2019 : Méfiez-vous, ils sont déjà sur vos serveurs

Par Bertrand Mlot

Depuis la fin de l’été 2018, les rançongiciels ont beaucoup changé. « Exit » la possibilité de déchiffrer les informations via ses propres moyens (ex. projet No More Ransom), « exit » la possibilité de récupérer facilement vos sauvegardes sur votre serveur de fichiers, « exit » la croyance que le cloud permet de se prémunir du danger à 100 %...



Répondant au joli petit nom de RYUK, ce nouveau rançongiciel avant de se révéler à ses victimes, a permis aux cybercriminels qui le pilotent de s’infiltrer profondément dans les infrastructures via les moyens suivants : désactivation de l’agent antivirus, désactivation ou compromission des tâches planifiées de sauvegardes, escalade des droits usagers, comptes administrateurs ou privilèges applicatifs.



Pendant toute cette période d’infiltration, le malware, qui ne s’est pas encore révélé comme rançongiciel et qui n’est pas encore dans sa phase de monétisation, reste très caché, discret et sous le radar des outils de détection (quand il y en a). Cette période peut durer entre une semaine et quelques mois... Oui, vous avez bien compris, des cybercriminels prennent racines au sein de vos données et de vos systèmes tranquillement et discrètement.



Une fois révélé en quelques minutes, envahissant les systèmes rapidement grâce à cette infiltration lente et méticuleuse, le rançongiciel chiffre les fichiers rapidement impactant les données, bases de données bureautiques, mais aussi métier, créant une indisponibilité généralisée des systèmes (ex. Systèmes RH, gestion de talents, financiers, manufacturiers, logistiques... etc.).

crédits:depositphotos.com

Les sauvegardes étant inaccessibles ou dysfonctionnelles depuis plusieurs semaines, la production, les opérations et les processus organisationnels se retrouvent paralysés sans possibilité d’un retour rapide et simple. Les outils de protection rendus inefficaces, l’hémorragie continue tranquillement. Payer la rançon? À ce point de l’histoire, les entreprises commencent à y penser sérieusement...

Quelques règles si cela vous arrive : isoler les systèmes en débranchant physiquement les câbles, appeler une ou plusieurs firmes spécialisées pour vous aider à investiguer le patient 0 et le dernier patient, sauvegarder et comprendre la scène de crime et les agendas pré-rançongiciels, commencer la reconstruction de vos systèmes, négocier avec les cybercriminels pour ne pas être une bonne victime trop docile.



Vous avez bien lu… « Ne pas être une bonne victime trop docile ». Une fois la crise passée, votre « dossier » de victime sera revendu sur le Dark Web d’une organisation cybercriminelle à une autre. Ne faites pas ça vous-même. Demandez de l’aide et prévoyez cette aide. Simulez la cybercrise en équipe.



Vous ne pouvez pas être 100 % « Cyber-Bulletproof », mais vous pouvez être prêts à 100 %!


À proposMentions Légales