Ransomware

Que sont les ransomware et comment fonctionnent-ils ?

Un ransomware est un type d'attaque par logiciel malveillant avancé qui prend le contrôle de l'appareil et interdit à l'utilisateur tout accès à ses fichiers ou chiffre ses fichiers pour les rendre inutilisables. Pour accéder à votre appareil, ce type d'attaque multiplie les méthodes. Le ransomware peut être téléchargé sur un site Web malveillant ou compromis, reçu sous forme de pièce jointe à un e-mail de phishing, ou déposé par des kits d'exploit dans les systèmes vulnérables. Une fois exécuté sur le système, le ransomware verrouille l'ordinateur ou chiffre certains fichiers. Le cybercriminel se fait alors connaître à travers une demande de rançon « officielle », qui détaille les instructions à suivre et les délais de paiement à respecter pour pouvoir de nouveau accéder aux fichiers ou pour obtenir la clé de déchiffrement des fichiers pris en otage.

Que devient Petya 2.0 ?

Le 27 juin 2017, une autre variante de ransomware, très agressive, a commencé à se propager à grande vitesse pour infecter de nombreux ordinateurs dans le monde entier.La variante Petya 2.0 (que certains chercheurs appellent également NotPetya) se propage surtout par le biais d'une fausse confirmation de commande jointe à un e-mail de phishing.Après avoir infecté un premier ordinateur, Petya 2.0 se déplace latéralement à travers le réseau de la victime en profitant de la faille EternalBlue (MS17-010) qu'exploitait déjà la variante du ransomware WannaCry, ou par le biais des outils PsExec et WMIC.

Le fonctionnement de la variante Petya 2.0 diffère de celui des ransomware classiques. En effet, elle ne chiffre pas les fichiers individuels mais le secteur de démarrage principal (MBR) de l'ordinateur de la victime.Une fois cette zone MBR chiffrée, le système d'exploitation et les fichiers sont eux-mêmes entièrement verrouillés et la victime ne peut plus y accéder.

Pour les entreprises malheureusement, ces nouvelles pratiques sont désormais très répandues.Si les attaques de WannaCry et Petya 2.0 font les gros titres dans la presse, elles sont aussi une nouveauté dont nous ignorons encore tout alors qu'elles sont déjà en embuscade.Par essence et quelle que soit leur taille, toutes les entreprises sont concernées par la menace constante que représentent les ransomware. Le battage médiatique dont ils font l'objet ne fait que mettre en lumière à quel point il est essentiel d'adopter une approche de la sécurité à plusieurs couches.Par exemple, comme le relevait notre rapport du premier trimestre sur la sécurité d'Internet, 38 % des logiciels malveillants échappent aux antivirus traditionnels. C'est pourquoi vous avez absolument besoin de services spécialisés pour la prévention des intrusions (IPS), la mise en sandbox, la détection et la riposte.Aucune solution ne peut à elle seule assurer une protection totale.Le moment est dont idéal pour adopter WatchGuard Total Security Suite !

Alors, que faire ?

Pour se protéger contre ce type d'attaques, il est conseillé de sensibiliser fréquemment les utilisateurs, de mettre régulièrement à jour les logiciels et de sauvegarder tout le contenu sensible. Ce sont là de bonnes pratiques à respecter, mais contre une attaque avancée, ces conseils ne constituent qu'un premier niveau de protection, très insuffisant. Les spécialistes sont également d'accord pour dire que, contre un ransomware, la clé est un système de défense à plusieurs couches. WatchGuard Total Security Suite, disponible avec toutes les appliances Firebox, assure une solide protection contre les ransomware et les logiciels malveillants avancés. Les contrôles de sécurité inclus dans notre suite, comme WebBlocker, APT Blocker et Host Ransomware Prevention, améliorent la détection et le blocage des attaques courantes par ransomware.