Le ransomware n’est pas un nouveau vecteur d’attaque. En fait, le premier logiciel malveillant de ce type est apparu il y a plus de 30 ans et a été distribué via des disquettes de 5,25 pouces. Pour payer la rançon, la victime a dû envoyer de l’argent à un P.O. Boîte au Panama.
Avance rapide jusqu’à aujourd’hui, des kits abordables de ransomware-as-a-service (RaaS) sont disponibles sur le dark web pour que n’importe qui puisse les acheter et les déployer et les attaquants disposent d’un nombre infini de canaux à leur disposition pour infiltrer les organisations en raison de leur dépendance au cloud et technologies mobiles.
Lancer une attaque de ransomware consiste à obtenir un accès discret. Et comme les employés peuvent désormais accéder à vos données de n’importe où, vous avez perdu la visibilité sur la façon dont ils le font. Pour vous protéger contre ces attaques, vous ne recherchez pas seulement des logiciels malveillants, vous avez besoin d’informations continues sur vos utilisateurs, les terminaux qu’ils utilisent et les applications et données auxquelles ils accèdent.
Lookout, un leader de la sécurité des terminaux au cloud, a publié une infographie interactive pour vous aider à visualiser comment une attaque de ransomware se produit et à comprendre comment protéger vos données. Lookout utilisera ce blog pour mettre en place 1) le climat qui a entraîné 20 milliards de dollars de paiements de rançon en 2021, et 2) comment vous pouvez protéger votre organisation contre ces menaces permanentes.
Travailler de n’importe où améliore à la fois la productivité et l’infiltration des attaquants
Alors que le logiciel malveillant utilisé pour retenir vos données en otage est appelé « ransomware », ce n’est pas ce sur quoi vous devriez vous concentrer. Avant que quoi que ce soit ne soit déployé, les attaquants ont besoin d’accéder à votre infrastructure.
Aujourd’hui, les utilisateurs accèdent aux données à l’aide de réseaux que vous ne contrôlez pas et d’appareils que vous ne gérez pas, ce qui rend obsolètes toutes les mesures de sécurité sur site que vous aviez.
Cela signifie que les pirates peuvent lancer des attaques de phishing pour compromettre les informations d’identification des utilisateurs ou exploiter une application vulnérable avec peu de conséquences. Et une fois qu’ils sont à l’intérieur de votre infrastructure, ils déploient rapidement des logiciels malveillants pour créer des portes dérobées persistantes qui leur permettent d’aller et venir à leur guise. S’ils augmentent les privilèges, il devient presque impossible de les empêcher de se déplacer latéralement et de prendre vos données en otage.
Étape par étape : comment se protéger contre les ransomwares
Il y a un certain nombre d’étapes qui se produisent entre un attaquant accédant à votre infrastructure et demandant une rançon. Ces étapes sont décrites dans l’anatomie d’une infographie d’attaque de ransomware et voici un aperçu de haut niveau de ce qui se passe et de la façon dont vous pouvez protéger votre organisation.
1 – Bloquez les attaques de phishing et masquez les applications Web
L’un des moyens les plus simples pour les attaquants d’accéder est de prendre le contrôle d’un compte d’utilisateur en compromettant les informations d’identification avec des attaques de phishing. Il est essentiel de pouvoir inspecter le trafic Web sur n’importe quel appareil pour empêcher ces attaques d’affecter à la fois les utilisateurs PC et mobiles. Cela garantira que les opérateurs de rançongiciels ne peuvent pas lancer leurs attaques en compromettant les comptes.
Les auteurs de menaces exploreront également le Web pour trouver des infrastructures vulnérables ou exposées à exploiter. De nombreuses organisations ont des applications ou des serveurs exposés au Web pour permettre l’accès à distance, mais cela signifie que les attaquants peuvent les trouver et rechercher des vulnérabilités. Masquer ces applications de la découverte est une tactique de défense clé. Cela vous aide à vous éloigner de l’accès débridé fourni par les VPN et à vous assurer que seuls les utilisateurs autorisés accèdent aux données dont ils ont besoin.
2 — Détecter et réagir aux comportements anormaux
Si des attaquants parviennent à pénétrer dans votre infrastructure, ils commenceront à se déplacer latéralement pour effectuer une reconnaissance. Il s’agit de trouver des vulnérabilités supplémentaires dans le but ultime de découvrir des données sensibles. Certaines des mesures qu’ils pourraient prendre incluent la modification de vos paramètres pour réduire les autorisations de sécurité, l’exfiltration de données et le téléchargement de logiciels malveillants.
Certaines de ces étapes peuvent ne pas être purement malveillantes, mais peuvent être considérées comme un comportement anormal. C’est là qu’il est essentiel de comprendre le comportement des utilisateurs et des appareils et de segmenter l’accès au niveau de l’application. Pour arrêter le mouvement latéral, vous devez vous assurer qu’aucun utilisateur ne se déplace librement sur votre infrastructure et qu’il n’agit pas de manière malveillante. Il est également crucial de pouvoir détecter les privilèges excessifs ou mal configurés afin d’empêcher les modifications de votre application et de la posture du cloud.
3 – Rendre les données inutiles pour une rançon avec un chiffrement proactif
La dernière étape d’une attaque par rançongiciel consiste à prendre vos données en otage. En plus de chiffrer les données et de verrouiller vos administrateurs, l’attaquant pourrait également exfiltrer certaines données à utiliser comme levier, puis supprimer ou chiffrer ce qui reste dans votre infrastructure.
L’exfiltration et l’impact surviennent généralement lorsque l’attaquant révèle enfin sa présence. Les modifications qu’ils apportent aux données, qu’elles soient au repos ou en mouvement, déclencheront la sonnette d’alarme et exigeront des paiements. Cependant, vous pouvez faire tous leurs efforts pour rien si ces données sont chiffrées de manière proactive par votre plate-forme de sécurité et les rendent absolument inutiles pour l’attaquant. Le chiffrement est un élément essentiel de toute stratégie de prévention des pertes de données (DLP) et son déclenchement