que faire en cas d’attaque par ransomware ?

01

déconnectez votre appareil du réseau et d’internet

Sur votre ordinateur, coupez le WI-FI et débranchez le câble réseau.
Sur vos appareils mobile, passez en mode avion pour couper toutes les connexions.

02

N’éteignez pas votre appareil

En éteignant votre appareil, vous risquez d’effacer des éléments nécessaires aux recherches.

03

Alertez immédiatement
votre support informatique

04

cessez d’utiliser
votre appareil

Pour faciliter les recherches à venir, il est recommandé de cesser d’utiliser l’appareil compromis.

05

prévenez vos collègues
de l’attaque en cours

Une mauvaise manipulation d’un autre collaborateur non averti de l’attaque pourrait aggraver la situation.

Un Ransomware, c’est quoi ?

Vendredi à 18h, l’un de vos employés vous signale qu’il ne peut plus accéder à l’une de vos applications métier. Et puis quelques instants plus tard, votre service informatique découvre qu’un certain nombre de dossiers sur votre serveur informatique sont chiffrés et inutilisables. Ils découvrent aussi un fichier texte « Lisez-moi » qui contient une demande de rançon en bictoin. Vous venez d’être victime d’un Ransomware.

Le Ransomware est un logiciel malveillant qui chiffre les fichiers présents dans un appareil. La victime ne peut ainsi plus accéder à son appareil si elle ne paie pas une rançon. L’infection peut arriver lors d’une navigation sur un site internet non sécurisé, de l’ouverture d’un lien ou d’une pièce jointe dans un email, etc.

Selon le rapport 2022 de Sophos, près de 3 entreprises françaises sur 4 ont été visées par un Ransomware.”

– L’etat des ransomwares en 2022

malware

Comment se déroule une attaque type ?

Une attaque par Ransomware se déroule généralement en quatre phases.
Le pirate doit d’abord réussir à tromper l’utilisateur pour infecter sa machine et son réseau. Puis il va récupérer les données avant de les chiffrer sur la machine cible.

Etape 01. L’infection

Pour pénétrer le système informatique de leur cible, les pirates utilisent généralement des emails de pishing.
Cette technique d’hameçonnage consiste à persuader les victimes de cliquer sur un lien ou de télécharger une pièce jointe. Pour y arriver, les pirates vont tenter de se faire passer pour une entreprise connue comme une banque, un opérateur communication, un site de e-commerce, une administration publique … mais aussi une connaissance personnelle de la victime. Les emails ne sont pas les seuls outils utilisés par les pirates, les fausses copies de sites internet, les sms ainsi que les appels téléphoniques sont exploités. L’objectif est de tromper la méfiance de leurs victimes en usurpant une identité de confiance et amener à commettre une imprudence. Par exemple, inciter à naviguer sur un faux site comportant du code malveillant ou télécharger une pièce jointe infectée.

Etape 02. La propagation

Cette seconde étape démarre au moment de l’ouverture de la pièce jointe infectée ou du lien laissant échapper le malware. Si la machine ciblée se trouve sur un réseau, le logiciel pourra obtenir les identifiants de connexion pour ensuite atteindre le réseau et infecter les autres appareils qui y ont accès.

Etape 03. Le vol des données

Une fois installé sur la machine cible, le ransomware va communiquer avec ses serveurs de commande et de contrôle. Les données ciblées alors alors directement envoyées vers ces serveurs. Les pirates auront donc une copie des données.

Etape 04. Le chiffrement des données

Le fonctionnement du Ransomware repose sur un cryptage asymétrique qui nécessite une clé publique pour le chiffrement et une clé privée pour le déchiffrement. Sans cette clé, il est impossible de déchiffrer les fichiers chiffrés par le malware. Et pour obtenir cette clé, il faut payer une très forte rançon.
Néanmoins, payer n’est pas toujours gage de pouvoir récupérer ses données. Une étude de 2021 dévoilait que seulement 51% des victimes ont réussi à retrouver l’intégralité de leurs données.
Et dans le cas où l’entreprise ne paye pas car elle dispose d’une sauvegarde saine de ses données, les pirates peuvent la menacer de divulguer les informations sensibles qu’ils auront volé pendant l’attaque.

Ils l’ont vécu, ils témoignent.

Les attaques par rançongiciels augmentent en nombre, en fréquence et en sophistication. Depuis le 1er janvier 2020, l’ANSSI a traité 104* attaques de cette catégorie. Leurs conséquences sont de plus en plus dévastatrices sur la continuité d’activité voire la survie de l’organisation victime.

Le 15 novembre 2019, à la veille du week-end, un interne des services d’urgence signale un problème de droits d’accès à une application métier. Peu après, la DSI constate le chiffrement d’une grande partie des postes de travail et serveurs du CHU. Très vite, le diagnostic tombe : c’est un rançongiciel.”

– Cédric Hamelin, CHU Rouen

Responsable adjoint à la sécurité du système d’information

Durant la nuit du 11 au 12 octobre 2019, le groupe a fait l’objet d’une violente cyber attaque de type ransomware. Je passe sur le réveil très matinal pour un samedi, une actualité très chargée et la rédaction radio sous pression maximale, n’ayant plus d’accès Internet. La question « Que puis-je faire sans ordinateur ? » était dans tous les esprits. En à peine deux heures, tout le monde était sur le pont !”

– Jérôme Lefébure, groupe m6

CFO, membre du directoire en charge des métiers de support

Dans la nuit du 10 au 11 avril 2019, une attaque par rançongiciel a obligé l’entreprise à couper toute liaison Internet et avec les ensembles applicatifs. Conséquence directe de l’attaque : arrêt total de l’activité pendant trois jours et fonctionnement en mode dégradé pendant deux semaines.”

– Laurent Babin, Fleury Michon

Responsable adjoint à la sécurité du système d’information

Que préconise l’ANSSI face à une attaque ?

anssi

Selon l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, il est urgent pour les entreprises et les collectivités de mettre en œuvre des mesures pour prévenir les attaques par ransomware et d’apprendre à bien réagir lorsqu’il est trop tard.

C’est pour faire face à cette situation inédite et dans le cadre d’une dynamique gouvernementale que l’ANSSI, en partenariat avec la DACG, publie un guide très concret qui s’adresse aux dirigeantes et dirigeants, ainsi qu’aux responsables informatiques des entreprises et des collectivités. Ce guide de bonnes pratiques préventives et réactives face aux ransomware a bénéficié des contributions et de l’expérience de plusieurs acteurs : le dispositif cybermalveillance.gouv.fr, la Brigade de lutte contre la cybercriminalité (BL2C), la Commission nationale de l’informatique et des libertés (CNIL) et la Direction centrale de la Police judiciaire (DCPJ).

guide de l’anssi :
Attaques par rançonlogiciels,
tous concernés.

Et DTSinfo dans tout ça ?

DTSinfo est membre de cybermalveillance.gouv.fr
Notre équipe compte une cellule de crise dédiée aux incidents de type Ransomware.
Nous pouvons vous porter assistance rapidement et vous accompagner
à gérer correctement cette crise.