Sept mesures à prendre en cas d'attaque par ransomware

Les attaques de ransomware sont récurrentes. Il y a quelques semaines, le portail de comparaison "Comparis" et une entreprise romande de machines de construction de voies ferrées ont notamment été pris pour cible. Les données cryptées font généralement l'objet d'un chantage à la rançon. Les groupes de pirates peuvent parfois adopter un comportement particulièrement agressif et, en cas de négociations hésitantes, ne pas hésiter à publier des données internes à l'entreprise sur le Darknet. Mais que faire si une entreprise est vraiment touchée ? Bitdefender a sept conseils à donner pour faire face à une telle situation :

1. isoler rapidement les appareils
Un ransomware ne devrait pas pouvoir se propager plus loin qu'il ne l'a déjà fait. C'est pourquoi les administrateurs devraient isoler le plus rapidement possible les systèmes concernés du réseau. Cela permet d'éviter que le malware ne se propage davantage, surtout lors des travaux de nettoyage après l'attaque du ransomware.

2. comprendre le vecteur d'attaque
Si les appareils concernés sont isolés, il est important de comprendre comment l'incident a pu se produire. Cela aide d'une part à gérer l'incident. De plus, cela permet de tirer de précieuses leçons pour l'avenir. Il s'agit donc de découvrir : Qui était le patient zéro dans le réseau ?

3. sauvegarder et vérifier les sauvegardes 
Les applications et les serveurs peuvent être réinstallés, mais les données sont irremplaçables. Sans sauvegardes, il n'est plus possible de les assurer. C'est pourquoi la première mesure à prendre est de les déconnecter du réseau. Les pirates recherchent les sauvegardes de manière ciblée dans le cadre de leur attaque. Si celles-ci restent en ligne, elles risquent d'être intégrées à l'attaque. Il est bien sûr encore mieux de conserver dès le départ des sauvegardes hors ligne à un endroit physiquement séparé. La règle 3-2-1 des sauvegardes est justement une évidence pour la sauvegarde des données contre les attaques de chantage. Ainsi, une demande de rançon peut ne pas aboutir, du moins en ce qui concerne les données. Les administrateurs informatiques peuvent au contraire s'occuper de reconstruire les systèmes.

4. arrêter les projets et les tâches planifiées 
Une attaque de ransomware est une urgence et nécessite la mise en commun de toutes les ressources. Toute modification de l'architecture informatique, comme les migrations vers de nouveaux environnements ou l'installation de nouvelles applications et de nouveaux serveurs, doit être immédiatement stoppée. De tels projets pourraient aider les logiciels malveillants à se propager davantage. Il est tout aussi important d'arrêter les tâches programmées, par exemple les sauvegardes. En effet, c'est au cours de celles-ci que le malware extorqueur peut continuer à se propager.

5. mettre en quarantaine les zones potentiellement compromises 
En règle générale, il ne faut exclure aucune possibilité juste après une attaque et mettre en quarantaine toutes les parties de l'infrastructure potentiellement touchées. Cela signifie que tout doit d'abord être déconnecté du réseau et examiné individuellement avant de pouvoir être à nouveau utilisé.

6. après l'attaque, c'est avant l'attaque : changer les mots de passe. 
Mieux vaut prévenir que guérir. Au début d'un incident, il n'est pas toujours évident de comprendre comment il a pu se produire. S'agissait-il simplement d'une attaque simple ? Ou s'agissait-il d'une attaque complexe, rendue possible par le fait que le pirate avait obtenu des données d'authentification ? Si c'est le cas, il peut toujours faire une nouvelle tentative. Il est donc judicieux de changer les mots de passe des comptes d'utilisateurs critiques pour le système.

7. pas de panique - planifier et s'entraîner aux situations de sécurité critiques
L'administration informatique sera soumise à une forte pression en cas d'incident - et il existe donc un risque de prendre de mauvaises décisions dans cette situation de pression. Pour éviter cela autant que possible, les services informatiques devraient se préparer à l'éventualité d'une situation d'urgence. Dans l'idéal, les responsables de la sécurité ont défini des processus. Car c'est justement en cas d'urgence que les entreprises ont besoin d'un plan d'action pour ne pas oublier de mesures judicieuses. Ces processus devraient en outre être régulièrement exercés, par exemple dans le cadre d'une simulation de "Red and Blue Team Testing". Si les collaborateurs savent qu'il existe un plan qui s'applique en cas d'urgence et que ce plan a été répété, le risque de mal agir sous la pression est minimisé.

Source : Bitdefender