Logiciels malveillants: nouvelle manière de rançonner les entreprises

 | Paru dans Entreprise romande
visuel visuel

Ces dernières semaines, des entreprises suisses ont été la cible d’un nouveau type d’attaque, ayant permis à des criminels d'infiltrer des réseaux et d’y déployer un rançongiciel permettant de chiffrer énormément de données. Différentes entreprises suisses renommées ont été touchées par ces attaques.

Un accroissement des cas de rançongiciels a été constaté par MELANI, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information de la Confédération. Depuis juillet, les attaquants ont choisi une nouvelle façon de procéder. Des e-mails malveillants sont envoyés à des entreprises suisses de manière ciblée (spear phishing). Les scénarios d’attaques suivants ont été observés.

  • Des attaquants envoient des e-mails malveillants de manière ciblée à des entreprises suisses pour les infecter avec un maliciel. Ces e-mails contiennent souvent un lien vers un site web malveillant ou une pièce-jointe infectée.
  • Dans des forums internet spécialisés, des accès à des ordinateurs compromis d’entreprises suisses sont mis en vente. Souvent ces ordinateurs sont infectés par Emotet, TrickBot ou encore Qbot. Des groupes criminels «achètent» l'accès à ces ordinateurs infectés pour ensuite infiltrer le réseau de l’entreprise en profondeur.
  • Des attaquants scannent internet à la recherche de ports et de services ouverts, comme des serveurs VPN ou Terminal et essaient d’y accéder via une technique appelée brute force.

Pour tous les scénarios mentionnés, des outils comme Cobalt Strike ou Metasploit sont utilisés afin d’obtenir les droits d’accès pour infiltrer l’entreprise. En cas de succès, un rançongiciel sera déployé sur les systèmes (comme par exemple Ryuk, Lockergoga, MegaCortex, etc.) et chiffrera toutes les données. En raison des menaces actuelles, MELANI met en garde une nouvelle fois les entreprises suisses contre les rançongiciels et leur recommande de prendre au plus vite les mesures suivantes, si cela n’a pas encore été fait.

  • Effectuer régulièrement des sauvegardes des données, par exemple sur un disque dur externe. Procéder selon un plan de rotation (sauvegardes quotidiennes, hebdomadaires, mensuelles [méthode grandpère - père - fils], minimum de deux générations). Après la sauvegarde, veiller à déconnecter physiquement de l’ordinateur le support contenant les données sauvegardées, sans quoi ces données pourront également être verrouillées et rendues inutilisables en cas d'infection de l’ordinateur par un rançongiciel.
  • Si on utilise une solution de sauvegarde en nuage, s’assurer qu’elle propose au moins deux générations, de manière analogue à une sauvegarde classique. L’accès à ces sauvegardes doit être tout particulièrement protégé, par exemple avec un deuxième facteur d’authentification.
  • Vérifier la qualité de la solution de sauvegarde de manière régulière et s’entraîner à déployer une sauvegarde. Cela aidera à gagner du temps lors d’un éventuel incident.
  • Toujours garder à jour son système d'exploitation et toutes les applications (par exemple, Adobe Reader, Adobe Flash, Java, etc.), de manière automatique lorsque cela est possible.
  • Protéger toutes les ressources accessibles depuis internet (par exemple serveur de terminal, RAS, accès VPN, etc.) avec un deuxième facteur d’authentification. Placer les serveurs Terminal derrière un portail VPN.
  • Bloquer la réception de courriels contenant des fichiers dangereux sur votre passerelle de messagerie; cela comprend également les fichiers Office avec macros. Des informations détaillées sont disponibles à l’adresse https://www.govcert.ch/downloads/ blocked-filetypes.txt
  • Monitorer les fichiers log de votre solution antivirus pour des irrégularités.

MELANI conseille en outre de ne pas céder à l’extorsion afin de ne pas participer au financement de l’activité des criminels et de ne pas leur permettre d’améliorer l’efficacité de leurs prochaines attaques. De plus, il n’existe aucune garantie que les criminels respecteront leur engagement et enverront réellement la clé permettant de récupérer vos données.

 


Découvrez d'autres articles

Transmission d'entreprise par succession

Transmission d'entreprise par succession

3 octobre 2019 - Paru dans Entreprise romande

La Fédération des Entreprises Romandes (FER) soutient pleinement la proposition de révision du code civil suisse qui vise à permettre la transmission d’entreprises par succession du chef...

Lire plus
Le temps de la transmission d'une PME est très long

Le temps de la transmission d'une PME est très long

25 juillet 2019 - Paru dans Entreprise romande Le Magazine

Avec le départ prochain des babyboomers à la retraite, le nombre d’entreprises cherchant un repreneur en Suisse augmente.

Lire plus
Santé et sécurité au travail: une marge de progression en Suisse

Santé et sécurité au travail: une marge de progression en Suisse

29 mai 2019 - Paru dans Entreprise romande

La santé et la sécurité au travail contribuent à la qualité de l’emploi.

Lire plus