Rançongiciel

En règle générale, le cybercriminel prend également des mesures pour esquiver la consignation, la détection et la réponse.

CE QUE FONT LES CRIMINELS

Les organisations dont les sauvegardes sont difficiles à atteindre par les cybercriminels sont beaucoup moins susceptibles de devoir payer une rançon. Les cybercriminels ciblent souvent les sauvegardes pour limiter vos options dans les situations critiques. Ils peuvent supprimer des machines virtuelles entières qui hébergent des sauvegardes ou modifier des fichiers critiques et attendre que le point de récupération souhaité ne soit plus disponible pour lancer complètement leur attaque.

EXFILTRATION DES DONNÉES

Dans la plupart des incidents inhérents à un rançongiciel, les cybercriminels volent également des données. 

LANCEMENT D’UN RANÇONGICIEL

Les nouvelles variantes de rançongiciel allient un chiffrement plus rapide à de meilleures techniques de chiffrement pour rendre la récupération plus difficile. 

DEMANDE DE RANÇON

Les cybercriminels utilisent depuis peu de nouvelles techniques pour accroître la pression exercée sur une organisation afin qu’elle paie. L’une d’entre elles consiste à contacter directement les employés en joignant leurs informations personnelles. Ils tentent de discréditer une organisation afin de contrôler le processus de réponse à l’incident et le présenter comme inefficace afin de mettre la pression sur leur demande de rançon.

Le hameçonnage est l’un des principaux moyens utilisés par les cybercriminels pour voler des informations d’identification ou inciter les employés à télécharger des logiciels malveillants.

RÉDUIRE L’EXPOSITION AUX COURRIELS D’HAMEÇONNAGE

Mettez en place des mesures susceptibles de modifier la façon dont les courriels suspects sont traités (SPF, DKIM, DMARC sont des normes de sécurité des courriels, qui peuvent contribuer à atténuer les attaques de polluriels et d’hameçonnage). Pensez à bloquer les courriels provenant de nouveaux domaines, qui peuvent avoir été créés par des cybercriminels à des fins d’hameçonnage.

Apportez des correctifs aux serveurs de messagerie sur site afin de priver les cybercriminels des fruits les plus faciles à cueillir. 

ÉVALUATION INTELLIGENTE DES COURRIELS

Déclenchez et évaluez automatiquement les pièces jointes et les liens entrants dans un environnement de type bac à sable, afin de déterminer s’ils sont malveillants avant que l’utilisateur ne les reçoive.

Formez les employés à reconnaître les courriels d’hameçonnage et à résister aux tentatives de vol d’authentifiants ou de cliquer sur des pièces jointes ou des liens.

La mise à jour des systèmes et des applications est essentielle pour prévenir les accès non autorisés et les intrusions par des logiciels malveillants.

GÉRER L’ACCÈS

Mettez en place des mesures appropriées pour l’accès général des utilisateurs et des systèmes dans l’ensemble de l’organisation : accès privilégié pour les actifs essentiels (serveurs, points d’extrémité, applications, bases de données, etc.) et appliquez l’authentification multifactorielle (AMF).

GÉRER VOS ACTIFS

Lorsqu’ils sont déployés et surveillés efficacement, les outils de détection et de réponse aux points d’extrémité (EDR) constituent l’une des meilleures défenses contre les rançongiciels et autres attaques de logiciels malveillants.

Les solutions EDR surveillent les serveurs, les ordinateurs portables, les ordinateurs de bureau et les appareils mobiles gérés afin de détecter tout signe de comportement ou d’activité malveillante ou inhabituelle. Ces outils permettent également une intervention presque immédiate des experts formés en sécurité. L’EDR doit être en mode d’application plutôt qu’en mode vérification. 

OBTENIR UNE ÉVALUATION DE LA CONFIGURATION OU UN ESSAI DE PÉNÉTRATION

De nombreuses organisations bénéficient d’une aide extérieure pour identifier les faiblesses des pare-feu ou des commutateurs qui entraînent des mouvements latéraux dans leur système, et pour comprendre comment un cybercriminel pourrait être en mesure de se déplacer dans leur système.

SÉCURISER LES SAUVEGARDES

Les sauvegardes doivent être effectuées sur un périphérique non virtuel et, si possible, immuable. Si les sauvegardes sont activement répétées vers une installation hors site, la compromission d’une copie pourrait rendre l’autre inutilisable.

Conservez les journaux du pare-feu, qui se renouvellent rapidement. Si vous disposez de journaux centralisés, protégez-les et conservez-en une copie. Si possible, déconnectez du réseau les appareils suspectés d’être compromis. Dans la mesure du possible, déconnectez du réseau les appareils dont vous suspectez la compromission.

La réinitialisation des mots de passe des utilisateurs n’empêchera pas un cybercriminel d’utiliser les authentifiants volés. Changez deux fois le mot de passe du compte KRBTGT pour éviter une attaque par billet d’or.