Les attaques par ransomware contre des entreprises se multiplient ces dernières années. Elles peuvent avoir des effets ravageurs. Pour se rendre discrets, les pirates mettent en général des semaines, voire des mois, à hacker un réseau avant de lancer l’attaque. Cela vous laisse le temps de repérer un ransomware, si vous savez être attentifs aux bons signes. Revue de détail.
Commençons par quelques mesures de sécurité basiques. Pour éviter qu’un réseau d’entreprise ne soit attaqué par un ransomware, il faut en protéger tous les accès. D’abord en s’assurant que tous vos logiciels sont à jour, pour limiter les risques de failles de sécurité. Ensuite en formant correctement vos équipes sur les mails de phishing, pour éviter qu’ils installent des logiciels inconnus ou cliquent sur des liens non référencés. Vérifiez également les objets connectés qu’utilisent les salariés.
Pour éviter une attaque par ransonware, méfiez-vous des liens RDP
Enfin, et surtout en cette période d’explosion du télétravail, en sécurisant les liens RDP (Remote Desktop Protocol). Ces-derniers facilitent certes les connexions à distance. Mais ils sont une porte d’accès privilégiée pour les pirates. Dotez donc ces liens d’une authentification à deux facteurs, ou placez les derrière un VPN.
Pour autant, même avec toutes les précautions du monde, vous n’êtes pas à l’abri d’une négligence d’un salarié. En général, une attaque par ransomware met des semaines, voire des mois à se préparer. Cela permet aux pirates de ne pas être trop visibles. Et évite, s’ils sont découverts, que les services de cybersécurité remontent à la faille originelle qui leur a permis de pénétrer le réseau. Mais cela laisse aussi le temps aux entreprises de remarquer certains signes.
Quels signes montrent que des pirates préparent une attaque par ransomware sur votre réseau ?
Premier indice : l’apparition d’outils logiciels inconnus sur le réseau. Cela commence par des logiciel de scanning du réseau, comme AngryIP ou Advanced Port Scanner. Puis par des outils permettant de récupérer des mots de passe ou paramètres de connexion, comme MimiKatz, ou Microsoft Process Explorer. Enfin des applications pour désactiver les logiciels de sécurité, comme Process Hacker, IOBit Uninstaller, GMER et PC Hunter.
« Ces types d’outils commerciaux sont légitimes, mais s’ils sont dans de mauvaises mains, les équipes de sécurité et les administrateurs doivent se demander pourquoi ils sont soudainement apparus dans le système d’information », expose Sophos, une société spécialisée en cybersécurité. Si vous remarquez une utilisation de ces logiciels, vérifiez que ce sont bien des employés de l’entreprise qui les ont installés ou utilisés. Dans le cas contraire, tirez le signal d’alarme.
A un moment ou à un autre, il est probable que, pour installer ce type de logiciels, les pirates créent des comptes administrateurs, par exemple dans Active Directory. « Pour éviter cela, les entreprises doivent chercher des comptes qui sont créés en dehors du système de ticketing ou de gestion des comptes », explique Jared Phipps de SentinelOne.
Attaque imminente !
Enfin, certains signes montrent que l’attaque par ransomware est imminente. Les pirates vont souvent tenter de désactiver Active Directory et les contrôleurs de domaine. Ils vont également chercher à corrompre un maximum de sauvegardes, pour que l’attaque soit la plus efficace possible. Ils peuvent aussi désactiver les logiciels permettant d’effectuer des correctifs de failles ou de mettre à jour le système.
Face à ces signes, l’entreprise peut soit s’en remettre à son équipe de cybersécurité, si elle est assez bien formée à ce genre d’attaque par ransomware. Soit contacter rapidement une entreprise spécialisée, pour venir faire le ménage dans le réseau. Une bonne réactivité peut ainsi éviter la catastrophe que représente une attaque par ransonware.
