How Should Companies Handle Ransomware?

Comment une entreprise doit-elle gérer le logiciel rançonneur ?

Une attaque de logiciel rançonneur peut perturber les opérations et entraîner des coûts et des dommages importants pour une entreprise. Face à une infection du logiciel rançonneur, il est essentiel de réagir de manière appropriée pour minimiser les dégâts.

#1. Protection et prévention

Une fois que le logiciel rançonneur a commencé à crypter les fichiers, le mal est déjà fait. À moins qu'une entreprise ne puisse restaurer tous les fichiers à partir de sauvegardes, certaines données seront perdues même si une rançon est payée. En outre, les logiciels rançonneurs modernes volent et exfiltrent généralement les données avant de les crypter, ce qui signifie que l'entreprise a probablement déjà été victime d'une violation de données.

La prévention est le meilleur moyen pour gérer la menace du logiciel rançonneur. Une entreprise peut notamment se protéger contre le logiciel rançonneur :

• Gestion des correctifs : Quelques variantes du logiciel rançonneur se répandent en exploitant des vulnérabilités pour lesquelles des correctifs sont disponibles. L'installation rapide des mises à jour et des correctifs de sécurité peut contribuer à fermer ces vecteurs d'infection.
• Prévention de l'hameçonnage : Phishing est l'un des mécanismes de livraison les plus courants pour le logiciel rançonneur. Les entreprises devraient former leurs employés à identifier les campagnes d'hameçonnage et à y répondre correctement, et déployer des solutions d'anti-hameçonnage pour empêcher les messages malveillants d'atteindre la boîte de réception.
• Gestion de l'accès : Avec l'essor du travail à distance, les cybercriminels exploitent de plus en plus les informations d'identification compromises et les solutions d'accès à distance sécurisées pour mettre en place et exécuter leur logiciel malveillant. Le déploiement d'une authentification multifacteurs (MFA) et la restriction de l'accès sur la base du principe du moindre privilège peuvent contribuer à prévenir et à réduire l'efficacité de ces types d'attaques.
• Anti-logiciel rançonneur : Si le logiciel rançonneur atteint les systèmes de l'entreprise, sa détection et son éradication dès que possible limitent les dommages qu'il peut causer. Tous les appareils de l'entreprise doivent avoir anti-logiciel rançonneur solutions déployé pour identifier et supprimer le logiciel rançonneur avant qu'il ne puisse exfiltrer et crypter des données sensibles.

L'élimination de ces vecteurs d'attaque potentiels peut contribuer à réduire la probabilité d'une attaque par logiciel rançonneur. Cependant, le renforcement de ces protections par une politique de sauvegarde solide peut contribuer à réduire l'impact d'une attaque par logiciel rançonneur si elle se produit.

#2. Réponse aux incidents

Une réponse rapide à une infection par un logiciel rançonneur peut contribuer à réduire l'impact et le coût d'une attaque réussie. Pour réagir rapidement et efficacement, l'organisation doit disposer d'une équipe de réponse aux incidents (IRT) et la stratégie en place avant qu'elle ne soit nécessaire. En cas d'infection par un logiciel rançonneur, les personnes chargées de répondre à l'incident doivent :

• Restez calme : logiciel rançonneur Les infections peuvent être stressantes, mais il est important de ne pas paniquer. Gardez la tête froide, suivez le plan d'intervention en cas d'incident et sauvegardez une photo de la demande de rançon pour vous assurer qu'elle sera disponible à l'avenir pour les forces de l'ordre et pour une enquête plus approfondie.
• Contenir l'infection : Certaines souches de logiciel rançonneur tentent de se propager via les réseaux d'entreprise. Déconnectez donc les systèmes infectés du réseau dès que possible. Remontez également la chaîne d'attaque pour vous assurer que l'attaquant n'est pas présent sur d'autres systèmes.
• Gérer l'état du système : Le logiciel rançonneur peut laisser un système dans un état instable, et les modifications apportées au système peuvent entraîner la perte de données. Ne redémarrez pas les machines infectées, n'installez pas de mises à jour et n'effectuez aucune autre opération de maintenance du système.
• Ne touchez pas aux sauvegardes : Le logiciel rançonneur tente généralement d'infecter les sauvegardes pour forcer les organisations à payer la rançon. Ne connectez pas de sauvegardes aux machines infectées tant que l'infection du logiciel rançonneur n'a pas été éradiquée et que l'intégrité des sauvegardes n'a pas été vérifiée.
• Coordinate with Stakeholders: La collaboration est essentielle dans la lutte contre le logiciel rançonneur. N'hésitez pas à contacter les forces de l'ordre ou à faire appel à un fournisseur de services de réponse aux incidents réputé pour vous aider à remédier à l'incident.

#3. Removal and Recovery

Après avoir stoppé la propagation du logiciel rançonneur et enquêté sur l'incident, le rétablissement est la prochaine étape dans le processus. Après supprimer le logiciel rançonneurLa décision cruciale à prendre ici est de savoir s'il faut payer la rançon ou tenter de récupérer les données à partir des sauvegardes.

Si le paiement de la rançon peut sembler être le moyen le plus simple et le moins coûteux de résoudre le problème, il ne doit être utilisé qu'en dernier recours. Le paiement de la rançon ne garantit pas la récupération des données et contribue à financer les futures campagnes des attaquants. Vérifiez si les données peuvent être récupérées à partir de sauvegardes ou s'il existe un décrypteur pour le logiciel rançonneur avant de décider de payer une rançon qui pourrait s'élever à des centaines de milliers, voire à des millions de dollars.