21 juin 2022 Par Stéphane Delhommeau, responsable des services d’hébergement de Proginov On peut distinguer deux types d’attaques de ransomwares : la basique et la sophistiquée. L’attaque de base se propage souvent par un phishing : un utilisateur clique sur un lien ou ouvre un fichier Excel infecté, le virus lance alors un exécutable sur le poste. Il utilise la puissance du PC, regarde tous les partages réseaux, s’appuie éventuellement sur les failles, ou utilise tout simplement les identifiants obtenus pour se propager sur d’autres PC et tout le réseau (on parle de latéralisation). Lors d’une attaque sophistiquée, la porte d’entrée est la même via un phishing : l’objectif de l’attaquant est de récupérer des identifiants de connexion et d’avoir un accès à distance sur le poste de travail. Mais l’attaque ne démarre pas tout de suite. L’attaquant récupère les logins et mots de passe du poste infecté, s’y connecte et observe ce qui se passe pendant plusieurs jours. Il regarde la qualité du poste infecté : en effet, il va préférer un poste allumé 24h/24 et 7j/7. Il scanne le réseau pour comprendre comment il fonctionne, fait des tests de vulnérabilité, détecte les identifiants pour devenir administrateur afin de pouvoir désactiver les sauvegardes, arrêter les bases, installer le virus sur différents serveurs et installer les outils qui serviront à communiquer avec la victime. À un instant T, les pirates décident de déclencher l’attaque, souvent une veille de week-end ou dans la nuit, les dégâts seront plus importants du fait du manque de réactivité de la victime : ils chiffrent alors les données. Dans le cas d’une attaque basique, si les mises à jour sont bien gérées, si l’antivirus est à jour également, le virus est vite banni. Si les bases de données sont en fonctionnement, le virus ne progressera pas beaucoup car il ne peut pas infecter une base de données en cours d’utilisation. Il va donc probablement réussir à chiffrer quelques fichiers, mais s’il est arrêté à temps, les conséquences ne seront pas trop graves. En revanche, dans le cas d’une attaque complexe, les bases de données étant arrêtées, les dégâts seront plus importants. Pour autant, il faut savoir qu’en général, les cryptolockers ne chiffrent pas la totalité de la base, ils en chiffrent un petit bout au début, au milieu et à la fin. Cela suffit à penser que la base est inutilisable. Or des entreprises sont spécialisées dans la remise en état de bases endommagées. Ce qui est chiffré est endommagé, le reste peut être récupéré, mais la perte d’intégrité de la base la rend souvent inexploitable. Par ailleurs, certaines entreprises reviennent aux sauvegardes sur bandes, car si le disque peut être chiffré, les bandes, aussi ancienne que soit cette technologie permettent, de pallier ce problème. En moyenne, au regard des différentes attaques rendues publiques, les entreprises, souvent mal préparées à ces scénarios, mettent entre 10 à 15 jours pour que leur activité reprenne suite à un ransomware, et plusieurs mois pour que tout revienne à la normale. En effet, il faut analyser tout le système pour trouver la source de la compromission afin d’éviter qu’elle ne recommence une fois les machines restaurées. Puis vient le temps de restauration et de vérification des différentes machines voire leur réinstallation si nécessaire. L’idéal est d’identifier et cartographier au préalable les processus critiques de l’entreprise pour identifier les données à remonter en priorité pour reprendre l’activité. Bref, assurez-vous d’avoir un système de sauvegarde avec un stockage hors-ligne dont les restaurations sont testées régulièrement. Et quoi qu’il en soit, la moralité est toujours la même : soyez vigilants pour éviter de télécharger un virus !