How Should Companies Handle Ransomware?

En 2021, des attaques très médiatisées du logiciel rançonneur, telles que celles de Colonial Pipeline et de Kaseya, ont provoqué des perturbations importantes dans les chaînes d'approvisionnement et les activités des entreprises.

Outre ces piratages très médiatisés, les attaques par logiciel rançonneur sont de plus en plus fréquentes. Avec l'essor du logiciel rançonneur as a Service (RaaS), de nombreux groupes de cybercriminels ont accès à un logiciel malveillant de haute qualité. Le succès généralisé et la rentabilité du logiciel rançonneur font que n'importe quelle organisation peut être ciblée. Selon Recherche aux Check Point, le logiciel rançonneur attaque a augmenté de 93%. entre juin 2020 et 2021.

Parlez à un expert En savoir plus

Les risques du logiciel rançonneur

Le logiciel rançonneur est conçu pour perturber et endommager une organisation. Les logiciels rançonneurs modernes exfiltrent et chiffrent les données sensibles d'une entreprise, ce qui permet aux cybercriminels de disposer de plusieurs leviers pour extorquer une rançon. Dans certains cas, les groupes de logiciel rançonneur étendent leurs activités pour cibler également les clients d'une entreprise.

Un logiciel rançonneur attack présente des risques importants pour une organisation. Outre les coûts liés à la perte de productivité et à la résolution de l'incident, une entreprise peut voir sa réputation entachée, perdre des clients et se voir infliger des sanctions légales et réglementaires pour n'avoir pas protégé les données sensibles.

Comment une entreprise doit-elle gérer le logiciel rançonneur ?

Une attaque de logiciel rançonneur peut perturber les opérations et entraîner des coûts et des dommages importants pour une entreprise. Face à une infection du logiciel rançonneur, il est essentiel de réagir de manière appropriée pour minimiser les dégâts.

#1. Protection et prévention

Une fois que le logiciel rançonneur a commencé à crypter les fichiers, le mal est déjà fait. À moins qu'une entreprise ne puisse restaurer tous les fichiers à partir de sauvegardes, certaines données seront perdues même si une rançon est payée. En outre, les logiciels rançonneurs modernes volent et exfiltrent généralement les données avant de les crypter, ce qui signifie que l'entreprise a probablement déjà été victime d'une violation de données.

La prévention est le meilleur moyen pour gérer la menace du logiciel rançonneur. Une entreprise peut notamment se protéger contre le logiciel rançonneur :

  • Gestion des correctifs : Quelques variantes du logiciel rançonneur se répandent en exploitant des vulnérabilités pour lesquelles des correctifs sont disponibles. L'installation rapide des mises à jour et des correctifs de sécurité peut contribuer à fermer ces vecteurs d'infection.
  • Prévention de l'hameçonnage : Phishing est l'un des mécanismes de livraison les plus courants pour le logiciel rançonneur. Les entreprises devraient former leurs employés à identifier les campagnes d'hameçonnage et à y répondre correctement, et déployer des solutions d'anti-hameçonnage pour empêcher les messages malveillants d'atteindre la boîte de réception.
  • Gestion de l'accès : Avec l'essor du travail à distance, les cybercriminels exploitent de plus en plus les informations d'identification compromises et les solutions d'accès à distance sécurisées pour mettre en place et exécuter leur logiciel malveillant. Le déploiement d'une authentification multifacteurs (MFA) et la restriction de l'accès sur la base du principe du moindre privilège peuvent contribuer à prévenir et à réduire l'efficacité de ces types d'attaques.
  • Anti-logiciel rançonneur : Si le logiciel rançonneur atteint les systèmes de l'entreprise, sa détection et son éradication dès que possible limitent les dommages qu'il peut causer. Tous les appareils de l'entreprise doivent avoir anti-logiciel rançonneur solutions déployé pour identifier et supprimer le logiciel rançonneur avant qu'il ne puisse exfiltrer et crypter des données sensibles.

L'élimination de ces vecteurs d'attaque potentiels peut contribuer à réduire la probabilité d'une attaque par logiciel rançonneur. Cependant, le renforcement de ces protections par une politique de sauvegarde solide peut contribuer à réduire l'impact d'une attaque par logiciel rançonneur si elle se produit.

#2. Réponse aux incidents

Une réponse rapide à une infection par un logiciel rançonneur peut contribuer à réduire l'impact et le coût d'une attaque réussie. Pour réagir rapidement et efficacement, l'organisation doit disposer d'une équipe de réponse aux incidents (IRT) et la stratégie en place avant qu'elle ne soit nécessaire. En cas d'infection par un logiciel rançonneur, les personnes chargées de répondre à l'incident doivent :

  • Restez calme : logiciel rançonneur Les infections peuvent être stressantes, mais il est important de ne pas paniquer. Gardez la tête froide, suivez le plan d'intervention en cas d'incident et sauvegardez une photo de la demande de rançon pour vous assurer qu'elle sera disponible à l'avenir pour les forces de l'ordre et pour une enquête plus approfondie.
  • Contenir l'infection : Certaines souches de logiciel rançonneur tentent de se propager via les réseaux d'entreprise. Déconnectez donc les systèmes infectés du réseau dès que possible. Remontez également la chaîne d'attaque pour vous assurer que l'attaquant n'est pas présent sur d'autres systèmes.
  • Gérer l'état du système : Le logiciel rançonneur peut laisser un système dans un état instable, et les modifications apportées au système peuvent entraîner la perte de données. Ne redémarrez pas les machines infectées, n'installez pas de mises à jour et n'effectuez aucune autre opération de maintenance du système.
  • Ne touchez pas aux sauvegardes : Le logiciel rançonneur tente généralement d'infecter les sauvegardes pour forcer les organisations à payer la rançon. Ne connectez pas de sauvegardes aux machines infectées tant que l'infection du logiciel rançonneur n'a pas été éradiquée et que l'intégrité des sauvegardes n'a pas été vérifiée.
  • Coordinate with Stakeholders: La collaboration est essentielle dans la lutte contre le logiciel rançonneur. N'hésitez pas à contacter les forces de l'ordre ou à faire appel à un fournisseur de services de réponse aux incidents réputé pour vous aider à remédier à l'incident.

#3. Removal and Recovery

Après avoir stoppé la propagation du logiciel rançonneur et enquêté sur l'incident, le rétablissement est la prochaine étape dans le processus. Après supprimer le logiciel rançonneurLa décision cruciale à prendre ici est de savoir s'il faut payer la rançon ou tenter de récupérer les données à partir des sauvegardes.

Si le paiement de la rançon peut sembler être le moyen le plus simple et le moins coûteux de résoudre le problème, il ne doit être utilisé qu'en dernier recours. Le paiement de la rançon ne garantit pas la récupération des données et contribue à financer les futures campagnes des attaquants. Vérifiez si les données peuvent être récupérées à partir de sauvegardes ou s'il existe un décrypteur pour le logiciel rançonneur avant de décider de payer une rançon qui pourrait s'élever à des centaines de milliers, voire à des millions de dollars.

Comment Check Point peut vous aider

La meilleure façon de gérer la menace du logiciel rançonneur est la préparation et la prévention. Consultez le rapport de Gartner sur Comment anticiper les attaques de Ransomware ? pour plus d'informations sur les attaques du logiciel rançonneur et les meilleures pratiques pour se protéger contre la menace du logiciel rançonneur.

Check Point Harmony Endpoint inclut une protection anti-logiciel rançonneur ciblée, permettant aux entreprises de détecter et d'arrêter rapidement une infection par logiciel rançonneur. Pour en savoir plus s'inscrire à un démo gratuit.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK