Le fléau des attaques par ransomware continue de sévir dans presque toutes les institutions du secteur public et les entreprises privées. Nul n’est à l’abri. En 2019, plus de 140 attaques par ransomware ont été menées contre des organisations gouvernementales et de la santé, et en 2020, les hôpitaux en particulier ont été ciblés sans relâche. Il est essentiel pour chaque pro de l’informatique, dans tous les secteurs, de se protéger des ransomwares.
Consultez le livre blanc Se protéger des ransomwares grâce à Zscaler Workload Segmentation.
Les ransomwares ne sont pas une menace émergente
Le premier spécimen est apparu dès 1989, mais les cybercriminels n’ont commencé à lancer des attaques généralisées que vers 2012. En règle générale, les ransomwares infectent un réseau soit par le biais d’une attaque par hameçonnage, soit en exploitant des failles de sécurité.
Dans le cadre d’une attaque par hameçonnage, la cible reçoit un e-mail contenant un document qui, une fois ouvert, lance le ransomware. Dans certains cas, l’attaque peut avoir recours à des outils d’ingénierie sociale pour inciter l’utilisateur à fournir au programme malveillant des informations d’identification qui facilitent l’attaque.
D’autres types de ransomware ne nécessitent pas qu’un utilisateur clique sur un document infecté. Ils profitent plutôt de failles de sécurité pour compromettre les systèmes. NotPetya constitue un exemple particulièrement agressif de cette variante. Dans un cas, il a exploité une porte dérobée dans un package de comptabilité populaire en Ukraine, puis s’est propagé à d’autres systèmes grâce à des failles de sécurité (désormais corrigées), connues sous les noms d’EternalBlue et d’EternalRomance, dans l’implémentation Windows du protocole SMB (server message block). Ce qui rend NotPetya particulièrement destructeur est le fait qu’il ne demande pas de rançon. En revanche, NotPetya génère un nombre aléatoire pour chiffrer toutes les données qu’il rencontre, les détruisant définitivement. Il n’existe aucun moyen de récupérer la clé permettant de déchiffrer les données.
Ces dernières années, les ransomwares ont considérablement gagné en sophistication. De nombreuses souches ne chiffrent plus la première machine qu’elles rencontrent. Au lieu de cela, le programme malveillant surveille dans un premier temps l’environnement pour déterminer la manière dont il peut se déplacer latéralement sur le réseau afin d’infecter d’autres ressources, en tirant souvent parti d’outils légitimes, tels que la reconnaissance du protocole SAMR (Security Account Manager Remote) et la reconnaissance du serveur de nom de domaine (DNS) à l’aide de nslookup. Grâce à ces informations, le programme malveillant peut discrètement se déplacer sur le réseau pour introduire le ransomware dans d’autres systèmes. Une fois qu’une masse critique a été atteinte, le ransomware chiffre toutes ces ressources en une seule fois, portant un coup fatal à l’entreprise.
Se protéger des ransomwares
Nous entendons souvent dire que la meilleure défense contre une attaque par ransomware réside dans une protection solide des données. Après tout, si vous disposez de sauvegardes, vous n’avez pas besoin de payer la rançon et pouvez simplement restaurer tous les fichiers. Même si le programme malveillant réussit à chiffrer les données d’une entreprise, tant que les fichiers de sauvegarde et de reprise après sinistre (DR ou disaster recovery) sont intacts, l’entreprise peut éviter de payer la rançon et le service informatique peut tout restaurer à un point antérieur à l’attaque.
Toutefois, les sauvegardes doivent être considérées comme une défense de dernier recours, et non comme la première ligne de défense. Si l’attaque est suffisamment dévastatrice, le service informatique peut être amené à restaurer des pétaoctets de données, un processus qui peut prendre des jours, voire des semaines, et perturber les activités de l’entreprise pendant une longue période. Pire encore, si les sauvegardes sont connectées au réseau, il est possible que le ransomware les détruise numériquement également, ne laissant d’autre choix que de payer la rançon, ce qui représente une position catastrophique, et pas simplement en raison du coût. Après que les autorités de Lake City, en Floride, aient payé une rançon pour déchiffrer leurs données affectées (environ 200 téraoctets), le processus de déchiffrement a duré plus de huit jours. Pour les grandes entreprises qui exploitent des pétaoctets de données, le processus peut prendre plus d’un mois.
De même, nous entendons souvent parler de l’importance de former les employés à ne pas cliquer sur les documents utilisés dans les attaques d’hameçonnage, mais cela aussi est loin d’être suffisant.
Les cybercriminels développent constamment de nouveaux moyens de tromper les employés et, dans une entreprise suffisamment grande, quelqu’un finira toujours par faire l’erreur de cliquer sur un fichier infecté. Qui plus est, la formation des employés ne contribue en rien à la protection contre les attaques qui exploitent les failles de sécurité : personne n’a besoin de cliquer sur quoi que ce soit pour que celles-ci aboutissent.
Une approche de Zero Trust pour contrer les ransomwares
Dans un environnement Zero Trust, toutes les communications internes sont traitées comme potentiellement hostiles. Chaque communication entre charges de travail doit préalablement être autorisée. De cette façon, la stratégie Zero Trust peut empêcher les ransomwares de se déplacer latéralement sur le réseau, ce qui peut faire la différence entre un programme malveillant qui chiffre un seul ordinateur portable et le chiffrement de centaines de serveurs et de datastores dans le monde entier.
Zero Trust repose la microsegmentation, mais les méthodes traditionnelles de microsegmentation d’un réseau dépendent d’une adresse IP « de confiance ». Cela pose d’importants problèmes opérationnels et de sécurité. Sur le plan opérationnel, les politiques sont caduques lorsque le réseau sous-jacent change, et les réseaux modernes sont en constante évolution. Il est encore plus difficile de gérer les politiques dans des environnements auto-évolutifs, tels que le cloud ou les conteneurs, dans lesquels les adresses IP sont éphémères. Les services informatiques doivent constamment mettre à jour leurs politiques à mesure que les adresses IP changent, ce qui demande énormément de travail et est une source potentielle d’erreurs. De plus, les ransomwares peuvent échapper aux contrôles basés sur les adresses en se superposant à des politiques de pare-feu approuvées, ces derniers n’étant pas conçus pour distinguer les bons logiciels des mauvais.
Il existe cependant un nouveau modèle de microsegmentation qui repose sur l’identité des logiciels, des hôtes et des appareils communicants, séparant le plan de contrôle du réseau afin d’améliorer la sécurité et de faciliter les opérations. Avec une approche basée sur l’identité, chaque charge de travail se voit attribuer une identité unique et immuable (ou empreinte digitale) basée sur des dizaines de propriétés de l’actif lui-même, comme l’UUID du bios, les numéros de série des processeurs ou le hachage SHA-256 d’un binaire. L’identité est ensuite vérifiée avant que les charges de travail ne soient autorisées à communiquer. Cette vérification empêche les programmes malveillants, ou les appareils et les hôtes, de communiquer.
Supposons, par exemple, qu’une personne clique sur un fichier infecté, ce qui lance un ransomware sur son ordinateur de bureau. Si le ransomware tente d’utiliser le protocole SAMR ou nslookup pour effectuer une reconnaissance du réseau, les politiques de Zero Trust basées sur l’identité bloquent cette communication, tout simplement parce que le ransomware n’est pas autorisé. Les tentatives de déplacement vers d’autres actifs seraient également refusées pour la même raison. Ainsi , même si un ransomware s’introduit dans le réseau, les dommages qu’il peut causer sont limités à une simple gêne et non à une catastrophe économique mondiale.
Pour en savoir plus, lisez le livre blanc Se protéger des ransomwares grâce à Zscaler Workload Segmentation.