Les ransomwares, sont une catégorie de malware qui ont pour but de rendre les données ciblées inutilisables ou d’empêcher l’accès à des systèmes informatiques jusqu’à ce qu’une rançon soit versée, généralement en monnaie virtuelle difficile à retracer.

Ils peuvent aussi bien chiffrer les données du poste de travail que les partages réseau qui lui sont accessibles.

Une menace de taille

L’étude 2016 Midyear Security Roundup: The Reign of Ransomware montre qu’au cours du premier semestre de 2016, il y a eu 172 % plus de cas détectés de ransomware que pendant toute l’année 2015.

Un autre élément à prendre en compte tient à la taille des sociétés ciblées. Du fait de leurs ressources financières et humaines limités les PME sont des cibles privilégiées des pirates.

Les cinq dernières années ont montré une augmentation constante des attaques ciblant les entreprises de moins de 250 employés.

43% des attaques concernent maintenant des PME.

Mieux vaut prévenir que guérir ?

Pour lutter contre un tel fléau, les compagnies doivent adopter les meilleures pratiques de sécurité telles que :

•  Garder les systèmes d'exploitation et les logiciels à jour.

•  S’assurer que le logiciel antivirus est à jour et activé, et lancer régulièrement la fonction de balayage pour déceler et retirer les virus.

•  Surveiller l’activité sur le réseau et gérer les niveaux d’autorisation.

•  Offrir une formation aux employés afin qu’ils fassent preuve de prudence. Éviter d'ouvrir les pièces jointes de messages de sources ; inconnues, surtout les fichiers .zip ;

•  Être vigilants et ne pas cliquer automatiquement pas sur des liens ou des pièces jointes dans les courriels ;

•  Faire régulièrement des copies de sauvegarde.

Les limites de la prise de copie traditionnelle

En général, les entreprises pensent pouvoir s’en sortir en restaurant les sauvegardes qu’elles avaient précédemment effectuées. L’ultime recours, en effet, pour éviter la rançon et retrouver l’accès aux données est de restaurer une sauvegarde datant d’un moment où le système n’était pas encore infecté.

Simple, non ? Pas si sûr ! Il existe plusieurs raisons pour lesquelles le recours à la copie de sauvegarde pourrait ne pas répondre à vos attentes.

RTO

Le RTO (Recovery Time Objective) est l’objectif de temps acceptable pour restaurer cette copie de sauvegarde afin que la compagnie puisse reprendre ses opérations. C’est le temps qu'il faut pour restaurer les données dans l'application dans laquelle elles vivent.

Les pirates escomptent que vous allez vous poser la question suivante :

Est-ce que cela risque de me coûter moins cher de payer la rançon que de restaurer mes données, si elles sont disponibles ?

RPO

Le RPO (Recovery Point Objective) fait référence à l’objectif de fraicheur des données sauvegardées, et donc à la fréquence des copies de sécurité.

Généralement les sauvegardes sont lancées quotidiennement. En supposant que la sauvegarde de la nuit dernière ait fonctionné, une quantité importante de travail pourrait encore être perdue si une attaque se produisait dans l'après-midi ou le soir avant la sauvegarde suivante. Si la sauvegarde de la nuit dernière échouait, vous pourriez perdre deux ou même trois jours de données.

Prises de copie infectées ou inutilisables

•  Avec la sophistication croissante des ransomwares est venue leur capacité d’analyser tous les lecteurs attachés au système infecté. Cela signifie que tout disque publié sous forme de lettre est potentiellement à risque d’être chiffré, y compris les disques réseau partagés. Si vos sauvegardes sont accessibles depuis un système infecté, le ransomware peut chiffrer ou effacer vos données sauvegardées.

•  Le ransomware pourrait, en théorie, exploiter une vulnérabilité dans le système d'exploitation ou le logiciel de protection des données, et corrompre les sauvegardes directement.

•  Lorsque les sauvegardes sont stockées sur disques et que le ransomware cible un compte disposant de privilèges suffisants, l’attaque pourrait rendre la copie de sauvegarde inutilisable.

Recommandations

Il s’agit de revenir à un point de restauration dans le temps avant le chiffrement des données du ou des systèmes infectés, idéalement en respectant les objectifs de services associés.

Autrement dit, nous voulons être certains qu’un tel point de restauration soit intègre et utilisable.

Quelles sont les conditions à respecter pour ce faire ?

Protéger le serveur de prise de copie

•  Pour des raisons de sécurité, travailler sur un poste local avec un compte administrateur de domaine est absolument déconseillé, car cela peut entraîner une propagation très rapide des ransomwares sur l’ensemble du réseau.

•  C’est pourquoi vous devriez utiliser des informations d'identification différentes pour la sauvegarde et les utiliser uniquement à cette fin.

•  En outre, seuls les comptes en charge des opérations de sauvegarde devraient pouvoir accéder au serveur.

Protéger la cible de prise de copie

•  Les droits d’accès au serveur de répertoires de sauvegarde doivent être restreints de manière à ce que seul le compte du service du logiciel de prise de copie ait accès au serveur et au système de fichiers de sauvegarde.

•  Dans le cas des systèmes NAS, seul le compte du service du logiciel de prise de copie doit recevoir les droits d’accès au répertoire de sauvegarde.

•  Les appliances de déduplication telles que celles de Data Domain exigent leurs propres informations d'identification, qui ne sont pas nativement accessibles à partir du système d’exploitation supportant le logiciel de prise de copie.

Appliquer la règle 3-2-1-0

Selon cette règle, 3 copies des données (dont celle de production) de l’entreprise doivent être enregistrées sur 2 supports différents et 1 copie doit se trouver hors site.

Le 0 fait référence au fait que l’intégrité des prises de copie est vérifiée, et que cette dernière ne contient pas d’erreurs.

Utiliser au besoin des fonctionnalités avancées

Les entreprises peuvent bénéficier d’une disponibilité supplémentaire et de nouvelles manières d’implémenter la règle du 3-2-1 grâce aux snapshots de baie de stockage et aux VMs (Virtual Machines ou machines virtuelles) répliquées.

Ce sont des instances de données « semi-hors-ligne » qui peuvent s’avérer résistantes à la propagation des logiciels malveillants.

Dans ce dernier cas conservez suffisamment de snapshots et de replicas pour pallier une attaque et répondre aux niveaux de services requis.

Conclusion

Les ransomwares sont devenus des produits permettant aux cybercriminels de créer une source fiable et récurrente de revenus extorqués à des victimes dans le monde entier. Ils vont jusqu’à revendre leurs produits sous forme de service (Ransomware as a Service) à des franchisés.

Même avec une protection multi-niveau et une sensibilisation de vos usagers, vous ne pouvez pas être certain de contrer toutes ces attaques. Il est dès lors vital de mettre en œuvre les mesures importantes de protection des données afin pouvoir récupérer efficacement.

Les attaques par ransomware deviennent un élément déterminant à prendre en compte dans un plan de continuité, au même titre qu’une panne de courant, une catastrophe naturelle ou une panne de système.

Voici bien des raisons majeures de revisiter au plus vite votre plan de continuité des affaires avec les experts reconnus tels que ceux de Present. 

 Crédit photo : © Florian Roth - Fotolia.com