C'est une nouvelle qu'aucune organisation ne veut entendre : vous avez été victime d'un ransomware attaque, et maintenant vous vous demandez quoi faire ensuite. 

La première chose à garder à l’esprit est que vous n’êtes pas seul. Plus de 17 % de toutes les cyberattaques impliquent des ransomwares-un type de malware qui maintient les données ou l'appareil d'une victime verrouillés à moins que la victime ne paie une rançon au pirate informatique. Sur les 1,350 XNUMX organisations interrogées dans le cadre d'une étude récente, 78 % des personnes interrogées ont subi une attaque de ransomware réussie (le lien réside en dehors d'ibm.com).

Les attaques de ransomware utilisent plusieurs méthodes, ou vecteurs, pour infecter les réseaux ou les appareils, notamment en incitant les individus à cliquer sur des liens malveillants en utilisant phishing e-mails et exploiter les vulnérabilités des logiciels et des systèmes d’exploitation, telles que l’accès à distance. Les cybercriminels demandent généralement le paiement d’une rançon en Bitcoin et dans d’autres crypto-monnaies difficiles à retracer, fournissant ainsi aux victimes des clés de décryptage lors du paiement pour déverrouiller leurs appareils.

La bonne nouvelle est qu’en cas d’attaque de ransomware, toute organisation peut suivre certaines étapes de base pour contenir l’attaque, protéger les informations sensibles et assurer la continuité des activités en minimisant les temps d’arrêt.

Réponse initiale

Isoler les systèmes concernés 

Étant donné que les variantes de ransomware les plus courantes analysent les réseaux à la recherche de vulnérabilités susceptibles de se propager latéralement, il est essentiel que les systèmes concernés soient isolés le plus rapidement possible. Déconnectez Ethernet et désactivez le WiFi, le Bluetooth et toute autre fonctionnalité réseau pour tout appareil infecté ou potentiellement infecté.

Deux autres étapes à considérer : 

• Désactivation des tâches de maintenance. Désactivez immédiatement les tâches automatiques (par exemple, la suppression de fichiers temporaires ou la rotation des journaux) sur les systèmes concernés. Ces tâches peuvent interférer avec les fichiers et entraver l’investigation et la récupération des ransomwares. 
• Déconnexion des sauvegardes. Étant donné que de nombreux nouveaux types de ransomwares ciblent les sauvegardes pour rendre la récupération plus difficile, conservez les sauvegardes de données hors ligne. Limitez l'accès aux systèmes de sauvegarde jusqu'à ce que vous ayez supprimé l'infection.

Photographiez la demande de rançon

Avant de poursuivre quoi que ce soit d'autre, prenez une photo de la demande de rançon, idéalement en photographiant l'écran de l'appareil concerné avec un appareil distinct comme un smartphone ou un appareil photo. La photo accélérera le processus de récupération et vous aidera lors du dépôt d’un rapport de police ou d’une éventuelle réclamation auprès de votre compagnie d’assurance.

Avertir l'équipe de sécurité

Une fois que vous avez déconnecté les systèmes concernés, informez votre sécurité informatique équipe de l'attaque. Dans la plupart des cas, les professionnels de la sécurité informatique peuvent vous conseiller sur les prochaines étapes et activer les réponse à l'incident plan, c'est-à-dire les processus et technologies de votre organisation pour détecter et répondre aux cyberattaques.

Ne redémarrez pas les appareils concernés

Lorsque vous traitez un ransomware, évitez de redémarrer les appareils infectés. Les pirates savent que cela pourrait être votre premier réflexe, et certains types de ransomwares remarquent les tentatives de redémarrage et causent des dommages supplémentaires, comme endommager Windows ou supprimer des fichiers cryptés. Le redémarrage peut également rendre plus difficile l'enquête sur les attaques de ransomware : des indices précieux sont stockés dans la mémoire de l'ordinateur, qui est effacée lors d'un redémarrage. 

Au lieu de cela, mettez les systèmes concernés en hibernation. Cela enregistrera toutes les données en mémoire dans un fichier de référence sur le disque dur de l'appareil, les préservant pour une analyse future.

Éradication 

Maintenant que vous avez isolé les appareils concernés, vous avez probablement hâte de déverrouiller vos appareils et de récupérer vos données. Bien que l’éradication des infections par ransomware puisse être compliquée à gérer, en particulier les souches les plus avancées, les étapes suivantes peuvent vous mettre sur la voie de la récupération. 

Déterminer la variante d'attaque

Plusieurs outils gratuits peuvent vous aider à identifier le type de ransomware infectant vos appareils. Connaître la souche spécifique peut vous aider à comprendre plusieurs facteurs clés, notamment comment elle se propage, quels fichiers elle verrouille et comment vous pouvez la supprimer. Téléchargez simplement un échantillon du fichier crypté et, si vous les avez, une demande de rançon et les coordonnées de l'attaquant. 

Les deux types de ransomwares les plus courants sont les casiers d’écran et les chiffreurs. Les casiers d'écran verrouillent votre système mais gardent vos fichiers en sécurité jusqu'à ce que vous payiez, tandis que les chiffreurs sont plus difficiles à gérer car ils trouvent et chiffrent toutes vos données sensibles et ne les décryptent qu'après avoir effectué le paiement de la rançon. 

Rechercher des outils de décryptage

Une fois que vous avez identifié la souche du ransomware, envisagez de rechercher des outils de décryptage. Il existe également des outils gratuits pour vous aider dans cette étape, notamment des sites comme No More Ransom. Branchez simplement le nom de la souche du ransomware et recherchez le décryptage correspondant. 

Téléchargez le guide définitif des ransomwares

Récupération 

Si vous avez eu la chance de supprimer l'infection par le ransomware, il est temps de lancer le processus de récupération.

Commencez par mettre à jour les mots de passe de votre système, puis récupérez vos données à partir de sauvegardes. Vous devez toujours viser à conserver trois copies de vos données dans deux formats différents, dont une copie stockée hors site. Cette approche, connue sous le nom de règle 3-2-1, vous permet de restaurer vos données rapidement et d'éviter le paiement de rançons. 

Après l’attaque, vous devriez également envisager de réaliser un audit de sécurité et de mettre à jour tous les systèmes. Garder les systèmes à jour aide à empêcher les pirates informatiques d'exploiter les vulnérabilités trouvées dans les anciens logiciels, et l'application régulière de correctifs maintient vos machines à jour, stables et résistantes aux menaces de logiciels malveillants. Vous souhaiterez peut-être également affiner votre plan de réponse aux incidents en tenant compte des leçons apprises et vous assurer que vous avez suffisamment communiqué l'incident à toutes les parties prenantes concernées. 

Autorités notifiantes 

Étant donné que les ransomwares constituent une extorsion et un crime, vous devez toujours signaler les attaques de ransomware aux responsables de l'application des lois ou au FBI. 

Les autorités pourront peut-être vous aider à décrypter vos fichiers si vos efforts de récupération ne fonctionnent pas. Mais même s’ils ne peuvent pas sauvegarder vos données, il est essentiel pour eux de répertorier les activités cybercriminelles et, espérons-le, d’aider les autres à éviter un sort similaire. 

Certaines victimes d'attaques de ransomware peuvent également être légalement tenues de signaler les infections par ransomware. Par exemple, la conformité HIPAA exige généralement que les entités de soins de santé signalent toute violation de données, y compris les attaques de ransomware, au ministère de la Santé et des Services sociaux.

Décider de payer ou non 

Décider s'il faut payer une rançon est une décision complexe. La plupart des experts suggèrent que vous ne devriez envisager de payer que si vous avez essayé toutes les autres options et que la perte de données serait bien plus dommageable que le paiement.

Quelle que soit votre décision, vous devez toujours consulter les responsables de l’application des lois et les professionnels de la cybersécurité avant d’aller de l’avant.

Payer une rançon ne garantit pas que vous retrouverez l'accès à vos données ou que les attaquants tiendront leurs promesses : les victimes paient souvent la rançon, mais ne reçoivent jamais la clé de déchiffrement. De plus, le paiement de rançons perpétue l’activité cybercriminelle et peut financer davantage la cybercriminalité.

Prévenir les futures attaques de ransomwares

Les outils de sécurité de la messagerie électronique ainsi que les logiciels anti-malware et antivirus constituent la première ligne de défense essentielle contre les attaques de ransomwares.

Les organisations s'appuient également sur des outils avancés de sécurité des points finaux tels que des pare-feu, des VPN et authentification multi-facteurs dans le cadre d’une stratégie plus large de protection des données visant à se défendre contre les violations de données.

Cependant, aucun système de cybersécurité n’est complet sans des capacités de pointe de détection des menaces et de réponse aux incidents permettant d’attraper les cybercriminels en temps réel et d’atténuer l’impact des cyberattaques réussies.

IBM Security® QRadar® SIEM applique l'apprentissage automatique et l'analyse du comportement des utilisateurs (UBA) au trafic réseau aux côtés des journaux traditionnels pour une détection plus intelligente des menaces et une correction plus rapide. Dans une récente étude Forrester, QRadar SIEM a aidé les analystes de sécurité à gagner plus de 14,000 90 heures sur trois ans en identifiant les faux positifs, en réduisant de 60 % le temps passé à enquêter sur les incidents et en réduisant de XNUMX % leur risque de subir une faille de sécurité grave.* Avec QRadar Les équipes de sécurité SIEM, aux ressources limitées, disposent de la visibilité et des analyses dont elles ont besoin pour détecter rapidement les menaces et prendre des mesures immédiates et éclairées pour minimiser les effets d'une attaque.

En savoir plus sur IBM QRadar SIEM

l'onglet Impact économique totalTM d'IBM Security QRadar SIEM est une étude commandée menée par Forrester Consulting pour le compte d'IBM, avril 2023. Basée sur les résultats projetés d'une organisation composite modélisée à partir de 4 clients IBM interrogés. Les résultats réels varient en fonction des configurations et des conditions du client et, par conséquent, les résultats généralement attendus ne peuvent pas être fournis.