Comment gérer un incident « ransomware » ?
Depuis quelques années, nous assistons à une explosion des cas d’incidents de type ransomware. Ces incidents ont de graves impacts sur les organisations comme des pertes financières ou l’indisponibilité prolongée du réseau. De plus, dans plusieurs cas, les organisations n’ont pas de sauvegardes de données et sont donc obligées de payer une rançon souvent allant jusqu’à une centaines de milliers de dollars.
À cela s’ajoute que depuis la fin de l’année 2019, il est possible d’observer un changement dans le comportement des ransomwares. Avant de chiffrer l’ordinateur de leurs victimes, les pirates exfiltrent systématiquement les données sur un serveur. Cela donne un deuxième levier de négociation dans le cas où la victime refuse de payer la rançon dans l’optique qu’elle dispose de sauvegarde. Ce moyen de pression supplémentaire est assez dissuasif dans la mesure où les données exfiltrées peuvent inclure des secrets commerciaux, des renseignements personnels d’employés ou de clients, des données de carte de crédit, des informations sensibles, etc..
Voici la bonne procédure pour gérer efficacement un incident de type ransomware.
1- Rester calme
Dans la plupart des cas, vous découvrirez que vous êtes infecté par un ransomware lorsqu’un message de demande de paiement de rançon s’affiche. Si c’est la première fois que cela vous arrive, c’est le début d’un gros stress pour l’équipe TI (ou de cybersécurité) ainsi que la haute direction.
Plus les machines infectées sont critiques, plus le stress va redoubler. La meilleure attitude à adopter est de rester calme et de se préparer au combat. Les nuits qui suivent risquent d’être longues.
2- Savoir reconnaître ses limites et aller chercher de l’aide - rapidement
Si vous n’avez pas l’expertise nécessaire pour gérer l’incident, allez chercher de l’aide externe le plus rapidement possible. Dans plusieurs cas que nous avons gérés, les équipes IT internes ont passé entre 1 et 3 jours à tâtonner, avant de se résigner à aller chercher de l’aide externe. Or, plus le temps passe et plus les dégâts seront importants.
Établissez une relation avec une firme de cybersécurité spécialisée en réponses aux incidents et ayez toujours leur numéro de téléphone à portée de la main. En cas d’incident, vous réaliserez que c’est l’un des meilleurs conseils que vous ayez reçu en cybersécurité.
3- Bien gérer la communication
Il est très important de bien contrôler la communication afin d’éviter les rumeurs. Désignez une personne responsable de la communication et elle seule doit faire les communications à l’interne comme à l’externe (partenaires et médias).
4- Les 1ères minutes sont cruciales
Plus le temps passe, plus les pirates ont le loisir d’infecter vos ordinateurs. Dès que vous voyez qu’un ordinateur est infecté, déconnectez-le du réseau, mais ne l’éteignez pas. Vous en aurez besoin pour des investigations à savoir comment le ransomware est entré dans votre réseau. Si vous éteignez l’ordinateur, vous perdrez des éléments de preuve.
Pour le pirate, le fait d’infecter plusieurs ordinateurs lui donne un rapport de force favorable lors de sa demande de rançon. Nous avons souvent vu que l’infection est passée d’un ordinateur/serveur a une dizaine d’ordinateurs (voir plus) en moins d’une heure.
5- Confinement total de l’incident
Ensuite, assurez-vous que le même ransomware n’est pas sur d’autres ordinateurs. Pour cela, il faut rechercher une copie du ransomware sur l’ordinateur infecté, l’analyser rapidement pour identifier ses indicateurs de compromission (IOC) ou de présence locale sur la victime (ex : le hash du ransomware, clés de registres créés/supprimés/modifiés, processus lancés, etc.).
Balayez l’entièreté de votre réseau pour identifier et isoler les ordinateurs où les IOC du ransomware sont trouvés. Souvent, nous avons retrouvé une copie du ransomware sur d’autres serveurs, ce qui a permis de les isoler rapidement et éviter qu’ils soient infectés.
Si vous ne trouvez pas de copie du ransomware sur la victime, voici comment vous devez procéder : branchez la machine infectée sur un switch, capturez et analysez son trafic réseau afin d’identifier les indicateurs de compromission du ransomware réseau (IOC réseau). Chez StreamScan, nous soumettons le trafic réseau capturé à notre technologie de Détection de Cybermenaces CDS qui va générer des alertes de sécurité en l’analysant. À partir de ces alertes, nous remontons la chaîne et retrouvons des informations sur le ransomware.Nous pouvons même, dans certains cas, retrouver une copie dudit ransomware à l’externe.
*Les SIEM ne sont pas adaptés à ce type de vérification.
6- Assurez-vous que le pirate n’est plus dans le réseau
Dès que vous déconnectez une machine infectée et que le pirate est encore dans votre réseau, il se peut qu’il augmente sa cadence afin de multiplier les dégâts. Le meilleur moyen de s’assurer que le pirate n’est plus dans votre réseau est de brancher un système de détection d’intrusions (IDS/IPS) dans votre périmètre réseau et d’observer les comportements douteux. S’il y a des mouvements suspects, bloquez les ports réseaux impliqués dans votre firewall. Le pirate se retrouvera de ce fait éjecté hors de votre réseau.
7- Reconstruire vos systèmes, les blinder, réinstaller les applications et les correctifs de sécurité
Un ordinateur infecté par un ransomware doit être reconstruit à partir de zéro. Assurez-vous aussi de le blinder en appliquant des mesures d’endurcissement de systèmes (vous pouvez en télécharger gratuitement sur le site du CIS Security, https://www.cisecurity.org/).
Après l’endurcissement, vous devez réinstaller vos applications, les endurcir aussi, puis appliquer les correctifs de sécurité. Ensuite, restaurez vos données si vous avez des sauvegardes. Si non, StreamScan déconseille fortement de payer la rançon, mais au final cela reste une décision d’affaires. Il reviendra à l’organisation de décider si elle veut négocier avec le pirate pour recouvrer ses données.
Attention : lors des négociations, évitez de créer des conflits inutiles avec le pirate. Des reproches risquent d’engendrer la hausse de la rançon. Au besoin, aller chercher de l’aide. Une bonne négociation peut vous permettre de réduire considérablement le montant de la rançon.
Nous aborderons dans un autre article de blog l’art de négocier les paiements de rançon.
8- Vérifier si le ransomware a exfiltré vos données
Cette vérification doit être faite pour tous les cas de ransomwares que vous vivez en 2021 sans exception. L’exfiltration des données fait partie des fonctionnalités de tous les récents ransomwares. Certaines organisations sont tentées de faire l’autruche, mais il est toujours préférable que vous sachiez si les données ont été exfiltrées afin de vous préparer à gérer la situation (informer les autorités, les utilisateurs, etc.). Sinon, si le pirate décide de rendre vos données publiques, vous risquez de faire la une des médias.
Cette vérification se fait en analysant une copie du ransomware dans un environnement de laboratoire. En infectant une machine victime et en analysant les communications (trafic) réseau qu’il génère via des outils tels que Wireshark ou Tshark. S’il exfiltre des données, vous le verrez. Mais le moyen le plus rapide est d’utiliser un IDS. Chez StreamScan nous faisons cette vérification en soumettant le trafic réseau à notre technologie CDS, qui va générer les alertes ainsi qu’un fichier réseau (PCAP) qui contiendra le trafic exfiltré.
Si le ransomware n’exfiltre pas de données, vous en aurez la confirmation.
9- Monitoring post-incident et retour en production sécuritaire
Lorsque vos systèmes sont corrigés et les données restaurées, vous pourrez retourner en production. Il est fortement recommandé de faire une surveillance post-incident des machines remises en production pendant au moins quelques jours afin de vous assurer qu’elles ne sont plus ciblées par le même type d’attaque.
Chez StreamScan, nous faisons le monitoring post-incident avec notre technologie CDS. En une pierre deux coups, elle permet de détecter les intrusions qui vous ciblent et en cas d’incident, elle sert à accélérer les investigations, trouver et sortir le pirate du réseaue. Elle permet aussi de surveiller vos systèmes reconstruits afin de s’assurer qu'ils sont sécuritaires.
10- La meilleure solution : se préparer en amont, blinder son réseau et le surveiller constamment
Vivre un incident de sécurité n’est pas une situation agréable. Certaines entreprises doivent même gérer les dommages liés à la médiatisation de leur cas. Les ransomwares sont un risque important et vont continuer à faire des victimes dans les années à venir.
Les meilleurs moyens de se protéger contre les ransomwares sont :
- Faire des sauvegardes de vos données et les tester régulièrement
- Déployer un système de détection d’intrusions informatique tel que le CDS de Streamscan
- Monitorer la sécurité de votre réseau. Si vous n’avez pas d’équipe de cybersécurité interne, il existe des services de monitoring externalisés qui peuvent vous aider, tel que le service MDR de Streamscan. Aujourd’hui, le monitoring de la sécurité doit être votre priorité 1.
- Renforcer la sécurité de son réseau (endurcissement des systèmes)
- Gérer les vulnérabilités de sécurité de votre réseau
- Sensibiliser vos utilisateurs sur les risques de cybersécurité
- Définir un plan de réponse aux incidents et le tester au moins une fois par année.
Et pour terminer, pour ceux qui pensent encore qu’ils sont à l'abri des piratages, gardez le numéro de téléphone de l’équipe de réponse aux incidents de StreamScan à portée de main: 1-877-208-9040