Recrudescence de la cybercriminalité

Recrudescence de la cybercriminalité

Alerte vigilance – Recrudescence d’attaques du ransomware Cryptolocker

Les caractéristiques de ce malware

  • Le plus souvent sous la forme d’un e-mail contenant une pièce jointe malveillante,
  • Si la pièce jointe est ouverte, le programme s’installe sur l’ordinateur et chiffre les données,
  • Dès lors, le cybercriminel débute son chantage en demandant de verser une rançon d’une valeur moyenne de 700€, elle peut atteindre 4000€ lorsque l’attaque cible un serveur.

crypto

Les serveurs sont la cible préférée des pirates :

1) Le pirate tente de pénétrer la machine via des accès externes, ouvert sur internet,
2) Les mots de passe faibles sont facilement découverts par attaques dites « brut force par dictionnaire »,
3) Le pirate peut ensuite prendre la main sur le serveur, désactiver l’antivirus, et lancer le chiffrement de tous les fichiers de données.

Attention CryptoLocker chiffre également les sauvegardes et lecteurs réseau.

Mise en garde, comment se prémunir ?

Voici un rappel des bonnes pratiques élémentaires :

  • Être équipé d’un logiciel antivirus performant. Malgré le message d’avertissement, l’utilisateur peut décider d’exécuter le fichier infecté. Il faut donc prendre en compte les messages des antivirus.
  • Sauvegarder ses données. ANS INFORMATIQUE vous invite à aller au-delà de la simple sauvegarde de fichiers et préconise la mise en place de Plan de Reprise d’Activité.
  • Mettre à jour les logiciels installés sur ses machines et serveurs : navigateur(s), outils Adobe, java, système d’exploitation, antivirus.
  • Bloquer les fichiers exécutables. Une protection en amont, par exemple sur serveur de messagerie ou passerelle.
  • Répliquer ses sauvegardes locales sur un support externe.
  • Appliquer des politiques de restrictions logicielles (PRS). Afin d’empêcher des programmes comme CryptoLocker de s’exécuter dans des répertoires tels que « %AppData% » ou « %LocalAppData% ».
  • Utiliser les objets de stratégie de groupe (GPO) pour créer et restreindre les autorisations sur les clés de registre utilisées par CryptoLocker, comme HKCU \ SOFTWARE \ CryptoLocker (et variantes). Si le malware ne peut pas ouvrir et écrire dans ces clés de registre, il sera incapable de chiffrer les fichiers.
  • Restreindre les autorisations sur les lecteurs réseau partagés pour empêcher les utilisateurs de modifier des fichiers.
  • Éviter d’utiliser les ports par défaut. Exemple : faille sur le port TSE TCP 3389 (Windows Terminal server).
  • Utiliser des mots de passe forts, et mettre en œuvre une authentification multi-facteurs.

 

Nos équipes restent à votre disposition pour toute demande d’information complémentaire.

About the author