Introduction aux ransomwares et à Acronis Active Protection

Cet article aborde les sujets suivants :

• Les ransomwares : de quoi s'agit-il et pourquoi sont-ils aussi dangereux ?
• Comment se protéger efficacement contre ces menaces
• Le rôle d'Acronis Active Protection dans la lutte contre les ransomwares
• Analyse d'une attaque par ransomware et des fonctionnalités permettant de la déjouer

Les ransomwares sont l'une des formes les plus répandues et les plus coûteuses de malwares qui ciblent aujourd'hui les entreprises et les particuliers. Ce terme désigne un large éventail de virus informatiques hostiles qui infiltrent les serveurs informatiques, les PC, les ordinateurs portables, les tablettes, les smartphones et d'autres terminaux informatisés tels que les distributeurs automatiques et les bornes d'enregistrement des compagnies aériennes. Plutôt que de dérober des informations précieuses sur le terminal, les ransomwares refusent aux utilisateurs l'accès aux fichiers et données stockés sur celui-ci. Les « bloqueurs », la forme la plus simple de ransomware, affichent un écran qui empêche les utilisateurs d'accéder au bureau de l'ordinateur. Plus sophistiqué et plus destructeur, les ransomwares « chiffreurs » vont bien plus loin, puisqu'ils rendent les fichiers de l'utilisateur illisibles en y appliquant un chiffrement. Dans les deux cas, un message s'affiche demandant à l'utilisateur de payer une rançon par des moyens électroniques à un destinataire intraçable, en l'échange de quoi le cybercriminel promet de déverrouiller le système.   Les pirates spécialisés dans la prise d'otage des données contre rançon exploitent la peur et l'ignorance des utilisateurs pour leur soutirer de l'argent, en faisant pression sur les victimes afin qu'elles paient rapidement, par exemple à l'aide d'un compte à rebours en jours ou en heures. Si l'utilisateur paye, le cybercriminel est censé fournir la clé mathématique permettant de déchiffrer les fichiers ou des instructions pour supprimer le bloqueur.   Le volume et la sophistication des attaques par ransomware n'a cessé d'augmenter ces dernières années, jusqu'à devenir l'une des menaces criminelles les plus répandues et les plus coûteuses de l'histoire. Le FBI estime que les cybercriminels spécialisés en ransomware ont extorqué plus d'un milliard de dollars à leurs victimes en 2016. Ce chiffre devrait être multiplié par trois ou cinq d'ici la fin de l'année 2017. De nombreux utilisateurs ont pris conscience de l'existence de la menace après la célèbre attaque par le ransomware WannaCry en mai 2017, qui a infecté des centaines de milliers de systèmes dans 150 pays en seulement quelques heures.   Comme l'ont démontré les vagues d'attaques qui ont suivi, le problème des ransomwares ne va faire que s'aggraver. Les gangs criminels organisés ont imité les modèles commerciaux et technologiques du secteur SaaS, permettant ainsi aux opérateurs peu qualifiés de distribuer et de tirer profit des ransomwares avec de plus en plus de facilité. La probabilité que vous, votre famille, votre entreprise ou l'une de vos connaissances soyez victime d'un ransomware augmente de jour en jour. Les utilisateurs doivent s'informer sur la menace que les ransomwares représentent et apprendre à s'en protéger.

Acronis Active Protection est une technologie éprouvée offrant une protection contre les attaques par ransomware. Cette fonctionnalité est intégrée à deux programmes de sauvegarde populaires : Acronis Cyber Backup (pour entreprises) et Acronis True Image (pour particuliers). Acronis Active Protection surveille en permanence le système de l'utilisateur à la recherche de comportements suspects caractéristiques des ransomwares, p. ex. un processus inconnu essayant soudainement de renommer et de chiffrer une série de fichiers. En s'appuyant sur l'intelligence artificielle et l'apprentissage automatique, Active Protection identifie rapidement les comportements typiques des ransomwares, met fin au processus correspondant et informe l'utilisateur de l'activité vraisemblablement malveillante. En fonction de la réponse de l'utilisateur (« Il s'agit d'une action légitime, autorisez-la » ou « Cette activité est suspecte, bloquez-la »), Active Protection laisse le processus reprendre son exécution ou y met fin et répare automatiquement les fichiers qu'il a endommagés en les restaurant à partir d'une copie de sauvegarde.

Active Protection utilise la reconnaissance de modèles reposant sur l'intelligence artificielle pour identifier les comportements suspects caractéristiques des attaques par ransomware. L'apprentissage automatique affine cette compréhension des comportements des attaques au fil du temps, à mesure que les cybercriminels adoptent de nouvelles tactiques pour déjouer les défenses des utilisateurs. Il offre un niveau de protection supplémentaire par rapport aux produits antivirus traditionnels, qui utilisent des segments de code connus (« signatures ») dans les malwares pour identifier les menaces. Les programmes antivirus sont incapables de reconnaître les nouvelles menaces dont les signatures ne sont pas encore largement connues. C'est là leur point faible.   En d'autres termes, les programmes antivirus détectent les ransomwares en se basant sur leur apparence. Active Protection, en revanche, détecte les ransomwares en fonction de leur comportement, ce qui lui permet de découvrir de nouvelles variantes qui n'ont pas encore été ajoutées à la base de données de signatures des antivirus.   Il tient également une liste blanche des programmes que l'utilisateur a identifiés comme inoffensifs, ce qui évite qu'ils soient accidentellement bloqués lorsqu'ils sont utilisés pour effectuer des opérations qui pourraient être confondues avec des activités de ransomware, telles que le renommage ou le chiffrement légitimes de fichiers. Les attaques par ransomware qui ont été détectées et bloquées sont automatiquement ajoutées à une liste noire, afin que les prochaines attaques perpétrées par la même version du ransomware ne puissent pas s'exécuter du tout.

La détection et la neutralisation rapides d'une attaque par ransomware sont essentielles. Plus vite la menace est éliminée, moins elle aura le temps de détruire des fichiers en les chiffrant. La restauration des fichiers chiffrés par des ransomwares est une technique utile, mais son efficacité dépend de la fréquence à laquelle vous effectuez des sauvegardes. Il est possible que vous puissiez restaurer un fichier chiffré par un ransomware, mais seulement la version que vous avez sauvegardée il y a quelques jours ou il y a une semaine.   Active Protection complète Acronis Cyber Backup et Acronis True Image en restaurant les fichiers endommagés à partir de différents emplacements : mémoire, disque local, disque externe, disque sur le réseau local de l'utilisateur, disque sur un site distant ou service de stockage de données dans le Cloud. Bien souvent, un fichier endommagé peut être instantanément restauré à partir d'un cache local sur le système de l'utilisateur.   Cette capacité à détecter et à neutraliser les attaques ainsi qu'à restaurer rapidement les fichiers endommagés est propre à Active Protection. De nombreux produits vendus comme anti-ransomware peuvent bloquer les attaques, mais n'aident pas l'utilisateur à réparer les dommages subis avant la détection de l'attaque. D'autres peuvent aider à se remettre d'une attaque, mais seulement pour les plus petits fichiers.  Active Protection détecte et neutralise les attaques par ransomware, puis restaure rapidement et automatiquement les fichiers endommagés, quelle que soit leur taille.

L'utilisation de fichiers de sauvegarde pour se remettre d'une attaque par ransomware est une technique défensive utile et recommandée. Maintenant qu'ils ont connaissance de cette tactique, de nombreux développeurs de malwares créent des ransomwares qui recherchent les fichiers de sauvegarde de l'utilisateur et tentent de les chiffrer. Acronis contre cette tactique en appliquant les fonctionnalités de défense d'Active Protection aux fichiers de sauvegarde et aux autres fichiers. Les attaques ciblant les fichiers de sauvegarde stockés hors site (p. ex. dans Acronis Cloud Storage) sont évitées de deux manières : en chiffrant les données en transit et au repos, et en limitant l'accès aux fichiers de sauvegarde dans le Cloud aux seuls processus autorisés par Acronis.

L'intégration d'Acronis Active Protection à Acronis Cyber Backup et à Acronis True Image offre un avantage évident par rapport aux produits de sauvegarde et de protection contre les malwares qui sont déployés séparément. Aucune combinaison de produits autonomes n'est capable d'offrir les fonctionnalités de détection automatisée, de neutralisation et de restauration des données après une attaque par ransomware que propose Acronis et sa solution intégrée de sauvegarde et de protection contre les ransomwares.

Cette démonstration montre la séquence d'événements survenant lors d'une attaque par ransomware classique, au cours de laquelle un utilisateur peu méfiant clique sur un lien ou ouvre une pièce jointe dans ce qui semble être un e-mail légitime provenant d'un expéditeur familier. En réalité, il s'agit d'un e-mail de phishing envoyé par un cybercriminel et conçu pour gagner la confiance de l'utilisateur. Cliquer sur le lien ou ouvrir la pièce jointe ne permet pas d'ouvrir la feuille de calcul ou le GIF attendu, mais infecte le système de l'utilisateur avec un ransomware. Certaines versions de ransomwares (telles que le célèbre virus WannaCry) incluent des vers qui les aident à se propager automatiquement sur tous les autres systèmes qu'ils trouvent sur le réseau Ethernet ou Wi-Fi local de l'utilisateur.   Dans le clip vidéo ci-dessus, l'utilisateur reçoit un e-mail en apparence légitime qui comprend des informations alléchantes sur les prochains épisodes d'une série TV populaire. Intrigué, l'utilisateur télécharge et ouvre la pièce jointe à l'e-mail, qui se révèle en fait contenir un ransomware WannaCry. Le virus chiffre les fichiers de l'utilisateur, ce qui les rend totalement inaccessibles, puis affiche un message de demande de rançon exigeant un paiement de 300 $ dans la devise intraçable Bitcoin avant la fin du compte à rebours. L'utilisateur a le choix entre payer le cybercriminel anonyme rapidement ou perdre définitivement l'accès à ses fichiers. (Les forces de l'ordre et les experts en sécurité ne recommandent généralement pas de payer la rançon : 20 % des victimes qui le font ne reçoivent jamais la clé promise.)   La démonstration montre ensuite ce qui se passe quand cet utilisateur ouvre la même pièce jointe infectée, mais cette fois en disposant d'Acronis Active Protection. Active Protection identifie l'activité de renommage ou de chiffrement de fichiers comme malveillante et bloque immédiatement le processus. Il restaure ensuite automatiquement les fichiers qui ont été chiffrés avant la détection de l'attaque. Le clip explique alors comment les décisions d'autorisation/de blocage d'Active Protection peuvent évoluer dans le temps grâce à l'apprentissage automatique et comment elles sont optimisées à l'aide de listes blanches et de listes noires.   Un programme antivirus peut détecter et bloquer certaines attaques par ransomware, mais seulement des versions déjà assez connues et pour lesquelles l'éditeur d'antivirus a créé une signature, et uniquement si l'utilisateur a récemment mis à jour la base de données de signatures antivirus de son système. Les cybercriminels font sans cesse évoluer leurs ransomwares de sorte à échapper à la détection basée sur les signatures. Les antivirus sont donc utiles pour se protéger contre les ransomwares connus, mais s'avèrent totalement inefficaces pour contrer les nouveaux.   Une solution plus efficace consiste à restaurer les fichiers chiffrés à partir d'une sauvegarde. Toutefois, cela peut engendrer la perte des nouveaux fichiers qui ont été créés et de toutes les opérations qui ont été effectuées depuis la dernière sauvegarde, ce qui peut représenter des heures, des jours ou des semaines de travail.   L'intégration d'Active Protection à Acronis Cyber Backup et à Acronis True Image est un meilleur choix, car elle combine la détection et la neutralisation des attaques par ransomware, notamment les versions encore inconnues, et la restauration instantanée des fichiers endommagés avant la détection de l'attaque. Sa capacité à identifier et à bloquer les ransomwares en se basant sur leur comportement, et non leur signature, est un énorme avantage défensif par rapport aux systèmes antivirus. Sa fonctionnalité intégrée de restauration automatique des fichiers endommagés à partir d'une sauvegarde en fait une meilleure alternative aux solutions traditionnelles de protection contre les malwares. Aucun autre produit n'allie des fonctionnalités de sauvegarde et de protection contre les ransomwares en un seul package intégré et automatisé.   La quantité et la valeur des données stockées sur vos systèmes ne vont faire qu'augmenter au fil du temps. Les activités criminelles qui développent et distribuent des ransomwares sont déjà extrêmement rentables. Les attaques vont donc gagner en volume et en sophistication au fil du temps. Des mesures simples permettent de réduire vos chances d'être la cible de ransomwares :

1. Utilisez un programme antivirus et mettez fréquemment à jour sa base de données de signatures.
2. Maintenez à jour votre système d'exploitation et vos applications, pour que, lorsque les éditeurs détectent des vulnérabilités dans leurs produits, vous bénéficiiez des correctifs logiciels permettant de les éliminer. Par exemple, le chaos semé par WannaCry dans le monde entier est en partie dû à l'exploitation d'une faiblesse connue de Windows que de nombreux utilisateurs n'avaient pas pris la peine de corriger à temps avec une mise à jour de Windows.
3. Méfiez-vous des e-mails de phishing et encouragez votre famille, vos amis et vos collègues à faire preuve de prudence lorsqu'ils cliquent sur des liens ou ouvrent des pièces jointes dans des e-mails provenant de sources en lesquelles ils n'ont pas une confiance absolue.

Si vous voulez vraiment prendre l'avantage sur les cybercriminels, optez pour Acronis Cyber Backup ou Acronis True Image avec Active Protection. Il s'agit de la seule solution intégrée de détection, neutralisation et restauration automatique des données après une attaque par ransomware.