Les ransomwares représentent un réel danger pour toutes les organisations. Il est important de comprendre la menace qu’ils représentent : les ransomwares ont pour but d’atteindre l’entièreté de l’organisation ; les attaques visent à empêcher les organisations de fonctionner ; les organisations de toutes tailles sont menacées.
Comprendre la menace
Les attaques de ransomware modernes opèrent à une échelle différente des virus et malware d’autrefois. Quand elles planifient comment s’y préparer et y répondre, les organisations doivent penser au potentiel impact sur leur activité de la même manière qu’elles pensent à une catastrophe naturelle.
Lors d’une attaque par ransomware, les attaquants s’introduisent dans un réseau informatique et tentent de compromettre l’organisation qui est propriétaire. Ils peuvent voler des informations sensibles de l’entreprise et menacer de les divulguer ou de crypter les fichiers de l’organisation afin qu’elle ne puisse plus fonctionner. De nombreux groupe de hacker font les deux.
Les attaquants peuvent passer des jours ou des semaines à l’intérieur du réseau informatique de la victime. Afin de demander des sommes très importantes pour obtenir les clés de décryptage ou ne pas divulgués les informations volées.
Le paiement moyen d’un ransomware au deuxième trimestre 2022 était de 230 000 $, et la demande de rançon la plus élevée était de 50 millions de dollars. Les négociations sur les rançons peuvent prendre des semaines et le coût moyen d’une attaque, hors rançon est de 4,5 millions de dollars.
Les cibles des attaques modernes par ransomware sont des organisations entières. Tous les types d’organisations ont été la cible de ces attaques, des entreprises de toutes tailles, des hôpitaux, des organisations gouvernementales, des organisations publiques, des associations caritatives, etc.
Plan de récupération d’un ransomware en 10 étapes
Si vous êtes confronté à un incident suite à un ransomware, vous êtes probablement confronté à une pression extrême. Il est possible que le ransomware continue de crypter des fichiers, que les attaquants aient lancé des ultimatums et que votre organisation cherche à reprendre ses activités. Dans un premier temps, demandez de l’aide, priorisez vos actions et communiquez clairement.
Nous vous recommandons d’effectuer les actions suivantes dans cet ordre :
1. Contenez l’attaque
Isolez les systèmes ou les réseaux infectés afin de limiter l’impact de l’attaque. Votre priorité doit être de contenir l’attaque, si vous pouvez le faire tout en préservant les preuves et en laissant les systèmes allumés, faites le.
2. Déterminez la portée de l’attaque
Comprenez quels systèmes et quels types de données sont touchés et donnez la priorité aux systèmes critiques pour la récupération.
3. Communiquez avec les parties prenantes
Les parties prenantes peuvent être la direction, les relations publiques, l’équipe juridique, les assureurs, les fournisseurs ou les forces de l’ordre.
4. Demandez de l’aide
Envisagez de demander l’aide d’un expert familier avec la récupération des ransomwares pour vous aider dans votre tâche.
5. Conservez les preuves
Avec l’aide d’un tiers, essayez de préserver les preuves de l’attaque.
6. Identifiez le ransomware utilisé
Cela vous aidera à découvrir si un décrypteur est disponible et pourrez peut-être consulter des spécificités de confinement et de nettoyage.
7. Endiguez la brèche
Essayez d’identifier les systèmes et les comptes utilisés lors de l’intrusion initiale ainsi que tout précurseurs ou mécanismes de persistance laissés par les attaquants.
8. Reconstruisez les systèmes
Utilisez des sauvegardes pour restaurer les systèmes critiques. Veillez à séparer les systèmes propres des systèmes affectés.
9. Réinitialisez, mettez en place les correctifs et mettez à niveau votre infrastructure
Réinitialisez les mots de passe, patchez et mettez à jour les logiciels et mettez en place tout contrôle de sécurité nécessaire pour éviter que l’attaque ne se reproduise.
10. Documentez les enseignements tirés
Les ransomwares sont en constante évolution, utilisez ce que vous avez appris de cette attaque pour mieux vous préparer à la prochaine attaque.