Qu’est-ce qu’un ransomware ?

Le ransomware est un type d’attaque de cybersécurité qui détruit ou chiffre des fichiers et des dossiers, empêchant le propriétaire de l’appareil affecté d’accéder à ses données. Le cybercriminel peut ensuite extorquer de l’argent au chef d’entreprise en échange d’une clé permettant de déverrouiller les données chiffrées. Toutefois, il est possible que les cybercriminels ne fournissent pas la clé permettant de rétablir l’accès au chef d’entreprise, même si la rançon a été versée.

Important

Vous avez besoin de commencer maintenant ? Consultez Protéger votre organisation contre les rançongiciels et l’extorsion pour configurer rapidement votre infrastructure informatique pour une protection optimale contre les ransomwares.

Attaques automatisées par ransomware

Les attaques par ransomware standard sont généralement automatisées. Ces cyberattaques peuvent se propager comme un virus, infecter des appareils via des méthodes comme l’hameçonnage par e-mail et la remise de programmes malveillants, et nécessiter une correction du programme malveillant. Cela signifie qu’une technique de prévention contre les ransomwares consiste à protéger votre courrier avec un système comme Microsoft Defender for Office 365 ou Microsoft 365 Defender, pour détecter rapidement les tentatives d’attaque par programme malveillant et hameçonnage.

Attaques par ransomware exploité par l’homme

Les rançongiciels gérés par l’homme sont le résultat d’une attaque active par des cybercriminels qui infiltrent l’infrastructure informatique locale ou cloud d’une organisation, élèvent leurs privilèges et déploient des rançongiciels sur des données critiques.

Ces attaques « pratiques au clavier » ciblent une organisation plutôt qu’un seul appareil. L’utilisation humaine signifie qu’un attaquant humain utilise ses insights sur les erreurs de configuration courantes du système et de la sécurité pour infiltrer l’organisation, naviguer sur le réseau et s’adapter à l’environnement et à ses faiblesses au fur et à mesure.

Les caractéristiques de ces attaques par ransomware gérées par l’homme incluent généralement le vol d’informations d’identification et le mouvement latéral avec une élévation des privilèges dans les comptes volés. Ces activités peuvent se produire au cours de fenêtres de maintenance et impliquer des lacunes dans la configuration de sécurité découvertes par les cybercriminels. L’objectif est le déploiement d’une charge utile de ransomware vers les ressources métier à impact élevé choisies par les attaquants.

Important

Ces attaques peuvent être catastrophiques pour les activités de l’entreprise et sont difficiles à effacer, nécessitant une éviction complète de l’adversaire pour se protéger contre des attaques futures. Contrairement aux ransomwares standard qui ne demandent généralement qu’une correction du programme malveillant, les ransomwares exploités par l’homme continuent de menacer les activités de l’entreprise même après l’événement initial.

Le graphique ci-dessous montre comment cette attaque basée sur l’extorsion augmente en termes d’impact et de probabilité.

Protection contre les ransomwares pour votre organisation

Pour obtenir une vue d’ensemble globale des ransomwares et de l’extorsion et pour savoir comment protéger votre organisation, consultez la présentation PowerPoint décrivant le plan de projet d’atténuation des risques liés aux ransomwares contrôlés par l’homme . Voici un résumé des recommandations :

• Les enjeux des attaques basées sur les ransomware et l’extorsion sont importants.
• Cependant, les attaques présentent des faiblesses qui peuvent réduire la probabilité d’être attaqué.
• La configuration de votre infrastructure en vue d’exploiter les faiblesses des attaques se déroule en trois phases.

Pour découvrir les trois phases permettant d’exploiter les faiblesses des attaques, consultez la solution Protéger votre organisation contre les ransomwares et l’extorsion pour savoir comment configurer rapidement votre infrastructure informatique et bénéficier d’une protection optimale :

1. Préparez votre organisation pour récupérer vos données suite à une attaque sans verser de rançon.
2. Limitez l’étendue des dommages causés par une attaque par ransomware en protégeant les rôles privilégiés.
3. Rendez la tâche plus difficile à un attaquant qui tente d’accéder à votre environnement en éliminant les risques de manière incrémentielle.

Téléchargez l’affiche Protéger votre organisation contre les ransomwares pour obtenir une vue d’ensemble des trois phases en tant que couches de protection contre les attaques par ransomware.

Autres ressources de ransomware

Informations clés de Microsoft :

• The growing threat of ransomware, billet du blog Microsoft On the Issues, publié le 20 juillet 2021
• Protéger rapidement contre les ransomware et l’extorsion
• Microsoft Digital Defense - Rapport 2021 (voir pages 10-19)
• Ransomware : un rapport d’analyse des menaces omniprésent et continu dans le portail Microsoft 365 Defender
• • Approche de ransomware de l’équipe de détection et de réponse (DART) de Microsoft, meilleures pratiques etétude de cas

Microsoft 365 :

• Déployer la protection contre les rançongiciels pour votre client Microsoft 365
• Optimiser la résilience contre les ransomwares avec Azure et Microsoft 365
• Récupération après une attaque par ransomware
• Protection contre les programmes malveillants et les ransomware
• Protégez votre PC Windows 10 contre les ransomware
• Gestion des ransomware dans SharePoint en ligne
• Rapports d’analyse des menaces pour les rançongiciels dans le portail Microsoft 365 Defender

Microsoft 365 Defender :

• Rechercher des ransomware avec la chasse avancée

Microsoft Defender for Cloud Apps :

• Créer des stratégies de détection d’anomalie dans Defender for Cloud Apps

Microsoft Azure :

• Azure Defenses for Ransomware Attack
• Optimiser la résilience contre les ransomwares avec Azure et Microsoft 365
• Plan de sauvegarde et de restauration pour la protection contre les ransomware
• Protégez vos applications contre les ransomware avec la Sauvegarde Microsoft Azure (vidéo de 26 minutes)
• Récupération après une compromission de l’identité système
• Détection avancée des attaques multiphases dans Microsoft Sentinel
• Détection fusion pour les rançongiciels dans Microsoft Sentinel

Billets de blog de l’équipe de sécurité Microsoft :

• 3 steps to prevent and recover from ransomware (septembre 2021)

• Guide de lutte contre les ransomwares gérés par l’homme : Partie 1 (septembre 2021)

  Étapes clés sur la façon dont l’équipe de détection et de réponse (DART) de Microsoft mène des enquêtes sur les incidents de ransomware.

• Guide de lutte contre les ransomwares gérés par l’homme : Partie 2 (septembre 2021)

  Recommandations et meilleures pratiques.

• Devenir résilient en comprenant les risques de cybersécurité : Partie 4 - Navigation dans les menaces actuelles (mai 2021)

  Cf. section Ransomware.

• Human-operated ransomware attacks: A preventable disaster (Attaques par ransomware dirigées par une main humaine  : un incident évitable) (mars 2020)

  Inclut des analyses de chaîne d’attaque des attaques courantes.

• Réponse ransomware-pour payer ou ne pas payer? (Décembre 2019)

• Norsk Hydro responds to ransomware attack with transparency (Norsk Hydro répond avec transparence à une attaque par ransomware) (décembre 2019)