6 mythes sur les ransomwares
L’équipe de réponses aux incidents de cybersécurité de Streamscan accompagne régulièrement des entreprises pour gérer ceux qui les impacte, car nous sommes particulièrement sollicités pour des cas de ransomwares.
En partant de votre expérience, vous nous partageons 6 mythes que l’on a l’habitude d’entendre sur les ransomwares.
Mythe 1 : Personne ne nous veut du mal, nous ne seront pas victimes de ransomwares
Même si les cas de ransomwares médiatisés tels que celui de Colonial Pipelines ou Kaseya peuvent laisser penser que l’on a toujours affaire à des attaques ciblées, la plupart des victimes de ransomwares ont été trouvées de manière aléatoire. En effet, dans 99% des cas les attaques démarrent par des robots (botnets) qui balaient Internet 24/7 à la recherche de portes d’entrée accessibles (serveurs RDP, VPN, etc.). Si vous avez un système vulnérable qui apparaît sur les radars de ces botnets, il y a des chances que vous soyez une victime.
Quand on pense que cela prend entre 4 et 5 mins pour qu’un nouvel équipement branché sur Internet commence à subir des cyberattaques, on comprend facilement que tout le monde est ciblé. Les botnets n’ont pas d'émotion, que vous soyez éthique ou non, vous serez une cible.
Mythe 2 : Le meilleur moyen de récupérer les données est de payer une rançon.
Selon le rapport State of Ransomware 2021 de Sophos, le nombre d'organisations décidant de payer une rançon après avoir été victime d’un ransomware ne fait qu’augmenter. On est passé de 26% en 2020 à 32% en 2021. Ce n’est pas la meilleure chose à faire puisqu’envisager de payer une rançon ne vous garantit pas que vous allez avoir accès à vos données. En effet, selon le même rapport seulement 8% des organisations ayant payé la rançon ont pu récupérer leurs données avec la clé de déchiffrement que le pirate leur a fourni.
Vous payez donc la rançon à vos risques et périls et dans 92% des cas, vous ne pourrez pas récupérer vos données tel qu’indiqué dans cet article de FORBES. Selon notre expérience, il arrive que les pirates disparaissent après avoir reçu la rançon, la clé de déchiffrement ne fonctionne pas ou les données sont corrompues lors du processus de chiffrement.
Mythe 3 : Il n’y a aucune possibilité de déchiffrer vos données sans payer une rançon
Il est courant d’entendre dire que le seul moyen de déchiffrer vos données consiste à payer la rançon. Ce qui n’est pas toujours vrai. Il faut savoir qu’il existe des organisations qui tiennent à jour des clés de déchiffrement pour des ransomwares. Exemple: NO MORE RANSOM ou le projet Crypto Sheriff.
Vous pouvez aussi parler à des fournisseurs d’antivirus ou de EDR. Ils peuvent souvent vous aider à avoir accès à une clé de déchiffrement.
Même si le premier réflexe est de le bouder ou le blâmer, il ne faut donc pas hésiter à parler à votre éditeur d’antivirus en cas de ransomware. La solution pourrait venir de lui.
Il est aussi préférable de se faire aider par une firme de cybersécurité ayant une expertise confirmée et reconnue en ransomware, tel que Streamscan qui a déjà collaboré avec les Autorités pour démanteler un site de distribution de ransomware aux USA . Ces firmes feront des vérifications nécessaires et maîtrisent les subtilités liées aux ransomwares. Ceci vous sera bien utile pour la gestion de l’incident.
Mythe 4: il n’y aucun lien entre l'euphorie liée à la crypto monnaie et les ransomwares
Les paiements de rançon se font via les moyens qui limitent les possibilités de traçabilité, et les crypto-monnaies offrent l’avantage de permettre cela.
Tant que cet avantage sera maintenu pour les pirates et que les crypto-monnaies prendront de la valeur, les cas de ransomwares ne feront qu’augmenter.
Mythe 5: Nous utilisons une authentification multi-facteurs (MFA), nous sommes protégés contre les ransomwares
Le MFA vous protégera uniquement contre les attaques, son objectif est de trouver un mot de passe valide dans votre réseau ou votre solution de courriels afin de prendre son contrôle. Le pirate va généralement utiliser un outil qui teste plusieurs variantes de mots de passe en espérant en trouver un valide dans votre réseau. Avec le MFA, ceci devient très difficile car en plus du mot de passe, le pirate a besoin d’avoir accès à votre téléphone intelligent pour se connecter à votre réseau ou courriel.
Mais il existe d’autres méthodes pour distribuer des ransomwares dans les réseaux dont les tendances sont: l’infection via un site web ou un document malicieux joint à un courriel, etc. Dans le cas où Streamscan a géré, en lien avec les autorités, le ransomware était distribué via un site web malicieux qui était considéré comme étant sain.
Mythe 6: il suffit de faire des backups et l’on n’a pas à se soucier des ransomwares
Même si vous avez des sauvegardes à jour, se relever d’un cas de ransomware coûte cher. En effet, vous allez devoir reconstruire à partir de zéro leurs systèmes infectés, réinstaller les applications, restaurer les données et s’assurer que tout fonctionne bien.
Nous avons déjà vu des restaurations de données qui ont pris plus d’une semaine!
Le retour à la production peut aller d’une semaine à plusieurs mois selon notre expérience, ce qui fait exploser les coûts de l’incident. Selon un article de CPO MAGAZINE le coût moyen pour remédier aux impacts d’un incident de ransomware (en tenant compte des temps d'arrêt, du salaire versé aux employés pendant l’arrêt des opérations, de la rançon payée, etc.) était de 1,85 million de dollars US en 2021, comparativement à 760 000 $ en 2020.
Besoin d'aide ? StreamScan est là.
Si vous êtes victime d’un ransomware ou que vous désirez mettre en œuvre une solution de Détection et Réponse Gérées (MDR) pour éviter l’irréparable, StreamScan dispose d'experts ayant des années d'expérience qui peuvent vous aider. Contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au 1 877 208-9040.