À la fin de l’année, nos experts analysent les incidents qui ont eu lieu et nomment un incident (ou une tendance) l’histoire de l’année. Cette année n’a pas donné lieu à beaucoup de débats : 2017 était clairement l’année du ransomware. Trois attaques de ransomwares (WannaCry, ExPetr, et Bad Rabbit, qui est légèrement moins célèbre) ont beaucoup attiré d’attention, mais au moins, seulement l’un d’entre eux avait l’air d’un ransomware de chiffrage.
Sachez que, bien que les incidents aient été soudains et aient pris de nombreux utilisateurs par surprise, nos experts avaient déjà prédit ces tendances en 2016. Costin Raiu et Juan Andres Guerrero-Saade ont écrit dans les prévisions pour 2017 de Securelist qu’ils s’attendaient à » l’apparition de ransomwares qui pourraient bloquer des fichiers ou l’accès au système ou simplement supprimer les fichiers, obliger la victime à payer la rançon et ne rien faire en échange »
Rappelons les leçons les plus importantes de ces attaques.
Le mouvement latéral des malwares
Ces épidémies ont fait parler d’elles car le malware ne faisait pas que chiffrer un ordinateur, mais aussi tous les périphériques du réseau. Ce niveau d’infiltration a été rendu possible par les vulnérabilités découvertes par le puits d’informations des Shadow Brokers.
Cependant, quand les épidémies ont commencé, les patchs permettant de les prévenir existaient déjà ; mais de nombreux appareils ne les avaient pas encore. En outre, certains intrus utilisent encore ces vulnérabilités actuellement (avec un certain succès, malheureusement).
Leçon 1 : Installez les mises à jour dès qu’elles sont disponibles, surtout si elles sont directement liées à la sécurité.
Systèmes non critiques
Parmi les victimes des chiffreurs, on trouve de nombreux systèmes sans aucune protection contre les ransomwares parce que personne ne pensait qu’il était nécessaire de les protéger. C’est par exemple le cas des panneaux d’information et des distributeurs automatiques. À dire vrai, il n’y a rien qui puisse être chiffré sur ces systèmes et personne ne va payer pour les déchiffrer.
Cependant, dans ces cas, les attaquants n’ont pas choisi leurs cibles : ils ont infecté tout ce qu’ils pouvaient. Les dommages ont été considérables. Réinstaller les systèmes d’exploitation sur ces appareils non critiques était et continue à être un vrai gouffre de temps et d’argent.
Leçon 2 : Protégez tous les éléments de votre infrastructure informatique.
Le sabotage au lieu de l’extorsion.
ExPetr n’avait pas de mécanisme pouvant identifier une victime particulière ; cela veut dire que même si les attaquants l’avaient voulu, ils n’auraient pas pu donner une clé de déchiffrage aux victimes. Nous pouvons en déduire que leur but était de faire le plus de mal possible et que les rançons collectées n’étaient qu’un bonus.
Cela confirme encore une fois que payer une rançon n’est pas une manière fiable de récupérer ses données.
Leçon 3 : La seule manière de ne pas perdre vos données, c’est de faire des copies de sécurité et d’installer des solutions de protection proactivement.
Nous espérons que ces leçons minimiseront les dommages d’attaques similaires à l’avenir. Après tout, selon nos experts, les cybercriminels continueront à utiliser des malwares de chiffrement à la manière d’ExPetr : en tant que cyber-arme pour détruire des informations. Vous pouvez trouver plus de détails sur les prédictions de nos chercheurs pour 2018 dans cet article de blog de Securelist.