Comment lutter contre les ransomwares ?

Trois quarts des attaques aboutissent au cryptolockage des données. Se prémunir de ces attaques est une question de survie, un enjeu à ne surtout pas négliger tant les dégâts financiers sont conséquent. SCC et son partenaire Rubrik spécialisé dans la gestion des données dans les environnements multi cloud, proposent une solution en mode SaaS facilitant la détection des ransomwares et restaurant très rapidement les données infectées. En quoi consiste le ransomware, quels sont les retours d’expérience et l’offre de SCC et Rubrik afin de neutraliser les menaces les plus sophistiquées et complexes ?

Le principe du Ransomware

Un rançongiciel (ransomware en anglais) est un logiciel malveillant bloquant l’accès aux ordinateurs ou aux terminaux mobiles, en chiffrant les fichiers stockés à l’intérieur. Le cybercriminel réclame à la victime ou l’entreprise le paiement d’une rançon pour en obtenir de nouveau l’accès. Après un délai imparti, le pirate supprime la clé de chiffrement, rendant les données inexploitables. Et même si l’entreprise paie le pirate avant ce délai, rien ne garantit qu’il fournisse la clé de chiffrement.

Une cryptographie forte

Dans la majorité des cas, les cybercriminels exploitent des vulnérabilités connues dans les logiciels, mais dont les correctifs n’ont pas été mis à jour par les entreprises. Plusieurs formes de ransomware exploitent une cryptographie forte pour chiffrer les données, via une clé de chiffrement connue du pirate. La machine peut être infectée de plusieurs façons :

• après l’ouverture d’une pièce jointe,

• après avoir cliqué sur un lien malveillant reçu dans un mail,

• en naviguant sur des sites compromis,

• suite à une intrusion sur le système.

La technique du cybercriminel

Souvent, les cybercriminels diffusent de faux mails de sociétés en ligne, d’une banque, de la police, d’un tribunal ou encore des impôts, incitant l’utilisateur à cliquer sur un lien. Cette technique est appelée hameçonnage (ou phishing). Certaines attaques visent juste à endommager le système de la victime pour lui faire subir des pertes d’exploitation et porter atteinte à son image.

Les chiffres

La cybercriminalité est en constante augmentation et est économiquement destructrice. Au 3e trimestre 2020, les attaques ransomware ont bondi de 50% au niveau mondial et ont plus que doublé aux États-Unis. On compte plus de 43 000 variantes de logiciels malveillants détectées chaque jour.

Les institutions particulièrement touchées

Surchargées par la crise du Covid-19, les entités publiques sont touchées de plein fouet, notamment le secteur de l’éducation, ou encore les établissements de santé où l’informatique est utilisée pour des activités critiques. Au 1er semestre, les ransomware ont paralysé plusieurs hôpitaux. En octobre dernier, le FBI a alerté sur cette menace dirigée contre plusieurs hôpitaux américains, estimant que la vague n’en était qu’à ses débuts.

Même son de cloche dans le secteur privé. Plus récemment, durant les fêtes de Thanksgiving, le plus gros fabricant d’électronique au monde, Foxconn, s’est vu réclamer 34,6 millions de dollars en bitcoin, suite à un ransomware paralysant son infrastructure mexicaine.

Au total, 1200 serveurs ont été chiffrés. 10 Go de fichiers non chiffrés ont été volés et 20 à 30 To de sauvegardes supprimées.

Se prémunir contre des logiciels malveillants de plus en plus innovants

Dans de nombreux cas, une fois le rançongiciel installé sur l’ordinateur ou le smartphone, il n’y a plus rien à faire, à moins d’avoir installé une solution de sauvegarde ou un logiciel de sécurité.

Toutefois, la prévention contre ce risque est possible, en améliorant la détection des menaces, en investiguant de manière plus approfondie sur les alertes, et en lançant des actions ciblées pour éliminer les menaces.

Retours d’expérience SCC France et Rubrik

Pascal SEBAT, Business Unit Manager Data Protection chez SCC revient sur son expérience de terrain : «La grande majorité des attaques ransomwares visant des entreprises se produisent en dehors des horaires de travail standards, c’est-à-dire pendant la nuit ou le week-end. 75 % des sociétés consultées, victimes de ransomwares, avaient leur équipement réseau à jour et étaient non vulnérables à ce genre de sujet. Pourtant, ça n’a pas été le cas. »

Une ingénierie sociale plus professionnelle

Malgré les mises à jour des systèmes d’exploitation, et les logiciels classiques connus pour corriger les failles de sécurité, le problème a été contourné par les pirates. «Ces sociétés étaient dans les normes des constructeurs. Le problème avec le ransomware, c’est qu’on peut déclencher le virus à retardement, on peut le différer. Et malheureusement quand il se déclenche, il est trop tard. Malgré les cycles de sauvegarde réalisés, il faut remonter sur la dernière sauvegarde sans attaque, donc à 30 jours. Et pour une société, perdre 30 jours, c’est considérable !»

Détecter les attaques sur déclenchement

Grâce à des outils de surveillance utilisant le Machine Learning, il est possible de détecter des anomalies étudiant les taux de modifications élevées sur des structures de données, les tailles système et les modifications d’entropie. Comme le souligne Pascal SEBAT, « Aujourd’hui, le seul indicateur sur lequel on peut s’appuyer, c’est le taux de modification des données sauvegardées qui est relativement bas, aux alentours de 5%. Au-delà de ce taux, il faut s’inquiéter. »

Le taux de modifications : les contraintes

Pour François MARTI, Sales Engineer chez Rubrik : « Les entreprises ont des outils de backup and Recovery, mais ces outils n’ont pas été pensés pour ce type d’attaque. Le taux de modifications est une base de travail sur laquelle s’appuie l’administrateur des sauvegardes. Mais c’est un travail long et très itératif. Sans compter qu’il va falloir aller récupérer des informations aussi du côté utilisateurs. »

Rechercher et restaurer les fichiers infectés à la main est très fastidieux. Pascal SEBAT le confirme « L’administrateur de sauvegarde doit aller chercher l’information pour évaluer le taux de modifications. S’il est anormalement haut, il doit prendre ses dispositions : tout couper, analyser et restaurer les données de la dernière version. La gestion des sauvegardes reste un mécanisme très lourd pour les entreprises. »

Les solutions : l’automatisation en renfort

Des outils tels que Radar de Rubrik analysent en continu l’intégralité de l’environnement pour évaluer les modifications apportées aux données. Comme l’explique François MARTI : « Rubrik a positionné son interface en mode SaaS. On va apprendre de la production du client. On va faire du comportemental autour des machines pour pouvoir présenter un Dashboard complet des Workloads et des fichiers. L’administrateur n’aura plus qu’à cliquer sur l’interface pour récupérer ses fichiers et les réinjecter en production. »

Neutraliser les menaces de cybersécurité les plus avancées

Face aux attaques répétées des assaillants contre la production et le back-up, «Rubrik fournit une solution tout-en-un, poursuit François MARTI, aussi bien l’interfaçage pour l’administrateur que la sécurisation de son stockage interne. L’idée, c’est de fortifier la solution en local, d’avoir un système immuable, non attaquable pour positionner une interface dédiée à SAP. Vous savez si vous allez être attaqués et vous pouvez restaurer en vous basant sur les mécanismes de redémarrage rapide. »

Éviter tout dommage financier potentiel à long terme

Les attaques des ransomwares ne sont pas sans conséquence, comme l’indique Pascal : « paralysie de l’entreprise, mauvaise image véhiculée, ou même encore au niveau RGPD puisqu’on doit déclarer ce type d’incident ou d’accident. On parle très peu des petites ou moyennes entreprises qui ont fermé à cause de pertes de données dues aux ransomwares. Le seul remède, c’est de redémarrer à partir des sauvegardes, pour ceux qui en disposent. Sinon, c’est tout le patrimoine de l’entreprise qui part. »

Instaurer une défense en profondeur

Une gestion de données robuste passe par une technologie moderne. «Aujourd’hui dans l’infrastructure de nos clients, poursuit Pascal, le nombre de serveurs augmente considérablement. Lorsqu’on doit provisionner des machines, il y a un certain nombre d’outillages que l’on doit embarquer, comme la sauvegarde. Lorsqu’on provisionne une machine virtuelle par exemple; on embarque tous les outils de façon automatique. Plus la solution est agile, ouverte aux API, capable d’être programmée, pilotée ; plus il y a un vrai gain et un vrai intérêt pour nos clients. »

Faire preuve d’agilité

Disposer d’une solution de gestion optimale permet de réaliser les tâches quotidiennes sans s’inquiéter de perdre ses données. François MARTI rajoute « Rubrik propose de l’agilité dans son architecture, dans sa façon de concevoir le produit. Au-delà de la sécurité, c’est aussi simplifier la vie de tout le monde. Par exemple, nous avons remplacé chez un client 900 jobs de sauvegarde par quatre SLA’s Domain, définitions de job de sauvegarde, sur lesquelles la solution se base. Ensuite, on va simplement activer des fonctionnalités additionnelles pour avoir soit de la détection de ransomware, soit faire de la catégorisation de données, etc. »

Se réinventer

Alors que la fréquence des ransomwares ne fait qu’augmenter, les nouvelles solutions permettent de se protéger efficacement. Pascal SEBAT le confirme : « Par le passé, il n’y avait aucun moyen efficace de contourner ces attaques. Il fallait aller chercher l’information. À présent l’information est remontée par des solutions telles que Rubrik. »

François MARTI conclut : « L’idée de Rubrik, c’est de ne plus continuer comme on a fait très longtemps à envoyer des bandes dans un coffre-fort. C’est au contraire de capitaliser sur les différents points de sauvegarde, de façon à pouvoir en tirer de la valeur. »

Retrouvez l’interview de Pascal SEBAT et de François MARTI sur le site de la SCC Digital Week : https://scc-digitalweek.live/live/scc-digital-week-financement/