Comment réagir en cas de ransomware ?

Comment réagir en cas de ransomware ?

À l’ère du numérique, les cyberattaques, et en particulier les ransomware, constituent une menace omniprésente pour les entreprises de toutes tailles. Ces attaques peuvent paralyser les opérations, compromettre des données sensibles et causer des pertes financières substantielles. 

Face à cette menace croissante, il est impératif pour les responsables de la sécurité informatique de disposer d’un plan d’intervention bien défini et testé. Cet article présente les étapes cruciales à suivre en cas d’attaque par ransomware pour minimiser les dommages et rétablir rapidement les opérations. 

 

Les étapes essentielles à suivre en cas d’attaque par ransomware 

 

1. Focaliser sur l’information pour ne pas semer la panique 

Lorsqu’une attaque est détectée, il est crucial de communiquer avec précision et sans panique. La précision dans l’exécution du plan d’isolation de l’attaque est essentielle. Arrêter tout de manière précipitée, sans considérer la criticité et l’impact des systèmes mis hors ligne, peut causer des dommages plus importants que l’attaque elle-même. 

Le plan d’intervention doit classer les ressources en familles fonctionnelles et documenter à l’avance l’impact économique et l’ordre de mise hors ligne. Un référent fonctionnel et un responsable cyber doivent être impliqués pour leur détermination. Leur mobilisation doit faire l’objet d’exercices de simulation. 

Les fournisseurs de services de sécurité, comme les assureurs, sont des experts précieux pour établir des scénarios de mise en isolation, mais leur hiérarchisation doit être validée par la direction générale. Pour rendre le plan encore plus efficace, identifiez les domaines réellement compromis, comme les infrastructures, les applications, les boucles de régulation et les objets connectés, ainsi que les systèmes en aval pour caractériser les domaines de compromission connexes. 

 

2. Isoler intelligemment, pas systématiquement. Stopper la propagation, pas la production. 

 Il existe plusieurs techniques pour isoler la menace et l’empêcher de se propager. D’abord, identifiez la portée de l’attaque. Si vous connaissez déjà l’ampleur de l’incident, les blocages peuvent être effectués efficacement sur les domaines IP en agissant sur les commutateurs et les pares-feux. 

Sur cette partie de la réponse, les guides opérationnels préparés à l’avance et déclenchés automatiquement sur une conjonction d’événements pré-identifiés sont très efficaces. Ils peuvent inclure par précaution des coupures temporaires des accès Internet, accompagnées d’une communication mesurée auprès des services concernés. 

Une fois la portée de l’incident confirmée, réévaluez les conditions et rétablissez les accès en utilisant la hiérarchisation du plan. Les technologies de sandbox, permettant de tester l’exécution de trames ou de trafics suspects, associées à des technologies de réponse conditionnelle comme les EDR, sont des atouts précieux pour cette phase de caractérisation de l’ampleur couplée à des scénarios de réponse. 

 

3. Identifier la variante de ransomware 

 Il est crucial de savoir quel ransomware est impliqué. La plupart des variantes de ransomware sont documentées. Même lorsque la séquence est originale, les composantes élémentaires ou souches peuvent donner des indices précieux pour l’identification, les modes d’exécution et de propagation de l’attaque. La reconnaissance de ces variantes et de leur mode d’action rend les étapes suivantes et les outils eux-mêmes plus efficaces pour rétablir les ressources affectées. 

 

4. Identifier l’accès initial 

Déterminez par où l’attaque a commencé. Identifier le point d’accès initial, ou patient zéro, fournit des informations précieuses sur les chemins de propagation et, par déduction, sur les ressources non affectées. Il faut trouver une réaction équilibrée qui évite de mettre trop de ressources à l’arrêt tout en établissant une cartographie rapide des chemins de propagation. Les chemins d’accès initiaux les plus probables se déduisent du point d’entrée et les traces laissées par l’exécutable malveillant se trouvent au même niveau de privilège d’accès. Cela montre l’intérêt des droits d’accès différenciés et de la segmentation fonctionnelle. 

 

5. Identifier tous les systèmes et comptes infectés (champ d’application) 

 Qui est touché ? Un malware actif laisse des traces qui se répandent sur les systèmes communiquant avec le serveur de commande et de contrôle (C&C) des pirates. Ces traces se retrouvent souvent dans des suites de commandes ayant pour fonction de dupliquer et d’exécuter la charge d’encryption ou de destruction. Ces commandes ciblent les clés de registre ou créent de nouvelles tâches planifiées par exemple. 

 

6. Déterminer si des données ont été exfiltrées 

 Les attaques de ransomware ne se contentent souvent pas de chiffrer les fichiers, mais exfiltrent également les données. Cela augmente les chances de paiement de la rançon en menaçant de publier en ligne des données sensibles. Certains exécutables peuvent même contacter les partenaires commerciaux identifiés sur les données pour les menacer à leur tour. 

Surveillez les signes d’exfiltration de données, tels que les transferts de données importants vers des dispositifs périphériques du pare-feu ou à destination d’adresses IP externes à votre domaine. Recherchez les communications et les protocoles inhabituels entre les serveurs et les applications de stockage publiques ou non répertoriées. 

 

7. Localiser vos sauvegardes et déterminer leur intégrité 

Une attaque de ransomware tentera d’effacer les sauvegardes en ligne pour réduire les chances de récupération des données. Assurez-vous que la technologie de sauvegarde n’a pas été affectée par l’incident et qu’elle est toujours opérationnelle. 

Dans de nombreuses attaques par ransomware, les cybercriminels peuvent être présents dans le réseau pendant des jours ou des semaines avant de crypter les fichiers. Cela signifie que des sauvegardes peuvent contenir des charges malveillantes que l’on ne souhaite pas restaurer sur un système propre. Analysez toutes les sauvegardes pour déterminer leur intégrité. 

 

8. Assainir les systèmes ou créer de nouvelles versions 

Si l’entreprise a confiance en sa capacité à identifier tous les logiciels malveillants actifs et les incidents de persistance dans ses systèmes, elle peut gagner du temps en évitant la reconstruction de l’infrastructure. Toutefois, il peut être plus facile et plus sûr de créer de nouveaux systèmes propres. On peut même envisager de créer un environnement entièrement séparé et propre vers lequel migrer. Cela ne devrait pas prendre trop de temps si l’entreprise utilise un environnement virtuel. 

Lors de la reconstruction ou de l’assainissement du réseau, assurez-vous que les contrôles de sécurité appropriés sont installés et que les meilleures pratiques, notamment de segmentation, sont respectées pour que les appareils ne soient pas réinfectés. 

 

9. Signaler l’incident 

Il est important de signaler l’incident. Dans de nombreux pays, c’est une obligation légale associée à un délai maximal. Passé ce délai, des pénalités sont applicables, aggravant encore l’impact économique de l’attaque. L’équipe juridique peut aider à remplir les obligations légales relatives aux données réglementées, telles que PCI, HIPAA, etc. Si l’attaque par ransomware est grave et que l’entreprise s’étend sur plusieurs régions géographiques, il faudra peut-être contacter les instances légales appropriées, nationales ou locales selon le cas. 

 

10. Payer la rançon ? 

Les forces de l’ordre déconseillent de payer la rançon. L’organisme criminel qui a déclenché l’attaque n’est peut-être pas celui qui l’a conçue. Le supermarché du crime attire des acteurs de divers horizons, qui achètent des composants d’encryption sans toujours disposer des moyens de décryptage. 

Si cette éventualité est envisagée, il est préférable de faire appel à une société de sécurité spécialisée. Le paiement de la rançon ou la signature d’un accord ne remédiera pas aux vulnérabilités exploitées par les attaquants. Cette société, dont on se sera assuré avant l’attaque de l’intégrité et de l’expertise, permettra notamment l’identification des points d’accès, la caractérisation des composants de ransomware employés et sera en meilleure posture de négociation et de correction des vulnérabilités. 

 

11. Effectuer un bilan après l’incident 

Epuisées financièrement et psychologiquement par l’expérience éprouvante d’une attaque, les entreprises négligent trop souvent cette étape. Pourtant, il est essentiel de comprendre pour mieux se protéger. Apprendre de ses failles, de ses topologies trop ouvertes ou de ses applications insuffisamment protégées est un excellent exercice. Cela permet non seulement de perfectionner les capacités de réponse et de récupération pour l’avenir, mais aussi de rallier à la cause de la sécurité des départements non nécessairement technologiques qui considéraient la cybersécurité comme une contrainte. 

Les exercices permettent de simuler les aspects techniques et de souder les équipes, d’améliorer les guides opérationnels et les relations entre les personnes. Ce bilan est la mémoire écrite de l’erreur et une composante majeure de la cyberculture de l’entreprise. 

 

En conclusion, face à la menace croissante des attaques par ransomware, une préparation minutieuse et une réponse rapide et coordonnée sont cruciales pour atténuer les effets dévastateurs de ces cyberattaques. En suivant les étapes détaillées et en apprenant de chaque incident, les entreprises peuvent renforcer leur résilience face à ces menaces persistantes. Pour accompagner les entreprises dans cette démarche, Extern IT propose une aide précieuse. Grâce à son équipe d’experts spécialisés, Extern IT est en mesure de fournir l’assistance nécessaire pour chaque point critique mentionné, de la mise en place d’un plan d’intervention à la restauration des systèmes après une attaque. En collaborant avec Extern IT, les entreprises peuvent bénéficier d’un soutien professionnel et réactif, essentiel pour naviguer à travers les crises de sécurité informatique et se prémunir contre les futures menaces.