Directory : pourquoi réplication ne vaut pas sauvegarde

La réplication automatique de la base de données d’annuaire entre contrôleurs de domaine, n’a pas d’autre vocation que d’assurer une disponibilité permettant la continuité de l’activité. Lire la suite

Actualités

Ransomware : un vaccin utile, mais au pouvoir limité contre la double extorsion

Baptisé Raccine par son créateur, l’expert Florian Roth, ce logiciel bloque les ransomwares qui essaient d’effacer les snapshots de Windows. L’approche est assurément prometteuse, mais ce n’est hélas pas un remède miracle. Lire la suite