Moshe Ben Simon
La tromperie en tant qu’arme dans la lutte contre le rançongiciel
L’année dernière, les cybercriminels ont assurément fait de leur mieux pour profiter à grande échelle et de diverses manières uniques de la crise du corona. Mais qu’en est-il quand on retourne les techniques de ces gredins contre eux? Vous disposez alors d’un excellent moyen de protection, selon Moshe Ben Simon de Fortinet.
La migration rapide vers le télétravail a offert aux cybercriminels pas mal de possibilités de lancer des attaques contre des employés qui établissaient une connexion avec le réseau de leur entreprise via des appareils et des réseaux domestiques mal sécurisés. Pour leurs attaques, ils utilisent souvent un rançongiciel (ransomware).
Dans la plupart des attaques, les pirates recourent à l’hameçonnage (phishing) ou à d’autres moyens pour contaminer l’ordinateur de la victime au moyen d’un rançongiciel, qui se propage ensuite via le réseau. A un moment donné, les pirates activent le rançongiciel, qui crypte alors tous les systèmes infectés, afin que les fichiers et les données ne soient plus accessibles. Ensuite, les criminels demandent à l’organisation touchée de leur verser une rançon en échange du code de décryptage nécessaire pour rendre les fichiers de nouveau accessibles.
Une fois qu’on sait ce qui se passe durant une attaque au ransomware, il est possible de retourner les techniques des cybercriminels contre eux.
Les cybercriminels partent du principe que les organisations sont prêtes à payer quasiment n’importe quelle rançon pour avoir de nouveau accès à leurs données. Et si elles refusent, leurs données sont proposées dans le web clandestin (dark web). Dans la pratique, on observe aussi toujours plus de cas, où les victimes versent une rançon, mais ne reçoivent jamais la clé de décryptage. Dans le pire des cas, le rançongiciel sème la destruction dans le réseau en effaçant les disques durs des PC et serveurs, malgré le fait que la rançon ait été versée.
Fichiers factices comme appât
Comment maintenir une organisation hors de portée d’attaques au ransomware? En stockant des sauvegardes actualisées des fichiers importants en un endroit sûr hors du réseau. Et en scannant tous les appareils recherchant un accès au réseau pour y trouver trace d’un malware. Mais cela, ce n’est que le début. Il est important également de connaître un tant soit peu le fonctionnement d’un rançongiciel. Car une fois qu’on sait ce qui se passe au cours d’une attaque, il est possible de retourner les techniques des cybercriminels contre eux.
Il est possible ainsi de contourner subtilement le ransomware, de sorte qu’il ne crypte que des fichiers factices que vous aurez créés intentionnellement comme appât. Si les hackers tentent de crypter ces faux fichiers, une notification sera automatiquement générée. Les cybercriminels révéleront ainsi leur présence, avant même de pouvoir causer des dommages. Dans ce but, les entreprises et organisations peuvent utiliser une technologie de cyber-tromperie spéciale.
Technologie de tromperie
Avec cette technologie de cyber-tromperie (‘cyber deception technology’), il est possible de mettre rapidement en place un pseudo-réseau servant d’appât. Le trafic des données et les sources IT y figurant ne peuvent être distingués de ceux de véritables réseaux. Ce pseudo-réseau s’intègre sans problème à l’infrastructure IT/OT existante en vue de leurrer les agresseurs qui se trahiront alors eux-mêmes. Les solutions de cyber-tromperie créent à cette fin d’abord un faux dossier réseau partagé sur tous les terminaux et serveurs au sein du réseau En bref, cela fonctionne comme suit:
• Le faux dossier réseau contient des fichiers factices ayant comme but de signaler les activités de pirates et/ou de rançongiciels. Le dossier est dissimulé aux yeux des utilisateurs finaux, afin qu’ils ne génèrent pas de notifications incorrectes en cliquant eux-mêmes quelque part par mégarde.
• Le faux dossier réseau sert de serveur de fichiers, en ce compris un faux trafic et de faux fichiers.
• Chaque outil de cyber-tromperie digne de ce nom offre une intégration complète aux solutions de sécurité d’autres fournisseurs, comme le pare-feu, le système Network Access Control (NAC) et le programme antivirus. De cette manière, toute l’activité malfaisante détectée peut vite être éliminée.
• Dès que le ransomware a contaminé un terminal et se met à crypter des répertoires locaux et des dossiers réseau, le faux serveur de fichiers le détectera aussitôt, puis ralentira le processus de cryptage et utilisera les outils de sécurité existants pour éviter ou limiter les dommages. En même temps, le terminal contaminé sera mis en quarantaine, pour préserver le reste du réseau.
La technologie de cyber-tromperie exploite donc les processus du ransomware contre lui-même pour pouvoir le détecter. Plus important encore: la technologie dévoile les méthodes utilisées par les cybercriminels pour pénétrer dans le réseau, comme des mots de passe peu solides ou volés ou des points faibles au sein des terminaux et des serveurs. Il est possible ainsi de colmater toutes les brèches sécuritaires.
Les organisations combinant la technologie de cyber-tromperie avec une plate-forme de sécurité étoffée peuvent détecter les attaques au rançongiciel et y réagir, avant que les cybercriminels aient l’opportunité de mettre leurs sinistres plans à exécution.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici