Ransomware

Il s’agit de malwares extorseurs. Les cybercriminels utilisent des ransomwares pour rendre les fichiers, disques durs, ordinateurs ou réseaux entiers inaccessibles à leurs utilisateurs légitimes et exiger une rançon pour libérer ces fichiers, etc. Le terme est composé des mots anglais « ransom » pour ransom et « -ware » comme partie intégrante du logiciel, c’est-à-dire programme.

Que signifie en détail le ransomware ?

Les attaques par ransomware sont actuellement en hausse. Les cybercriminels ont identifié entreprises, autorités et administrations comme des cibles intéressantes pour eux-mêmes. De plus en plus, des attaques complexes et individualisées contre des entreprises sont observées. Les cybercriminels adoptent une approche ciblée et souvent en plusieurs étapes. Avec des incidents cybernétiques apparemment quotidiens comme le spam , ils accèdent au réseau de l’entreprise. Ensuite, ils étudient l’infrastructure informatique afin de chiffrer de manière ciblée des données particulièrement importantes ou sensibles – ou l’ensemble du système, y compris les sauvegardes connectées. Cette approche permet aux extorqueurs d’exercer une pression accrue sur les entreprises concernées et d’exiger des rançons plus élevées. Payer la rançon est la fin souhaitée des activités des cybercriminels.
Il est donc toujours incertain qu’ils publient ensuite les données ou les systèmes chiffrés. Certains programmes de ransomware n’ont pas de déchiffrement prévu, ce qui signifie que les données restent chiffrées même après un paiement de rançon.
Dans le cas du célèbre ransomware WannaCry, les paiements de rançon n’ont pas pu être attribués en raison d’une erreur de programmation. En conséquence, aucun déchiffrement correspondant des données n’a eu lieu.
Une seconde, plus forte demande de rançon, peut également faire partie du concept des cybercriminels.
Techniquement, le ransomware est un cheval de Troie. Les ransomwares peuvent être transmis de plusieurs façons, notamment via des pièces jointes d’e-mails infectées, des sites web compromis, des clés USB et disques durs infectés, des vulnérabilités de sécurité réseau et des téléchargements en mode drive-by.

Où est-ce que je rencontre le sujet du « ransomware » dans mon travail quotidien ?

Potentiellement, vous le rencontrerez avec chaque email avec une pièce jointe, avec chaque email avec un lien et dans de nombreux autres endroits de votre travail quotidien. Par exemple, dans le cas de clés USB apparemment perdues ou oubliées, lors du transfert de données vers les disques durs externes des clients, lors du téléchargement d’une mise à jour supposée importante pour pouvoir regarder une vidéo sur Internet. Dans tous ces endroits, vous pouvez éviter les dommages importants de votre entreprise grâce à votre prudence.

Que puis-je faire pour améliorer ma sécurité ?

Dans le cadre de ce glossaire, nous ne pouvons que fournir des suggestions et des éclairages. Veuillez discuter et créer une procédure complète avec votre service informatique ou avec un prestataire externe de services de sécurité informatique tel que Perseus.

Prévention

Presque toutes les mesures visant à réduire le risque cybernétique de votre organisation diminuent également le risque d’attaques par ransomware. Ces mesures incluent, sans s’y limiter :

• Maintenez toujours tous les programmes et composants du réseau à jour, par exemple via des mises à jour automatiques
• Utilisation d’un antivirus fiable et toujours à jour
• Envisagez l’utilisation d’un pare-feu fiable
• Une structure de réseau bien pensée, dans laquelle, par exemple, des domaines ou départements particulièrement sensibles reçoivent un réseau indépendant
• Surveillance du trafic
• Sensibilisation de vos employés : grâce à leur attention et à leur prudence, vos employés peuvent éviter les dommages même là où la technologie ne le peut pas. Par exemple, vous pouvez détecter et traiter un e-mail contenant un cheval de Troie jusque-là inconnu comme suspect.
• Lors de la prise de mesures de sécurité, il faut également considérer ce qu’on appelle l’informatique fantôme (par exemple, aussi les smartphones privés des employés) et les appareils IoT (par exemple, bracelets d’activité, caméras de surveillance numériques).
• Une stratégie de secours bien pensée est également recommandée. Cela garantit que vous pouvez récupérer autant de données que possible, même dans le pire des cas. En ce qui concerne les ransomwares, quelques éléments à considérer incluent :
  • Les sauvegardes connectées au système peuvent également être chiffrées par ransomware. Par conséquent, des sauvegardes fréquentes sont recommandées, qui sont également physiquement déconnectées du système après la création.
  • Un ransomware qui n’est pas encore actif peut également être stocké dans votre sauvegarde et le chiffrer après son installation. Par conséquent, assurez-vous que le plus de sauvegardes précédentes possible sont stockées. Assurez-vous aussi qu’ils sont enregistrés en mode « lecture seule ». Ensuite, ces sauvegardes ne peuvent plus être modifiées par la suite, même pas par ransomware. Discutez de la bonne démarche à suivre dans un cas aigu avec votre service informatique ou avec un prestataire externe de services de sécurité informatique tel que Perseus.
  • Pratiquez-le – aussi avec vos employés – et notez-le. Dans les cas aigus, il est important de réagir rapidement et correctement, et vous pouvez créer les meilleures conditions en prenant des mesures préventives.

Après un incident cybernétique apparemment « normal »

• Faites vérifier soigneusement votre système pour détecter des compromis plus profonds et organisez une surveillance particulièrement étroite du trafic de données entrant et sortant
• Si ce n’est pas déjà fait, discutez dès maintenant du sujet des ransomwares et des mesures de sécurité avec votre service informatique et/ou un prestataire externe de services de sécurité informatique comme Perseus.

Dans les cas aigus

ATTENTION : Ces instructions sont générales. Dans les cas aigus, respectez la procédure discutée avec votre service informatique ou avec un prestataire externe de services de sécurité informatique tel que Perseus. Sauf que cela est adapté à l’infrastructure informatique spécifique à votre entreprise !

• Déconnectez l’appareil ou le système concerné du réseau, d’Internet et de l’alimentation électrique dès que possible. Avec un peu de chance, vous pouvez arrêter le processus de chiffrement avant qu’il ne soit terminé. Ne vous laissez pas décourager, même pas par des messages contraires à l’écran d’un ordinateur infecté.
• Tous les appareils ne peuvent pas être déconnectés de l’alimentation, par exemple les ordinateurs portables ou les tablettes avec des piles intégrées. Si possible, enlevez-les. Sinon, éteignez l’appareil dès que possible.
• Alertez les experts pour toute action supplémentaire.
• Habituellement, des sauvegardes sont désormais créées pour les systèmes infectés. D’une part, sous forme de dossier médico-légal numérique, et de l’autre, beaucoup de données chiffrées peuvent être restaurées.
• Signalez cet incident cybernétique à la police, à la BKA et au Bureau de rapport pour la cybersécurité en Allemagne. Cela peut aider à attraper les coupables et à avertir d’autres entreprises.
• Ne paie pas de rançon. Il n’y a aucune garantie que votre appareil ou système sera déchiffré par la suite, et dans certains cas, cette possibilité n’est même pas prévue dans le programme du ransomware. Il y a même une chance que vous soyez confronté à une seconde note de rançon après avoir effectué un paiement. De plus, il est possible que les cybercriminels compromettent le mode de paiement et les moyens de paiement, obtenant ainsi des informations sensibles de carte de crédit, par exemple.

Informations complémentaires et conseils pour les cas aigus de la part de la Police Crime Prevention : https://www.polizei-beratung.de/themen-und-tipps/gefahren-im-internet/ransomware/