Les hackers attaquent toujours les maillons les plus faibles et les vulnérabilités connues des logiciels présents dans votre organisation. Les récentes attaques utilisant le ransomware WannaCry ne font pas exception. Ce ransomware exploite pleinement une vulnérabilité connue de Windows pour s'exécuter sur les ordinateurs sans privilèges administratifs et se déplacer sur le réseau pour infecter d'autres machines.
Généralement, les attaques par ransomware proviennent d'une simple attaque par phishing lorsque le logiciel malveillant s'appuie sur une machine utilisateur. Si l'utilisateur dispose de privilèges administratifs, les logiciels malveillants peuvent ainsi facilement infecter tous les autres ordinateurs. Alors, comment empêcher les attaques par ransomware, comme WannaCry, d’infecter votre entreprise ? Comme vous le verrez ci-dessous, les bons outils et techniques peuvent couper la route aux ransomware. (Et plus loin, vous trouverez un bref résumé sur WannaCry.)
Les bonnes techniques
Chaque organisation a son propre contexte à considérer lorsqu’il s'agit de sécuriser son système d’information et ses données. Cependant, il existe des bonnes pratiques de sécurité universelles comme :
- Se concentrer sur les mesures de sécurité de base : de nombreuses organisations déploient des solutions de sécurité coûteuses, mais ne parviennent pas à se concentrer sur les mesures de sécurité de base, comme la mise à jour des logiciels, le maintien du contrôle des accès internes et l'activation/désactivation de certains paramètres de sécurité. En suivant des processus de recherche des vulnérabilités et de gestion des correctifs, vous pouvez réduire considérablement la surface d'attaque.
- Éduquer les utilisateurs : l'ingénierie sociale s'avère très fructueuse pour commettre des attaques. Même les utilisateurs compétents dans le domaine des technologies sont des proies à de telles attaques. Protégez-vous en éduquant vos utilisateurs afin qu’ils évitent de cliquer sur des liens ou des pièces jointes malveillantes envoyés par email et qu’ils fassent preuve de prudence lors de téléchargements de fichiers.
- Appliquer le principe de moindre privilège : Les ransomware et d’autres logiciels malveillants nécessitent généralement des privilèges élevés pour s'exécuter et se propager sur le réseau. Éliminez cette vulnérabilité en appliquant le principe de moindre privilège afin que les utilisateurs disposent uniquement des privilèges dont ils ont besoin.
- Définir des contrôles applicatifs sur les endpoints : l'exécution d'applications, de logiciels ou de scripts malveillants entraîne l’installation et la propagation de logiciels malveillants. Limitez l'exécution d'applications inconnues ou non fiables sur les points d'extrémité (endpoints) pour éviter les attaques par ransomware.
- Protégez les comptes privilégiés, contrôlez et surveillez les accès privilégiés : les hackers piratent les mots de passe administratifs après l’infection, afin de se propager sur l’ensemble du réseau. Protégez les comptes privilégiés avec des solutions de coffre-fort et appliquez les meilleures pratiques comme des mots de passe forts et uniques avec une rotation périodique.
Les bons outils: la gestion des endpoints
Les logiciels de gestion des endpoints tel que Desktop Central vous aident à protéger vos ordinateurs de WannaCrypt et d'autres attaques par ransomware et logiciels malveillants. Après avoir détecté les ordinateurs vulnérables, Desktop Central vous permet d'identifier les ordinateurs qui nécessitent l’installation de correctifs critiques afin de les déployer immédiatement.
De plus, vous pouvez utiliser Desktop Central pour bloquer les ports vulnérables de pare-feu et éviter que le ransomware ne se répande sur votre réseau. Pour lutter contre WannaCry nous avons ajouté un support pour tous les correctifs Windows. Lisez-en davantage pour savoir comment tirer parti de Desktop Central pour protéger votre entreprise de WannaCry et d'autres logiciels malveillants.
Les bons outils : SIEM
Une solution complète de gestion des informations et événements de sécurité (SIEM) comme EventLog Analyzer vous aide à identifier et à corriger les vulnérabilités de sécurité qui menacent votre réseau. EventLog Analyzer vérifie les données de vos scanners de vulnérabilités et vous donne une vue unifiée des vulnérabilités de votre réseau, comme les services, les ports et les périphériques, tels que les ordinateurs qui utilisent des versions périmées de Windows et qui sont les cibles d'attaque comme WannaCry.
Grâce à son système d’audit des logs en profondeur et d’alerte, EventLog Analyzer détecte et vous informe qu’un ransomware tel que WannaCry est installé sur vos systèmes. De plus, vous pouvez auditer les changements de clé de registre, les services installés et les processus créés pour détecter les événements qui se produisent lors d'une attaque par ransomware. Vous pouvez ensuite corriger l'attaque en exécutant un script une fois qu'une alerte est déclenchée pour tuer tous les processus créés par le ransomware.
Les bons outils: l'audit des serveurs de fichiers
Une solution d'audit des fichiers comme FileAudit Plus vous propose une console d'alerte en temps réel qui permet de détecter instantanément les attaques par ransomware sur vos systèmes de fichiers. Fondamentalement, un ransomware apporte plusieurs modifications à vos fichiers dans un court laps de temps. Il renomme les fichiers et modifie leurs extensions. Pour détecter les modifications avec FileAudit Plus, utilisez un seuil approprié pour configurer un profil d'alerte. Si la limite de votre seuil est "10 fichiers modifiés en moins d'une minute", par exemple, FileAudit Plus vous alertera en temps réel si cette limite est dépassée.
Avec WannaCry, en particulier, les fichiers sont chiffrés dans un format .wncry . Vous pouvez facilement ajouter ce nouveau format de fichier à votre profil d'alerte pour recevoir des alertes en temps réel lorsque l'un de vos fichiers est modifié en .wncry. De plus, FileAudit Plus vous fournit des profils d'alerte pour le chiffrement de fichiers en d'autres formats de fichiers connus utilisés par les ransemware.
Pour résumer : WannaCry
Voici ce que vous devez savoir sur l'attaque récente par ransomware WannaCry :
Comment fonctionne un ransomware ? Un ransomware est un type spécifique de malware qui est utilisé pour prendre en otage des données. Une fois que le ransomware infecte votre système, il chiffre toutes vos données après avoir été activé par un serveur central. Une fois le chiffrement du fichier terminé, il demande une somme d'argent en rançon pour débloquer les données chiffrées. Généralement, un compte à rebours est attaché au message afin de créer de l’urgence chez l’utilisateur et excercer davantage de pression. Si les minutes sont épuisées, vous serez définitivement bloqué et perdrez tous vos fichiers.
Comme son nom l'indique, le ransomware prend en otage les données de vos systèmes avant de vous demander une rançon en promesse de pouvoir les récupérer. Cette menace se répand généralement via des applications infectées, des pièces jointes et des sites Web compromis.
Qu'en est-il de WannaCry (aka WannaCrypt WCry et WanaCrypt0r 2.0) ? WannaCry est un ransomware qui a récemment attiré l'attention après une attaque qui a débuté vendredi 12 mai 2017. Cela a provoqué des tremblements dans le monde entier, l'Europe étant l'épicentre. Les attaquants derrière WannaCry ont ciblé des ordinateurs fonctionnant sous Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7, Windows 8 et Windows 8.1.
Après avoir infecté votre ordinateur, WannaCry chiffre vos fichiers et demande un paiement en bitcoin afin que vous puissiez en récupérer l'accès. Cependant, les experts en sécurité avertissent qu'il n'y a aucune garantie que vous obtiendrez vos fichiers déchiffrés même après le paiement.
L'astuce de WannaCry est que ça ne s'arrête pas là. Il a une double fonctionnalité : c'est à la fois un malware et un ver. Une fois qu'il entre dans votre ordinateur, il recherche d'autres ordinateurs au sein de votre réseau et essaie de se propager. Il arrive à cela via les ports TCP et UDP. Cela peut s'avérer être un cauchemar pour les entreprises si WannaCry s'infiltrait sur le réseau de l'entreprise.
WannaCry exploite une vulnérabilité dans le système d'exploitation Windows, appelé EternalBlue, qui aurait été développé par la NSA. Cette vulnérabilité a été divulguée par un groupe de pirates s’appelant eux-mêmes les Shadow Brokers. WannaCry s'est déjà répandu dans toute l'Europe et en Asie, a touché plus de 150 pays et a perturbé environ 45 hôpitaux au Royaume-Uni.
WannaCry affectera-t-il mon téléphone ? Heureusement, les smartphones ne sont pas affectés par cette menace. Cependant, il est toujours préférable de protéger les points d'extrémité (endpoints) de votre entreprise, qu'il s'agisse de PC ou de périphériques mobiles. (Découvrez comment protéger les appareils mobiles de votre entreprise contre d'autres menaces.)
Existe-t-il une solution ? Bien qu'il n'y ait pas encore de solution à ce problème, l'affirmation selon laquelle "une once de prévention vaut une livre de guérison" est ici vérifiée. En plus de sauvegarder régulièrement vos données, sur un disque externe ou sur un stockage dans le cloud, nous vous recommandons d'adopter des outils et des techniques qui sécuriseront votre réseau.
Crédits équipe ManageEngine
Introduction et les bonnes techniques : V. Balasubramanian
Les bons outils: gestion des endpoints : Nikhil Nayak
Les bons outils: SIEM et audit des serveurs de fichiers : Siddharth Sharathkumar
Le résumé : WannaCry : Nikhil Nayak