Il n’y a souvent pas de moyen facile de sortir d’une attaque de ransomware, mais la façon dont vous réagissez peut faire une grande différence dans l’ampleur des dégâts. Ce guide vous montrera quelques-unes des meilleures pratiques pour une réponse aux ransomwares, et comment minimiser les dommages et remettre votre système en ligne aussi rapidement et en toute sécurité que possible.
Signes d’une attaque par ransomware
Si vous remarquez des fichiers sur votre ordinateur avec des noms étranges et des extensions qui ne s’ouvrent avec aucun programme, il y a de fortes chances qu’une attaque de ransomware soit en cours. Habituellement, le premier signe certain d’une attaque de ransomware est un écran annonçant que vos fichiers ont été cryptés. Votre écran peut ressembler à ceci :
« Tous vos fichiers ont été cryptés ! »
C’est une expérience terrible et de plus en plus courante ; Les attaques par ransomware ont augmenté de plus de 700 % en 2020. Si vous voyez un message comme celui-ci et que vous constatez que vous ne pouvez pas accéder à vos fichiers, il y a une forte probabilité que l’ensemble de votre réseau soit compromis. Les ransomwares sont souvent programmés pour infecter autant de réseau que possible avant de se faire connaître. Pour la plupart des organisations, chaque minute d’arrêt se traduit par une perte d’argent. Une enquête a montré qu’une attaque de ransomware coûte en moyenne 133 000 USD, y compris les temps d’arrêt, les paiements de rançon, les coûts de réseau, la main-d’œuvre, les coûts des appareils et les opportunités perdues. Pour 5 % des répondants, le coût se situait entre 1,3 et 6,6 millions de dollars. La plupart des victimes de ransomware ont été touchées en moyenne deux fois, ce qui souligne l’importance d’une réponse efficace. Une bonne réponse peut réduire considérablement vos chances d’être touché à nouveau. De nombreuses attaques de ransomware ont des exigences avec des délais courts, vous devez donc agir rapidement pour sauvegarder vos données. En même temps, il est important de rester calme. Ce guide vous donnera une idée générale des mesures à prendre en cas d’attaque par ransomware. Les étapes suivantes sont quelques-unes des meilleures pratiques que notre équipe a développées après avoir aidé de nombreux clients à rétablir leurs opérations après des attaques de ransomware.
1. Ne paniquez pas.
Il est facile de s’énerver à l’idée que les affaires s’arrêtent soudainement, mais cela n’aidera en rien. N’oubliez pas que de nombreuses organisations ont été touchées par des attaques de ransomware et s’en sont bien sorties. Rester dans un état d’esprit calme vous permettra de faire plus facilement ce qui doit être fait. Prendre toutes les mesures appropriées plutôt que de précipiter une réponse mal organisée peut en fait réduire le coût global de la récupération et vous protéger contre d’autres attaques à l’avenir.
2. Déconnectez les appareils infectés.
Habituellement, une demande de rançon n’apparaîtra pas tant que le ransomware n’aura pas infecté tous les appareils auxquels il peut accéder. Il est toujours recommandé de déconnecter les ordinateurs infectés, car le ransomware peut potentiellement se propager en fonction de l’activité du réseau. Si vous remarquez le ransomware avant que la demande ne soit faite, il est encore plus important d’agir rapidement pour éviter qu’il ne se propage. Dès que vous remarquez le logiciel malveillant, vous devez immédiatement :
- Déconnectez tous vos disques du réseau.
- Éteignez le Wi-Fi, le Bluetooth et débranchez les câbles Ethernet.
- Si possible, mettez l’ensemble du réseau hors tension.
- Informez les travailleurs à distance connectés au réseau infecté et demandez-leur de se déconnecter et d’éteindre leurs systèmes.
3. Informez votre fournisseur de services informatiques et/ou votre service informatique.
Les ransomwares mettent du temps à se propager dans un système, donc si vous détectez une attaque, vous devez agir immédiatement pour éviter que l’infection ne s’aggrave. Cette étape doit être franchie avant même d’informer votre service informatique, car chaque seconde compte. Vous devez également informer votre fournisseur de services informatiques le plus rapidement possible. Si vous avez des sauvegardes dans le cloud, par exemple, l’infection s’est peut-être déjà propagée à vos sauvegardes. Ce sera au fournisseur de services d’arrêter l’attaque. Agir rapidement peut faire la différence entre être forcé de payer une rançon ou non. Si votre organisation dispose d’un service informatique, il est préférable de le laisser gérer la réponse aux ransomwares comme décrit dans les étapes suivantes. Ils devront accéder au système de manière à empêcher le ransomware de se propager. Si votre organisation ne dispose pas d’un service informatique, il peut être préférable d’embaucher une aide externe. Avant Crypt est spécialisé dans les ransomwares, beaucoup de nos clients sont des petites et moyennes entreprises sans service informatique dédié.
4. Documentez l’attaque.
Prenez une capture d’écran ou une photo de n’importe quel message de rançon. Prenez également une capture d’écran de l’apparence des fichiers cryptés. Assurez-vous de noter l’heure exacte à laquelle l’attaque a été découverte. Si vous le pouvez, téléchargez des copies de vos journaux système et de vos journaux serveur. Il y a plusieurs raisons pour lesquelles vous devez documenter soigneusement l’attaque. Tout d’abord, il peut vous aider à déterminer quel type de ransomware vous a frappé. Avec certaines versions plus anciennes des ransomwares, des outils de décryptage sont disponibles pour vous aider à récupérer vos données. Dans la grande majorité des cas, cependant, il n’y a pas d’issue facile, mais connaître le type de ransomware peut aider la police à attraper les attaquants plus tard. Si votre organisation a une police d’assurance contre les cyberattaques, une documentation complète peut être nécessaire pour déposer une réclamation.
5. Informez les autorités.
Vous pouvez ou non être légalement tenu de signaler l’attaque. Selon votre pays et le type de violation de données, vous pouvez être tenu de déposer des rapports auprès de plus d’une agence gouvernementale. Par exemple, dans l’Union européenne, vous pouvez être tenu de déposer un rapport en vertu du Règlement général sur la protection des données (RGPD). Aux États-Unis, la Health Insurance and Portability Accountability Act (HIPAA) oblige les entreprises du secteur des soins de santé à signaler toutes les violations de données. Si la nature des données est privée ou personnelle, comme les noms d’utilisateur et les mots de passe, vous êtes légalement tenu, en vertu du RGPD pour les lois européennes et potentiellement américaines, de communiquer la violation de données sous la forme d’un communiqué de presse/d’un e-mail à vos collègues et clients, y compris, mais sans s’y limiter :
- Le type d’atteinte à la vie privée qui s’est produite
- La date et l’heure de l’atteinte
- Une évaluation approfondie des dommages
- Toutes les actions que vous avez prises (telles que le paiement de la rançon, la restauration à partir de sauvegardes, le signalement aux autorités chargées de l’application de la loi, etc.)
- Proposer des actions à vos clients (comme changer de nom d’utilisateur/mot de passe, etc.)
Il est important d’être transparent. S’il est naturel que votre entreprise souffre de la nouvelle d’une violation de données, plus vous adoptez une approche proactive, mieux ce sera pour votre organisation. Pour une discussion plus complète de ce sujet, ainsi que les coordonnées des bureaux concernés, consultez notre Guide de conformité aux ransomwares.
6. Renseignez-vous sur le type de ransomware.
Avez-vous entendu parler de WannaCry ? Il s’agit de l’une des attaques de ransomware les plus dangereuses à ce jour. Au moment où il a été résolu, plus de 25 % des systèmes des National Health Services (NHS) du Royaume-Uni étaient compromis, des serveurs aux ventilateurs ! Chaque variante de ransomware est programmée différemment et donc traitée différemment. Bien qu’il existe une myriade de souches pour tout ransomware, les deux types les plus courants sont :
- Verrouillage d’écran ransomware
- Ransomware de cryptage de fichiers
Le logiciel malveillant de verrouillage d’écran est légèrement plus facile à résoudre et à récupérer par rapport à ce dernier. Selon le type de ransomware, vous pouvez avoir différentes options.
7. Vérifiez vos sauvegardes.
Le meilleur scénario possible est de restaurer votre système à partir d’une sauvegarde d’avant l’infection. Pour ce faire, vous devez savoir quand l’infection s’est produite afin de ne pas être infecté à nouveau. C’est là que les journaux de votre système peuvent s’avérer utiles. La restauration du système n’est généralement pas une bonne solution aux ransomwares, car vous pouvez restaurer à partir d’une image disque contenant des éléments du logiciel malveillant cachés au plus profond de votre système de fichiers. Dans certains cas, les ransomwares peuvent également infecter vos sauvegardes. Dans ce cas, il n’y a pas grand-chose que vous puissiez faire à part céder aux exigences des attaquants, ou effacer votre système et accepter la perte de vos données.
8. Trouvez la cause profonde de l’attaque par ransomware.
Dans les deux cas, vous devez savoir comment l’infection s’est produite. Que vous payiez la rançon ou que vous restauriez vos données avec une sauvegarde, si vous ne trouvez pas la cause de l’attaque, vous risquez une autre infection. La plupart des attaques de ransomware commencent par hameçonnage ou par des exploits. Les attaques de phishing se produisent généralement sous la forme d’un e-mail ou d’un site Web. Les pirates peuvent se faire passer pour des entreprises ou des organismes gouvernementaux réputés en imitant l’apparence de leurs courriels ou de leurs sites Web, puis inciter les employés à cliquer sur un lien ou à télécharger une pièce jointe contenant le logiciel malveillant. Il y a une bonne ressource sur la prévention de l’hameçonnage ici. Si l’infection par ransomware s’est produite en raison d’une vulnérabilité dans votre système, vous devrez corriger cette vulnérabilité avant de restaurer vos données. De nombreuses vulnérabilités résultent de l’utilisation d’anciennes versions de logiciels, vous devez donc vous tenir au courant des exploits et des correctifs pour minimiser vos risques.
Les étapes 9 à 14 sont expliquées en détail dans le guide complet.