Protéger des ransomwares par sécurité emails

Adrien Gendre

03 avril 2017

5 min de lecture

Le mot « ransomware » est sur toutes les lèvres des spécialistes de la sécurité informatique. Les entreprises tentent de combattre ces logiciels malveillants, mais la cette lutte est loin d’être gagnée d’avance. Rien que l’année passée, les attaques de ransomware ont coûté 1 milliard de dollars aux entreprises. 

Et pourtant presque toutes tentent de mettre en place une protection contre les ransomwares.  Mais les conséquences ne se limitent pas à des frais indésirables — les entreprises perdent un temps précieux et voient leur réputation écornée après chaque attaque. Moins de la moitié de toutes les entreprises victimes d’une attaque de ransomware récupèrent l’intégralité de leurs données, qu’elles paient la rançon ou qu’elles tentent de récupérer leurs données à partir d’une sauvegarde. Une protection efficace contre les ransomwares est indispensable pour mettre votre entreprise à l’abri. Pour protéger votre organisation efficacement, il faut protéger la messagerie, car la majorité des ransomware passent par l’email.

En 2016, les attaques ont coûté 1 milliard de dollars aux entreprises. Comment mettre en place une vraie protection contre les ransomwares?

Définition du ransomware

Un ransomware est un logiciel malveillant, ou malware, qui infiltre l’ordinateur ou autre appareil de sa victime et crypte tous les fichiers auxquels il a accès. En d’autres termes, le logiciel chiffre par mot de passe toutes vos données. Les fichiers restent inaccessibles jusqu’à ce que la rançon soit payée. Parfois, les pirates font chanter leurs victimes en les menaçant de publier des données sensibles. La plupart du temps, le ransomware est véhiculé par un email qui parvient à convaincre les utilisateurs de cliquer sur un lien malveillant ou d’ouvrir une pièce jointe infectée.

Bien que le ransomware existe sous de nombreuses formes, les deux plus connus sont Locky et CryptoLocker. Ces deux types de ransomware sont diffusés à travers des pièces jointes malveillantes et des URL piégées (principalement contenues dans des emails). Dès que le ransomware est activé sur l’appareil, il crypte rapidement tous les fichiers qui croisent sa route et les rend inaccessibles. Une fois le cryptage terminé, l’appareil affiche une demande de rançon pour déchiffrer les fichiers contaminés. Si les victimes refusent de payer la rançon ou dépassent le délai imposé, de nombreux cybercriminels menacent de supprimer la clé de déchiffrement ou de faire grimper le montant de la rançon. Il est temps pour tous d'installer des systèmes de protection contre les ransomwares efficaces.

Des statistiques alarmantes

Au vu des statistiques de 2016 relatives aux attaques de ransomware, il n’est pas surprenant que le ransomware soit désormais la menace principale pour les entreprises.

  • En 2016, le ransomware est devenu le logiciel malveillant le plus répandu aux États-Unis
  • 97 % de tous les emails de phishing renfermaient un ransomware plutôt qu’un autre type de malware
  • Depuis décembre 2015, les familles de ransomwares se sont multipliées à hauteur de 600%
  • Plus de 4 000 attaques de ransomware ont été enregistrées chaque jour en 2016
  • Début 2016, les entreprises étaient victimes d’une attaque de ransomware toutes les deux minutes. À la fin de cette même année, ce taux était passé à une nouvelle attaque toutes les 40 secondes.

Les entreprises sont entrain de prendre conscience que la protection contre les ransomwares est une priorité, mais les attaques sont de plus en plus efficaces. Il faut donc se protéger avec des solutions spécialisées.

Ding – un malware s’est infiltré dans votre système !

Les ransomwares sont principalement diffusés au moyen d’un email contenant des pièces jointes et des URL trompeuses. Il est donc primordial d’améliorer votre système de protection des emails afin d’être à l’abri de ce type de menace. Malheureusement, les filtres et scanners antivirus traditionnels ne peuvent vous protéger de ce type d’attaques sophistiquées. Les systèmes de filtrage classiques se basent sur la reconnaissance des signatures. Ils peuvent donc uniquement vous protéger des attaques connues. Il ne vaut mieux donc pas être le premier à recevoir l’email…

Les cybercriminels le savent pertinemment et ils conçoivent leur logiciel en conséquence. Les ransomwares évoluent constamment pour échapper à ce type de systèmes reposant sur la reconnaissance des signatures. En apportant de légers changements, les pirates réussissent à faire passer un logiciel malveillant à travers les systèmes de filtrage classiques. Ces nouvelles versions finissent par être démasquées, mais seulement après avoir déjà fait plusieurs victimes. Dès qu’une variante du logiciel est placée sur liste noire, une nouvelle version, peut-être même encore plus dangereuse, voit le jour. En d’autres termes, si votre entreprise se protège uniquement contre les attaques connues et n’est pas dotée d’un système de sécurité capable de détecter les variantes Zero Day, vos données sont en danger.

Variantes de ransomwares populaires

  • Locky: un crypto-ransomware souvent diffusé à l’aide de documents .doc à l’aspect légitime. Ces fichiers .doc contiennent des macros, une instruction de codage unique qui permet d'effectuer une tâche spécifique automatiquement. Les victimes reçoivent tout d’abord une facture illisible et sont invitées à activer les macros – permettant ainsi au logiciel de se propager instantanément sur leur appareil.
  • CryptoLocker: il cible les ordinateurs Windows et est généralement envoyé par email sous forme d’un fichier ZIP contenant un fichier exécutable. Le nom du fichier et l’icône laissent penser qu’il s’agit d’un fichier PDF. À la première exécution, le logiciel s’installe dans le répertoire utilisateur et ajoute une clé au registre pour assurer son lancement à chaque démarrage du système. Ensuite, il contacte les serveurs de commande et de contrôle afin de générer un couple de clés RSA 2048 bits et d’envoyer la clé publique à l’ordinateur infecté. Les fichiers locaux et en réseau avec certaines extensions, par exemple les documents office et les fichiers CAO, seront alors cryptés.
  • Philadelphia ransomware: un type de ransomware souvent utilisés pour les modèles Ransomware-as-a-Service (RaaS). Il existe sous de nombreuses variantes puisque le modèle RaaS permet à n’importe qui de s’improviser cybercriminel à l’aide d’un logiciel personnalisable et adaptable.
  • TeslaCrypt: ce crypto-ransomware crypte les fichiers de ses victimes grâce à un chiffrement AES. Il cible principalement les failles d’Adobe. Début 2016, ce logiciel était le type de ransomware le plus répandu jusqu’à ce que la clé universelle (master key) de déchiffrement soit rendue publique.
  • Cerber: diffusé grâce à des liens malveillants figurant dans des emails de phishing, ce crypto-ransomware vise les utilisateurs d’Office 365 et est également disponible en RaaS.
  • Crysis: ce crypto-ransomware chiffre les fichiers non seulement sur l’appareil infecté, mais aussi sur tous les lecteurs amovibles et les lecteurs réseau, ce qui lui permet de se répandre comme une traînée de poudre à travers les entreprises.
  • Jigsaw: ce ransomware crypte les fichiers et les supprime petit à petit jusqu’à ce que la rançon soit payée. La suppression des fichiers commence lentement, puis accélère jusqu’à ce que tous les autres fichiers soient supprimés après 72 heures.
  • KeRanger: un tout nouveau type de crypto-verrouilleur qui est actuellement considéré comme la première variante de ransomware capable d’infecter les appareils des utilisateurs de Mac OS.

Evidemment, les variantes de ce ransomware sont nombreuses. Identifier et isoler une attaque est donc difficile pour les équipes de sécurité informatique et les systèmes de protection des emails et de protection contre les ransomwares axés sur la reconnaissance des signatures.

Comment protéger votre entreprise lorsque vous ne pouvez pas vous fier aux filtres classiques ? Comment mettre en place une vraie protection contre les ransomwares.

Vade Secure : une solution efficace de protection contre les ransomwares

Votre entreprise a besoin d’une protection avancée capable de démasquer les nouvelles variantes de ransomwares.

La solution de protection avancée de Vade Secure utilise l’intelligence artificielle pour vous défendre protéger des ransomwares, du spear phishing et des de toutes les attaques Zero Day. Notre approche sur plusieurs niveaux garantit votre protection en gardant les emails dangereux loin des boîtes de messagerie de vos utilisateurs.

Notre solution repose sur :

  • Une analyse technique
  • Une analyse du fingerprint
  • Une analyse comportementale
  • Une analyse exhaustive des fichiers

Toutes ces analyses se combinent pour garantir que les emails ne représentent aucun danger. Pour chaque email, nous nous assurons que l’expéditeur est bien celui qu'il prétend être, que les pièces jointes sont légitimes et que les URLs ne mènent pas vers des sites web frauduleux.

Notre solution a démasqué toutes les100% des variantes de Locky et de Cryptolocker dès le premier email.

Vous voulez savoir comment les le filtre email logiciels dotés d’une intelligence artificielle peuvent protégerège votre entreprise contre toutes les types de cybermenaces. Contactez-nous dès aujourd’hui.