Réponse à la rançon: que faire après l'attaque?
Le 12 mai 2017, des centaines de milliers d'utilisateurs d'ordinateurs et d'organisations dans plus de 100 pays ont pris conscience de la crise. Il existait une forme sophistiquée et virale de malware qui cryptait leurs ordinateurs et leurs systèmes, les empêchant ainsi d'accéder à des informations personnelles et professionnelles précieuses.
L'accès ne peut être rétabli que si une rançon est payée via Bitcoin. Payer avec une crypto-monnaie comme Bitcoin rendra extrêmement difficile le suivi du destinataire. Malware, connu sous le nom de Wannacry C'était une forme de rançon. La grande majorité de la population mondiale a d'abord entendu le terme de ransomware (et réponse). En réalité, la rançon existe depuis la fin des années 1980. Cependant, les ransomwares ont considérablement évolué depuis lors, grâce aux progrès considérables du cryptage réalisés au cours des 30 dernières années.
Qu'est-ce qu'une demande de rançon?
Dans sa forme la plus simple, ransomware capture, chiffre et bloque l'accès aux données jusqu'à ce qu'une demande de rançon soit payée. Souvent, ils sont livrés Ransomware Par courrier électronique ou sur le Web.
Il y a deux catégories principales de Ransomware - Trésorerie et cryptage. Jouer Crypto ransomware Crypte tous les fichiers sur le périphérique affecté et ne les relit qu'une fois la rançon payée. Locker ransomware C'est plus simple et ne verrouille que les utilisateurs de l'appareil au lieu d'une rançon.
Éléments d'une réponse à une rançon
Comme pour toute autre forme de malware, la prévention est toujours la meilleure stratégie. Cependant, même si vous faites de votre mieux en matière de prévention et que vous tenez compte de la position dominante des organisations victimes d'une rançon, vous pouvez éviter cette attaque avec succès. Ce que vous faites lorsque cela se produit est essentiel pour que votre organisation puisse reprendre ses activités rapidement et avec peu ou pas de perte de la plupart de vos données précieuses. Voici certaines des actions de réponse les plus importantes que vous devriez entreprendre.
1. Sécurisez vos données avant toute action en réponse à une rançon
Effectuez une copie en lecture seule de l'ordinateur, de la machine virtuelle ou du périphérique de stockage infecté. Cela vous permet de protéger toute partie de vos données qui n’a pas été compromise, endommagée ou verrouillée par un ransomware. Cela garantit également que pendant que vous travaillez à réparer les dommages et à protéger vos informations, vous disposez toujours d'une version disponible qui servira de base pour commencer les travaux de réparation si nécessaire.
2. Suivi d'attaque
Nous avons déjà mentionné que les ransomwares s’infiltrent généralement dans votre réseau via un site Web ou un courrier électronique. Si vous savez d'où vient l'attaque, vous pouvez mieux suivre sa propagation ou l'arrêter avant qu'elle ne se propage davantage. Par exemple, si vous localisez des fichiers cryptés avec Ransomware , Assurez-vous que le compte d'utilisateur a été modifié pour la dernière fois.
Vous pouvez trouver cette information dans les journaux d'audit. Vous pouvez poursuivre ces connaissances et revenir en arrière jusqu'à ce que vous atterrissiez sur l'appareil ou l'utilisateur où tout a commencé. Pendant l'enquête, n'oubliez pas de couvrir tous les travailleurs à distance que vous pourriez avoir. Plus vous pouvez isoler et déconnecter les appareils concernés de votre réseau, plus le risque d'infection de nouveaux appareils est faible.
3. Évaluation d'impact
Face aux ransomwares, le premier réflexe consiste à prendre des mesures correctives immédiatement. Cependant, cela peut être une perte de temps et d’efforts précieux. Si la rançon se propage, chaque minute perdue signifie qu'un autre ordinateur se soumet à une attaque. Donc, avant que les actions défensives et correctives ne commencent, défaites le chaos et effectuez une évaluation approfondie des dégâts. Déterminez quoi, qui, quand et où l'incident s'est produit. Cette évaluation devrait être la base de votre plan d'action ultérieur.
4. Aviser les juristes
Une attaque de rançon est un incident criminel. Informez les organismes chargés de l'application de la loi que vous devez faire. Dans de nombreuses juridictions, la loi l'exige (par exemple, le PIB des organisations traitant des données relatives aux citoyens de l'UE). Commencez par la police locale, mais contactez également une agence nationale de cybersécurité.
Le non-signalement peut non seulement signifier que vous pouvez enfreindre les réglementations en matière de cybersécurité, mais également vous priver des ressources énormes dont disposent les forces de l'ordre pour résoudre le problème de manière concluante et sans aucun frais pour vous. Notez toutefois que les forces de l'ordre peuvent voir augmenter la rançon requise et, dans certains cas, empêcher la récupération des données.
5. Aviser les clients concernés
Aucune entreprise n'est désireuse d'annoncer à ses clients une attaque de rançon. C'est embarrassant et remet inévitablement en cause la capacité de l'entreprise à protéger les données sensibles des clients.
Il existe un risque que de nombreux clients choisissent de partir pour toujours. Toutefois, les conséquences potentielles de la non-notification des clients concernés sont beaucoup plus importantes que les inconvénients immédiats et les pertes d'activité pouvant résulter de la non-divulgation. De plus, les lois sur la confidentialité et la sécurité des données peuvent obliger l'entreprise à informer ses clients.
Dans tous les cas, la transparence est une chose que la plupart des clients voient de manière positive. Si vous prouvez que vous n'avez rien à cacher, il sera plus facile pour les parties prenantes de faire confiance pour résoudre le problème à la satisfaction de toutes les parties. La notification n'est pas liée au travail d'un seul communiqué de presse et l'étiquette est prête. Fournir des mises à jour régulières des progrès. Annoncez les ressources que vous avez fournies pour réduire la menace que représentent les données et la confidentialité.
6. Nettoyez votre système
Certaines institutions choisissent de payer la rançon afin de restaurer leurs systèmes dans les meilleurs délais. Cela peut sembler une solution rapide, mais le fait est que quiconque veut atteindre l'extrême pour chiffrer vos systèmes afin de vous empêcher de le faire n'est pas quelqu'un que vous pouvez transmettre à la banque.
Ainsi, que vous choisissiez ou non de payer la rançon, vous devez évaluer votre système après avoir nettoyé les restes du logiciel de ransomware, restaurer vos données dans un état antérieur à l'attaque et mettre au point des mesures qui rendent plus difficile la répétition d'une attaque similaire.
7. Mettre à jour votre système
Les développeurs de systèmes d’exploitation créent constamment des correctifs qui cherchent à combler les lacunes qui ont été exploitées par les ransomware dans le passé. En fait, les systèmes d'entreprise qui corrigent et mettent à jour régulièrement peuvent bloquer tous les ransomwares, à l'exception des plus récents. Mais même après une attaque réussie, exécutez des correctifs pour tous vos systèmes afin de réduire le risque d’un incident similaire à l’avenir.
La réponse de Ransomware n'est que le début du soulèvement
Bien que les astuces dont nous avons parlé ici soient utiles et pratiques, il n’ya pas de solution miracle pour répondre et récupérer les programmes de rançon. C'est l'une des raisons pour lesquelles les ransomwares ont connu une croissance aussi rapide parmi les cyber-attaquants. Cependant, ne rien faire n'est pas une option. Laissez ces conseils constituer la base de votre plan de réponse pour ransomware. Vous aurez une plus grande chance de restaurer vos systèmes en un seul morceau.