Mise à jour rançongiciels: nouvelle façon de procéder

30.07.2019 – Ces dernières semaines, des entreprises suisses ont été la cible d’un nouveau type d’attaque, ayant permis à des criminels d'infiltrer des réseaux et y déployer un rançongiciel permettant de chiffrer énormément de données. Différentes entreprises suisses renommées ont été touchées par ces attaques.

Depuis 2016, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a publié des alertes sur la menace des rançongiciels (aussi appelés « ransomwares ») de manière régulière. Le 09 mai 2019 encore, MELANI a alerté la population suisse sur les attaques de rançongiciels en cours et a proposé des contre-mesures concrètes. Celles-ci sont toujours d’actualité et devraient être mises en œuvre par les entreprises suisses. Depuis juillet, MELANI a constaté un accroissement des cas de rançongiciels, pour lesquels les attaquants ont choisi une nouvelle façon de procéder. Des e-mails malveillants sont envoyés à des entreprises suisses de manière ciblée (« spear phishing »).

Les scénarios d’attaques suivants ont été observés :
• Des attaquants envoient des e-mails malveillants de manière ciblée à des entreprises suisses, pour les infecter avec un maliciel. Ces e-mails contiennent souvent un lien vers un site web malveillant ou une pièce-jointe infectée.
• Dans des forums Internet spécialisés, des accès à des ordinateurs compromis d'entreprises suisses sont mis en vente. Souvent ces ordinateurs sont infectés par « Emotet », « TrickBot » ou encore « Qbot ». Des groupes criminels « achètent » l'accès à ces ordinateurs infectés pour ensuite infiltrer le réseau de l’entreprise en profondeur.
• Des attaquants scannent Internet à la recherche de ports et services ouverts, comme des serveurs VPN ou Terminal et essaient d’y accéder via une technique appelée « brute force ».

Pour tous les scénarios mentionnés, des outils comme « Cobalt Strike » ou « Metasploit » sont utilisés afin d'obtenir les droits d’accès nécessaires pour infiltrer l’entreprise. En cas de succès, un rançongiciel va être déployé sur les systèmes (comme par exemple « Ryuk », « Lockergoga », « MegaCortex », etc) et va chiffrer toutes les données.

En raison des menaces actuelles, MELANI tient à mettre en garde une nouvelle fois les entreprises suisses contre les rançongiciels et leur recommande de prendre au plus vite les mesures suivantes, si cela n’a pas encore été fait:

• Veillez à effectuer régulièrement des sauvegardes de vos données, par exemple sur un disque dur externe. Procédez selon un plan de rotation (sauvegardes quotidiennes, hebdomadaires, mensuelles [méthode grand-père - père - fils], minimum de deux générations). Après la sauvegarde, veillez à déconnecter physiquement de l'ordinateur le support contenant les données sauvegardées, sans quoi ces données pourront également être verrouillées et rendues inutilisables en cas d'infection de l'ordinateur par un rançongiciel.

• Si vous utilisez une solution de sauvegarde en nuage, assurez-vous qu’elle propose au moins deux générations, de manière analogue à une sauvegarde classique. L’accès à ces sauvegardes doit être tout particulièrement protégé, par exemple avec un deuxième facteur d’authentification.
• Vérifiez la qualité de votre solution de sauvegarde de manière régulière et entrainez-vous à déployer une sauvegarde. Ceci va vous aider à gagner du temps lors d’un éventuel incident.
• Il convient de toujours garder à jour son système d'exploitation et toutes les applications (p.ex. Adobe Reader, Adobe Flash, Java etc.) installées sur sa machine, de manière automatique lorsque cela est possible.
• Protégez toutes les ressources accessibles depuis Internet (par ex. serveur de terminal, RAS, accès VPN, etc.) avec un deuxième facteur d’authentification. Placez les serveurs Terminal derrière un portail VPN.
• Bloquez la réception de courriels contenant des fichiers dangereux sur votre passerelle de messagerie, ceci comprend également les fichiers Office avec macros. Vous trouverez des informations détaillées sur la page suivante, en bas: https://www.govcert.ch/downloads/blocked-filetypes.txt
Monitorez les fichiers log de votre solution antivirus pour des irrégularités.

Payer une rançon?

Ne cédez pas à l’extorsion car, en payant la rançon, vous participez au financement de l’activité des criminels et leur permettez d’améliorer l’efficacité de leurs prochaines attaques. De plus, il n’existe aucune garantie que les criminels respecteront leur engagement et vous enverront réellement la clé vous permettant de récupérer vos données.

Quelques informations supplémentaires:
GovCERT.ch Blog actuel: rançongiciels (en anglais)
https://www.govcert.admin.ch/blog/36/severe-ransomware-attacks-against-swiss-smes

Plus d'informations sur des rançongiciels:
https://www.melani.admin.ch/rancongiciels

Sécurité de l'information: aide-mémoire pour les PME
https://www.melani.admin.ch/melani/fr/home/documentation/listes-de-controle-et-instructions/securite-informatique--aide-memoire-pour-les-pme.html

Journée suisse de sensibilisation aux rançongiciels
https://www.melani.admin.ch/melani/fr/home/documentation/lettre-d-information/ransomwareday.html

Le cheval de Troie Emotet cible les réseaux d'entreprises
https://www.melani.admin.ch/melani/fr/home/documentation/lettre-d-information/Trojaner_Emotet_greift_Unternehmensnetzwerke_an.html
 

 
 

Contact spécialisé
Dernière modification 12.08.2019

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/dokumentation/lettre-d-information/update-ransomware-neue-vorgehensweise.html