Comment vous protéger contre les ransomwares ?

Acronis Cyber Protect
anciennement Acronis Cyber Backup

En 2015, les attaques par ransomware ont permis aux cybercriminels d'extorquer pas moins de 50 millions de dollars à leurs victimes. D'après les prévisions du FBI, ce chiffre devait atteindre un milliard de dollars à la fin de l'année 2016. Les escrocs ratissent large, en ciblant tant les particuliers que les entreprises.

Qu'est-ce qu'un ransomware ? Une réponse efficace aux attaques par ransomware La détection heuristique des ransomwares Acronis Active Protection fonctionne-t-il pour tous les types d'attaques par ransomware ? Pourquoi Acronis Active Protection est-il plus efficace qu'un antivirus associé à un logiciel de sauvegarde ? Acronis Active Protection offre une protection contre les menaces émergentes

Mai 2017 - Une attaque par ransomware sans précédent

Le grand public a découvert l'existence des ransomwares le 12 mai dernier, lorsque WannaCry a frappé la planète de plein fouet, infectant 250 000 machines dans plus de 150 pays. Cette attaque sans précédent a touché une série d'entreprises dans de nombreux secteurs, dont FedEx, l'opérateur télécom espagnol Telefonica, le service britannique de santé publique National Health Service, la société ferroviaire Deutsche Bahn et la compagnie aérienne LATAM Airlines.

Si la menace spécifique associée à WannaCry finira par disparaître, de nouvelles souches de ransomware émergent d'ores et déjà.

« La situation ne fera que s'aggraver », a déclaré Michael Gazeley, directeur général de la société de cybersécurité Network Box, dans une interview accordée à CNN. « Cette situation est absurde car les entreprises ont eu des années pour s'y préparer. »

La bonne nouvelle est qu'il n'est pas trop tard pour établir une ligne de défense robuste contre le ransomware. Nous vous expliquons comment ci-dessous.

À l'avenir, il est bien possible que les auteurs d'attaques par ransomware menacent tout simplement d'altérer les données de documents pris au hasard pour mettre leur victime dans l'embarras. Le risque est bien réel, mais vous pouvez vous en protéger.

Qu'est-ce qu'un ransomware ?

Le ransomware est l'une des cybermenaces qui connaît la plus forte croissance actuellement. Mais de quoi s'agit-il réellement ?

Un ransomware, ou logiciel de demande de rançon, est un type de logiciel malveillant qui bloque l'accès à l'équipement qu'il infecte, ou à tout ou partie des informations qu'il contient. Pour pouvoir à nouveau disposer de l'équipement ou des données, la victime doit s'acquitter d'une rançon, souvent libellée dans une monnaie électronique courante. On distingue essentiellement deux types de ransomware : les bloqueurs d'écran (qui bloquent l'accès au système d'exploitation ou au navigateur au moyen d'une fenêtre pop-up) et les ransomwares de chiffrement. Ce terme s'applique également aux chevaux de Troie de type « Trojan-Downloader » qui servent à télécharger un ransomware de chiffrement une fois la machine infectée. De nos jours, le terme ransomware est devenu synonyme de ransomware de chiffrement.

Les acteurs de la lutte antimalware, notamment le FBI et d'autres organismes similaires, s'accordent à dire que ce type de menace continuera à proliférer, en particulier dans le monde des petites et grandes entreprises.

Il est important de bloquer une attaque par ransomware à un stade précoce. Idéalement, ce type d'attaque doit être mis en échec au niveau du poste de travail, avant que le ransomware ait pu chiffrer des fichiers. Il est donc essentiel de bien cerner la menace et d'implémenter des solutions de protection des données permettant à l'équipe de sécurité de réagir rapidement à une attaque par ransomware, sans perturber le fonctionnement des postes de travail, du réseau ou des utilisateurs connectés au réseau. Il s'agit là d'une condition essentielle pour les utilisateurs en entreprise, mais aussi pour les particuliers.

Heureusement, Acronis propose une solution de protection contre les ransomwares qui aide tant les entreprises que les particuliers à s'en prémunir de manière efficace. Notre solution est disponible dans les produits Acronis grand public (et le sera ensuite dans les produits pour entreprises), en combinaison avec un logiciel antimalware si vous le souhaitez.

Acronis Active Protection : une réponse efficace aux attaques par ransomware

Acronis Active Protection est une technologie avancée conçue pour les systèmes d'exploitation Windows. Acronis envisage d'étendre cette technologie aux équipements Android et à d'autres systèmes d'exploitation, même si, à ce stade, la plupart des attaques par ransomware ciblent les systèmes Windows. Ceux-ci demandent en effet aux cybercriminels moins de recherches et d'efforts pour créer des logiciels malveillants de demande de rançon.

La technologie Acronis Active Protection (en attente de brevet) constitue le fondement d'une approche solide en matière de protection des données. Elle peut être étendue de diverses façons. Examinons son fonctionnement de base et découvrons pourquoi Acronis Active Protection doit être le premier outil de votre arsenal de protection contre le ransomware.

La détection heuristique des ransomwares

Acronis Active Protection repose sur une approche heuristique dont vous avez peut-être entendu parler dans le contexte des solutions antimalware. La détection heuristique est à la fois plus moderne et sophistiquée que celle basée sur les signatures. Une signature ne peut déceler qu'un seul échantillon, tandis que l'analyse heuristique est capable de détecter plusieurs centaines d'échantillons de fichiers appartenant à une famille de logiciels malveillants (aux comportements et séquences d'actions similaires). L'analyse heuristique comportementale consiste à comparer une séquence d'actions exécutée par un programme (plus précisément, des événements liés au système de fichiers) avec une séquence d'événements référencée dans une base de données de modèles de comportements malveillants.

Acronis
ransomware-02.png

Cette analyse est associée à une liste blanche et à une liste noire de divers programmes. La vérification de la liste blanche est importante. En effet, si les analyses heuristiques sont à même de détecter de nouvelles attaques par ransomware, elles se fondent sur l'expérience et les données comportementales ; il faut donc les contrôler pour éviter les faux positifs. Les produits dotés d'Acronis Active Protection consultent donc la liste blanche et la liste noire lorsqu'ils détectent des processus suspects. Parallèlement, lorsqu'un utilisateur bloque une attaque par ransomware potentielle, celle-ci est ajoutée à la liste noire, ce qui empêchera le lancement du programme malveillant lors du prochain redémarrage du système. Ce principe a toute son importance, car il évite à l'utilisateur d'avoir à bloquer à nouveau le type de ransomware en question.

Pour compromettre des sauvegardes, il semblerait logique que les cybercriminels prennent directement pour cible Acronis True Image lui-même. Nous avons toutefois doté l'agent Acronis intégré à Acronis Active Protection d'une fonctionnalité d'autoprotection, si bien qu'aucun processus du système, à l'exception du logiciel Acronis, ne peut modifier les fichiers de sauvegarde. Nous avons également implémenté des mécanismes d'autodéfense fiables qui neutraliseront toute attaque par ransomware et empêcheront les cybercriminels d'interrompre l'action du logiciel de sauvegarde ou de modifier le contenu des fichiers de sauvegarde.

De plus, Acronis Active Protection surveille le secteur de démarrage principal du disque dur installé sur la machine Windows de l'utilisateur et n'autorise aucune modification apportée par des utilitaires non répertoriés dans la liste blanche.

Acronis Active Protection fonctionne-t-il pour tous les types d'attaques par ransomware ?

Absolument. Toutefois, une protection des données continue et active contre trois principaux vecteurs de ransomwares est nécessaire.

1. Attaques par ransomware ciblant des fichiers

En règle générale, on remédie à une telle attaque en se servant des fichiers sauvegardés précédemment pour restaurer les données compromises. Ce type d'attaque est désormais plus facile à contrer et ne se produira probablement jamais à grande échelle si vous possédez un produit doté de la technologie Acronis Active Protection. La restauration de fichiers chiffrés vers la dernière version se fait automatiquement (moyennant confirmation de l'utilisateur), car la technologie opère en temps réel. Imaginez une situation où les sauvegardes sont planifiées pour minuit, mais l'ordinateur fait l'objet d'une attaque par ransomware à 11 h. Si vous vous contentez de récupérer les fichiers d'une sauvegarde en ligne, vous perdez onze heures de travail. Grâce à la surveillance continue des processus et de l'activité décrite ci-dessus, aucune donnée ne sera perdue en cas d'attaque par ransomware.

2. Attaques par ransomware ciblant les fichiers de sauvegarde locaux

Dans ce cas de figure, Acronis Active Protection surveille activement tous les disques locaux pour empêcher la modification de fichiers de sauvegarde par un ransomware.

3. Attaques par ransomware modifiant des sauvegardes dans le Cloud

Les fichiers sauvegardés dans Acronis Cloud Storage bénéficient d'une protection exceptionnelle contre toute modification directe par un code malveillant, grâce à un chiffrement robuste de bout en bout et à la restriction des modifications de fichier au seul logiciel agent Acronis autorisé.

Comment se prémunir des attaques par ransomware

Examinons le tableau ci-dessous illustrant les techniques et méthodes utilisées par un ransomware pour compromettre des données.

Attaque par ransomware
Explication
Réponse d'Acronis Active Protection
Écrasement sur place
Le ransomware ouvre et modifie les fichiers de données sur place.
Le pilote transmet des notifications d'accès aux fichiers et des données heuristiques au service et effectue une copie sur écriture des activités suspectes. Le service détecte le cas et bloque le ransomware. Le pilote restaure la dernière version du fichier à partir de son propre cache.
Modification du nom
Le ransomware crée un nouveau fichier, copie le contenu original, modifie le nouveau fichier et supprime le fichier original.
La procédure est la même que celle décrite ci-dessus.
Création d'un nouveau fichier
Le ransomware crée un nouveau fichier, copie le contenu original, modifie le nouveau fichier et supprime le fichier original.
La procédure est la même que celle décrite ci-dessus.
Écrasement du secteur de démarrage principal
Le ransomware ouvre le lecteur physique et écrase le secteur de démarrage principal, le système redémarre et le disque dur ou la table de fichiers maîtres sont chiffrés au redémarrage (Chkdsk masqué).
Le pilote surveille les opérations d'écriture/SCSI à destination de la table de fichiers maîtres via le système de fichiers RAW et avertit le service, qui vérifie le processus et prend une décision.
Écrasement sur place, modification du nom ou création d'un nouveau fichier avec injection dans les processus connus
Le ransomware est injecté dans un processus connu et exécute des actions malveillantes.
Le pilote envoie des notifications de tentative d'injection au service, qui demande ensuite au pilote de surveiller le processus sans effectuer de copie sur écriture. Si des comportements suspects sont détectés, le système peut inviter l'utilisateur à récupérer des fichiers à partir du Cloud.

Pourquoi Acronis Active Protection est-il plus efficace qu'un antivirus associé à un logiciel de sauvegarde ?

La réponse est simple : deux produits opérant de manière individuelle ne protégeront pas vos données contre une attaque par ransomware, car ils ne sont pas en mesure de communiquer. Dans une configuration traditionnelle, lorsqu'une attaque échappe à la vigilance d'une solution antimalware, les données affectées sont perdues, parce que la solution antimalware n'effectue pas de sauvegarde des fichiers dans le Cloud et que la solution de sauvegarde ne détecte pas les logiciels malveillants. Lorsqu'Acronis Active Protection est associé à Acronis Cloud via un agent de terminal Acronis, les données originales peuvent être restaurées à partir de caches locaux, de sauvegardes locales ou encore de sauvegardes dans le Cloud. Un des types les plus dangereux de ransomwares est ainsi éliminé.

Les logiciels de demande de rançon peuvent passer à travers les mailles du filet des logiciels antimalware, ce qui n'a pas échappé aux cybercriminels. Les pirates étudient les principales solutions antimalware pour identifier les failles dans leurs technologies de détection ou leur architecture logicielle et parvenir à les contourner. Comme nous l'avons dit précédemment, la détection basée sur les signatures présente peu d'intérêt de nos jours puisqu'il suffit de chiffrer le logiciel malveillant pour échapper à la détection. Or, bon nombre de packages logiciels antivirus gratuits continuent à utiliser cette approche, raison pour laquelle les éditeurs de logiciels antimalware recommandent aux utilisateurs d'effectuer des sauvegardes. Dans le même temps, toutes les solutions de sauvegarde dans le Cloud offrent une protection contre un vecteur d'attaque simple : l'endommagement des données sur une machine locale. Mais aucune solution n'offre de protection contre les attaques ciblant un logiciel de sauvegarde.

MISE À JOUR du 10 avril AV-TEST, laboratoire de tests indépendant spécialisé en sécurité informatique, a mis à l'essai quatre nouveaux programmes. Il est parvenu à la conclusion suivante : « Le test montre clairement qu'une protection efficace contre les malwares doit inclure le déploiement d'un logiciel de sauvegarde. Acronis True Image 2020 était la seule solution de sauvegarde testée capable de bloquer les attaques par ransomware. » Découvrez plus de détails sur le test et ses résultats.

Acronis Active Protection offre une protection contre les menaces émergentes

Pourquoi les cybercriminels ciblent-ils les sauvegardes ? Parce qu'ils y voient une menace à court terme pour leur mode opératoire. Des projets tels que No More Ransom (www.nomoreransom.org/prevention-advice.html) encouragent les utilisateurs à respecter deux principes simples d'une importance primordiale :

  1. Toujours effectuer des sauvegardes
  2. Ne jamais payer de rançon

Force est de constater que les escrocs s'en prennent déjà aux fichiers de sauvegarde. La tactique s'avère toutefois insuffisante dans la plupart des cas, car nombre de solutions de sauvegarde offrent un stockage dans le Cloud. Pour compromettre une sauvegarde dans le Cloud, les cybercriminels doivent obtenir des identifiants d'accès. Or les auteurs d'attaques par ransomware et malware classiques en sont généralement incapables.

Acronis
ransomware-03.png

Les cybercriminels en viennent donc à analyser la façon dont les données sont transférées dans le Cloud : elles passent par un agent installé sur l'équipement. D'un point de vue technique, les possibilités ne manquent pas pour injecter du code malveillant dans l'agent local et compromettre les données de sauvegarde dans le Cloud. Un produit Acronis doté de la technologie Active Protection est le seul logiciel de sauvegarde capable de mettre en échec ce type d'attaque émergente.

Principaux points à retenir

Acronis Active Protection est une solution de protection des données de nouvelle génération offrant d'importants avantages :

  • Sauvegarde et protection contre les ransomwares sur les plates-formes Windows, en temps réel. Il n'y aura pas de décalage temporel avec la version restaurée des fichiers, ce qui vous évitera de perdre le travail effectué.
  • Protection durable, optimisée à mesure que de nouvelles attaques par ransomware apparaissent.
  • Interface intuitive et transparente, qui fonctionne pratiquement de manière automatique.

Acronis Active Protection ajoute une couche de protection des données renforcée, de façon à les prémunir contre les attaques par ransomware aujourd'hui comme demain.

Télécharger la version PDF du livre blanc consacré à la protection contre le ransomware

Plus de contenu Acronis