NAKIVO > Blog

Comment détecter un ransomware : comprendre les signes d’infection

Publié le: avril 30, 2019

Written by: NAKIVO Team

<>Avec la sophistication croissante du ransomware, les organisations sont constamment menacées par la perte et la violation de données. Selon Statista, un nombre croissant d’organisations ont été victimes d’attaques par ransomware chaque année depuis 2018, avec un pic atteint en 2021 à 68,5 % des entreprises. De plus, le nombre de familles de ransomwares détectées en 2020 était supérieur de 34 % à celui de 2019 (contre 127 familles en 2020).

Dans cet article, nous définissons les ransomwares et mettons en lumière les principaux canaux d’infection et les techniques de détection des ransomwares. Nous passons également en revue les solutions permettant d’identifier les ransomwares, de prévenir toute nouvelle infection et d’accroître la résilience de vos données face aux ransomwares.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Qu’est-ce qu’un ransomware ?

Un ransomware est un logiciel malveillant utilisé pour s’introduire dans les environnements informatiques personnels/d’entreprise et effectuer le chiffrement ou verrouiller des données. L’objectif des attaques par ransomware est d’extorquer une rançon aux victimes en échange de la restauration de leur accès aux données cryptées/verrouillées.

Comment les systèmes sont infectés par un ransomware : 5 vecteurs d’infection

Pour éviter que les systèmes informatiques de votre organisation ne soient infectés par un ransomware, vous devez connaître les moyens les plus courants de propagation des logiciels malveillants. Vous pourrez ainsi identifier les composants du système les plus exposés et vulnérables aux attaques par ransomware, et apprendre à détecter rapidement toute activité de ransomware dans votre infrastructure.

Les moyens par lesquels votre organisation peut devenir victime d’un ransomware sont innombrables. Cependant, voici les vecteurs d’infection par des logiciels malveillants les plus courants :

  • Messages électroniques suspects incitant le destinataire à cliquer sur un lien ou à télécharger une pièce jointe contenant un logiciel malveillant.
  • Sites Web malveillants conçus pour inciter les utilisateurs à parcourir leurs pages et, à terme, à être infectés par du ransomware en cliquant sur des liens hypertextes malveillants.
  • Les réseaux sociaux sont souvent considérés comme des plateformes fiables et légitimes, ce qui incite les individus à leur faire immédiatement confiance. En général, les logiciels malveillants se propagent par le biais d’applications, de publicités, de plug-ins et de liens malveillants sur les plateformes de réseaux sociaux. Ces applications, publicités, liens et pièces jointes de navigateur incitent ensuite les utilisateurs à télécharger des contenus malveillants, tels que du ransomware ou des agents de cryptomining.
  • Le malvertising est une forme de publicité en ligne qui contient du code malveillant. Vous cliquez sur le lien d’un site web apparemment légitime, et votre ordinateur peut être automatiquement infecté par un logiciel malveillant.
  • Les ransomwares mobiles sont exécutés via des applications mobiles injectées avec du code malveillant. En téléchargeant ces applications, vous pouvez laisser un logiciel malveillant infecter votre téléphone portable en quelques secondes, puis propager l’infection à votre ordinateur la fois suivante que vous connecterez les deux appareils.

Techniques de détection des ransomwares

Pour détecter les ransomwares qui tentent de s’introduire ou qui perturbent déjà votre environnement informatique, vous pouvez utiliser un ensemble d’outils et de techniques permettant de révéler les fichiers malveillants et les activités suspectes. Les spécialistes informatiques distinguent les types de techniques de détection suivants :

  • Basées sur les signatures
  • Basées sur le comportement
  • Tromperie

Nous passons en revue ci-dessous chaque technique de détection des ransomwares en détail.

Détection basée sur les signatures

Les méthodes basées sur les signatures comparent un hachage échantillon d’une souche de ransomware à des signatures précédemment trouvées. Il s’agit d’une technique courante de première étape pour les solutions antivirus et les plateformes de sécurité. Celles-ci vérifient les fragments de données contenus dans un fichier exécutable avant de lancer ce fichier. Cette technique consiste à détecter rapidement les fragments de code de type ransomware et à bloquer l’exécution du code infecté.

Cette méthode est utilisée pour mettre en place la défense de base d’une organisation. Cependant, même si elles détectent efficacement les souches de ransomware connues, les méthodes basées sur les signatures peuvent échouer avec les nouveaux logiciels malveillants. De plus, les pirates informatiques investissent beaucoup d’efforts pour mettre à jour leurs logiciels malveillants et leurs outils de neutralisation de la sécurité, ce qui rend la détection des signatures plus difficile.

Il existe actuellement plusieurs fournisseurs de logiciels de détection de logiciels malveillants en concurrence sur le marché. Chacun d’entre eux propose une fonctionnalité d’outils de détection des ransomwares qui peuvent être efficaces dans une certaine mesure. Cependant, selon le rapport de Sophos, plus de 50 % des attaques de ransomwares en 2021 ont été couronnées de succès, ce qui signifie qu’aucun système de détection de logiciels malveillants ne peut détecter les ransomwares avec une garantie à 100 %.

Détection basée sur le comportement

Les méthodes de détection des ransomwares basées sur le comportement comparent les comportements connus historiquement aux nouveaux comportements. Des spécialistes et des outils automatiques surveillent les activités des utilisateurs et des applications au sein de l’environnement afin de détecter les changements inhabituels dans les systèmes de fichiers, le trafic inhabituel, les processus inconnus et les appels API, entre autres signes.

Vérifiez et mémorisez les signes comportementaux courants des tentatives d’attaque par ransomware ou des infections réussies du système :

  • Spam et adresses e-mail de phishing: Le phishing est la approche la plus courante utilisée par les pirates pour diffuser des ransomwares.
  • Baisse des performances: si les nœuds de votre infrastructure informatique fonctionnent plus lentement que prévu, réagissez immédiatement à une intrusion potentielle de ransomware.
  • Activités de connexion suspectes continues: Lorsque des tentatives de connexion infructueuses se produisent régulièrement et sur différents comptes à partir d’emplacements et d’appliances inhabituels, il est très probable que quelqu’un tente d’accéder sans autorisation aux systèmes informatiques de votre organisation.
  • Détection de scanners réseau non autorisés: Lorsque vous ne savez pas qui a lancé la procédure de scan réseau et dans quel but, vous devez vous pencher sur la question, car il pourrait s’agir d’une activité malveillante.
  • Attaques tests potentielles: Les pirates peuvent lancer quelques attaques légères sur certains nœuds afin de vérifier la résilience et le temps de réaction du système de protection de votre organisation avant de lancer une attaque à grande échelle.
  • Désactivation ou enlevement des logiciels de sécurité: Aucune perturbation du système de protection ne doit être ignorée, car même un dysfonctionnement de courte durée peut ouvrir la voie à une infection par un ransomware.
  • Chiffrement des données sur certains nœuds: Le chiffrement réussi des données sur n’importe quel nœud de votre système indique une faille dans votre protection des données que les pirates peuvent exploiter pour mener une attaque plus grave.
  • Outils de piratage connus détectés: Si vous remarquez la présence d’applications telles que Microsoft Process Explorer, MimiKatz, IOBit Uninstaller et PC Hunter dans l’environnement de votre organisation, vous devez procéder à un contrôle de sécurité complet de chaque nœud.
  • Activité inhabituelle autour d’Active Directory: Il existe un cas d’utilisation où des pirates ont utilisé le protocole RDP (Remote Desktop Protocol) pour accéder aux serveurs AD protégés d’installations pétrolières et gazières et injecter le ransomware Ryuk directement dans le script de connexion AD.
  • Tentatives de corruption des sauvegardes: Les plateformes de stockage de sauvegarde font partie des cibles prioritaires des cyberattaques. Toute activité suspecte autour du stockage de sauvegarde, que ce soit sur des disques physiques ou dans le cloud, peut être le signe d’une attaque potentielle ou en cours par un ransomware.

Détection basée sur la tromperie

Tout comme les pirates informatiques tentent régulièrement de tromper les systèmes de détection des menaces numériques d’une organisation, les spécialistes de la sécurité informatique ont mis au point des moyens pour appâter les acteurs malveillants. L’un des leurres les plus courants est connu sous le nom de « honeypot » : il s’agit d’un serveur ou d’une zone de l’environnement informatique d’une organisation qui contient des données qui semblent avoir de la valeur pour les pirates informatiques. Cependant, cet environnement est complètement isolé du site et peut être utilisé pour surveiller et analyser les tactiques d’attaque..

L’évolution des menaces oblige les entreprises à utiliser chaque option de sécurité disponible pour prévenir les violations et les pertes de données. Il est donc courant de combiner plusieurs méthodes de détection des ransomwares. De plus, une bonne stratégie pour détecter et lutter de manière proactive contre les attaques de ransomwares consiste à comprendre les tactiques des attaquants et à prévenir leur infiltration. Vous trouverez ci-dessous quelques recommandations pour identifier et prévenir les attaques.

Comment identifier et prévenir une attaque

Nous vous recommandons d’adopter les pratiques suivantes pour prévenir les attaques de ransomwares. Nous avons également ajouté des conseils pour réduire les risques de perte de données au cas où le ransomware s’infiltrerait dans l’environnement de l’organisation.

  • Encouragez vos employés à :
    • Apprendre à reconnaître les signes les plus courants du ransomware et autres logiciels malveillants
    • Utiliser des mots de passe forts et les mettre à jour régulièrement
    • Examinez les liens et les pièces jointes avant de cliquer dessus
    • Comprenez comment fonctionne le phishing et vérifiez les adresses e-mail des messages entrants
  • Mettez régulièrement à jour votre système

Vous devez veiller à ce que votre système d’exploitation et vos applications critiques soient correctement patchés et à jour. Installez les mises à jour dès leur publication. Les mises à jour système et les correctifs de sécurité ont généralement pour but de corriger les problèmes des versions précédentes et de couvrir les vulnérabilités connues de votre système.

  • Überprüfen Sie die Software-Anbieter

Vor der Installation der Software-Anbieter Überprüfen Sie zunächst, dass die Anbieter authentisch und vertrauenswürdig sind. À cette fin, installez un logiciel de liste blanche (par exemple, Bit9, Velox, McAfee, Lumension), qui peut déterminer si une nouvelle application est suffisamment sûre pour être installée et exécutée sur votre système.

  • Analysez régulièrement votre infrastructure

Installez et utilisez un logiciel anti-malware qui vous avertira de toute menace potentielle, identifiera les vulnérabilités potentielles et détectera les activités de ransomware dans votre infrastructure. Les outils anti-ransomware modernes vous permettent d’analyser l’ensemble de votre système à la recherche de virus existants et de menaces malveillantes actives. De plus, ces analyses informatiques peuvent être effectuées sur demande ou selon un programme que vous définissez, ce qui minimise votre intervention en matière de gestion.

  • Créer des honeypots

Un honeypot est l’une des mesures de sécurité les plus efficaces pour semer la confusion chez les cybercriminels et détourner leur attention des fichiers critiques. En mettant en place un honeypot, vous créez un faux référentiel de fichiers ou un serveur qui ressemble à une cible légitime pour un tiers et qui semble particulièrement attrayant pour les auteurs d’attaques par ransomware. De cette façon, vous pouvez non seulement protéger vos fichiers et détecter rapidement une attaque par ransomware, mais aussi apprendre comment les cybercriminels opèrent. Utilisez ensuite ces données et cette expérience pour améliorer la protection de votre système contre de futures cyberattaques.

  • Limitez l’accès aux systèmes et applications critiques

Appliquez le principe du moindre privilège lorsque vous accordez des autorisations d’accès aux systèmes à vos employés. Ce principe consiste à n’accorder à un employé l’accès qu’aux fichiers et ressources système nécessaires à l’accomplissement efficace de son travail. Toute action ou tout accès qui n’est pas nécessaire à l’exercice des fonctions d’un employé doit être interdit par l’ADMIN afin d’éviter toute infection accidentelle.

  • Protection des données et test des sauvegardes

Créez et mettez régulièrement à jour des sauvegardes de données. Utilisez la règle 3-2-1 pour renforcer la protection et garantir la récupération réussie des données cryptées par un ransomware. Cette règle stipule que vous devez disposer de 3 copies de vos données et les stocker sur 2 supports différents, dont 1 hors site. Après avoir sauvegardé les données, effectuez des tests pour vérifier que vos sauvegardes sont fonctionnelles et récupérables. Vous pouvez ainsi éviter les défaillances qui auraient pu se produire lors de la phase de récupération du système.

Comment NAKIVO peut vous aider à protéger vos données contre les ransomwares

Aujourd’hui, une attaque par ransomware rendant les données d’une organisation inaccessibles n’est plus une simple probabilité, mais une question de temps. Et le moyen le plus efficace de prévenir les incidents de perte de données et d’éviter les temps d’arrêt de production après des perturbations causées par des attaques de ransomware réussies est de disposer de sauvegardes valides prêtes à être restaurées.

Certaines 93 % des entreprises qui ne mettent pas en œuvre de plans de sauvegarde et de reprise après sinistre font faillite dans l’année qui suit une catastrophe entraînant une perte globale de données. En revanche, 96 % des entreprises qui disposent d’une stratégie de sauvegarde et de récupération fiable ont réussi à se remettre d’attaques par ransomware.

NAKIVO Backup & Replication est une solution de protection des données que vous pouvez utiliser pour mettre en œuvre une stratégie fiable de protection contre les ransomwares et accroître la résilience de votre organisation face aux attaques :

  1. Créez des sauvegardes fiables et cohérentes de vos données.
  2. Stockez les sauvegardes sur site, envoyez-les hors site ou dans le cloud pour respecter la règle 3-2-1 et éviter un point de défaillance unique.
  3. Activez l’immuabilité pour les sauvegardes stockées dans des référentiels locaux basés sur Linux et/ou dans le cloud afin de garantir que vos données de sauvegarde restent inchangées et disponibles même si un ransomware attaque l’infrastructure de sauvegarde.
  4. Activez le chiffrement de vos données de sauvegarde en transit et au repos. La solution utilise la norme de chiffrement AES-256 pour empêcher tout accès tiers à vos données de sauvegarde.
  5. Utilisez le Contrôle d’accès basé sur les rôles (RBAC) pour définir les droits d’accès des employés et améliorer la sécurité des sauvegardes.
  6. Lorsqu’une attaque par ransomware frappe et chiffre les données d’origine, utilisez les sauvegardes pour la récupération des données. Vous pouvez récupérer immédiatement des VMs complètes et des machines physiques sous forme de VMs. Utilisez Instant Granular Recovery pour restaurer des fichiers individuels et des objets d’application à leur emplacement d’origine ou à un emplacement personnalisé afin de réduire encore davantage les temps d’arrêt.
  7. Utilisez la réplication, le basculement automatisé et l’orchestration de la reprise après sinistre pour une disponibilité rapide des systèmes et des applications.

La solution NAKIVO vous permet de contrôler et d’automatiser les processus de sauvegarde et de récupération des données à partir d’un seul et même écran. Exécutez des sauvegardes chaque minute afin de minimiser les pertes de données. Grâce à des sauvegardes immuables pertinentes à votre disposition, vous pouvez éviter de payer une rançon aux pirates informatiques, même après que le ransomware ait contourné vos systèmes de sécurité et réalisé avec succès le chiffrement des données d’origine.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Les gens qui ont consulté cet article ont également lu

Picture
Présentation d’Amazon S3 Browser pour Windows
Picture
Comment installer et configurer Hyper-V Manager pour gérer Hyper-V
Picture
Le guide définitif des types d’instances EC2