Ransomware : les signes qui démontrent que vous êtes touchés
Depuis un certain moment les attaques basées sur les rançongiciels sont quelques choses de véritablement courant.
Il y a de fortes chances que votre organisation soit tôt ou tard ciblée par cybercriminels. Cet aspect n’est pas farfelu en ce sens où l’on sait pertinemment que les cyberattaques peuvent être ciblées ou sporadiques. De ce fait, vous devez vous préparer. Non seulement pour vous protéger mais aussi déterminé les signes qui pourraient vous signifier que vous êtes bel et bien touchés par une cyberattaque.
Cet article va aussi vous intéresser : Ransomware : une hausse niveau des attaques des établissements de santé en 2019
Cela importe en ce sens que selon une récente étude, environ 100 demandes d’indemnisation sont présentées chaque jour près des compagnies d’assurance, dont la cause principale et des attaques fondées sur les rançongiciels. Surtout que nous savons qu’il faut environ 60 à 120 jours pour un cyber criminel, dans l’organisation d’une telle cyberattaque. En d’autres termes, il a de fortes chances que vous soyez peut-être infecté par des potentiels programmes informatiques et que la cyberattaque et sûrement en cours.
Pour cela voici, quelques indicateurs qui vous seront sûrement utiles.
1. Déterminer votre exposition de liens RDP
Comme nous le savons très bien lors d’une attaque au rançongiciel, les fichiers du système informatique ciblées sont chiffrés. Pour réussir cela, les cybercriminels doivent enquêter et étudier de fond en comble le système en question. Et cela peut prendre beaucoup de temps. Cependant l’une de la porte d’entrée principale, est bien sûr les liens RDP (Remote Desktop Protocol) qui demeurent ouverts sur internet. « Regardez votre environnement et comprenez quelle est votre exposition à la RDP, et assurez-vous que vous avez une authentification à deux facteurs sur ces liens ou qu’ils se trouvent derrière un VPN », a noté Jared Phipps, vice-président de la société américaine de sécurité, SentinelOne. « Le confinement dû au coronavirus a eu une incidence sur ce point. Avec la montée en puissance du télétravail, de nombreuses entreprises ont ouvert des liens RDP pour faciliter l’accès à distance. Cela ouvre la voie aux ransomwares » ajoute ce dernier.
En d’autres termes et cybercriminels commence toujours à analyser les ports RDP ouverts
2. la présence de logiciels inconnu sur le système informatique et le réseau
Le second signe est de voir apparaître des outils informatiques qui ne sont pas connus ou maîtrisés par les collaborateurs où l’équipe informatique. Et cela se comprend très bien. Dès le début de l’attaque, les pirates informatiques de va voir le contrôle de certains PC. A travers ce contrôle ils peuvent tout simplement se procéder à l’installation des programmes malveillants. Il peut s’agir alors des outils de détection d’analyse de réseau tels que AngryIP ou Advanced Port Scanner. Si vous détectez l’usage de ces outils informatiques sur votre réseau, renseignez-vous pour savoir si l’équipe informatique en est l’instigatrice et l’utilisatrice. Dans le cas contraire, débarrassez-vous-en tout simplement. Il n’est pas aussi rare de détecter la présence d’un logiciel tel que MimiKatz, qui est utilisée par les cybercriminels pour dérober certaines informations d’identification tels que les mots de passe pour les identifiants de connexion. Les spécialistes parlent aussi d’autres applications qui sont utiles pour la création de compte d’administrateur. L’idée est d’être méfiant face à ce genre d’outils. Parmi tant d’autres on peut citer PC Hunter, IOBit Uninstaller, Process Hacker, GMER. À ce propos, l’entreprise de cybersécurité Sophos prévenait : « Ces types d’outils commerciaux sont légitimes, mais s’ils sont dans de mauvaises mains, les équipes de sécurité et les administrateurs doivent se demander pourquoi ils sont soudainement apparus dans le système d’information. ». De son côté, Jared Phipps de SentinelOne note : « Pour éviter cela, les entreprises doivent chercher des comptes qui sont créés en dehors du système de ticketing ou de gestion des comptes. ».
Comme nous le mentionnons plus haut, il faut des semaines voire des mois pour que tout ceci puisse être facilement exécuter par les cybercriminels. Ce qui signifie alors que les signes sont forcément visibles. Il suffira d’être attentifs et de faire plusieurs analyses de votre système informatique.
3. Désactivation d’Active Directory et la destruction des sauvegardes
Un autre signe évident, le cybercriminel toujours de désactiver active directory. On comprend alors que la cyberattaque est sur le point de toucher à son fin. Mais ce n’est pas tout pour que l’attaque soit une réussite, il faudrait aussi corrompre les sauvegardes de telles sortes qu’une fois les informations principales chiffrées, l’organisation ne puisse pas les récupérer aussi facilement. « Et puis ils vous frapperont avec l’attaque de chiffrement », note Jared Phipps. Selon l’entreprise de cybersécurité Sophos, les cybercriminels pour être aussi tant pis de chiffrer quelques appareils histoire de s’assurer que leur plan fonctionne.
Vu de ce qui précède, la question légitime à se poser de savoir comment stopper les cybercriminels s’ils arrivent à s’infiltrer dans le réseau. Il faut tout simplement s’assurer que les logiciels sont constamment mis à jour. Ensuite il faudrait s’assurer que les collaborateurs ont une bonne formation. Qu’ils ne se permettraient pas d’ouvrir des courriels de destinataires inconnus. La majorité des cyberattaques selon les spécialistes les failles de sécurité des logiciels ainsi que de l’imprudence des collaborateurs dans leur manière de gérer les accès au système. Par ailleurs, il faut pratiquer le changement régulier des mots de passe et des identifiants de connexion. Cela pourrait avoir son utilité d’une certaine manière. Être toujours sur la défensive surtout lorsque vous voyez apparaître de nouveaux comptes d’administrateurs.
Accédez maintenant à un nombre illimité de mot de passe :