Les attaques par rançongiciels (ou ransomwares) contre des entreprises dépendent en grande partie de la capacité du pirate à voler les identifiants de connexion des comptes. Etant donné que les attaques orchestrées nécessitent un certain degré d’accès à un ordinateur, un compte ou un système réseau, l’une des meilleures mesures de protection contre les ransomwares est l’authentification multifacteur (MFA).
L’augmentation des coûts liés aux ransomwares
Bien que le coût de la cybercriminalité augmente, avec des dommages estimés à 6 000 milliards de dollars (en anglais) pour 2021, un sous-groupe bien particulier de cette industrie a fait payer le prix lourd aux entreprises.
Ce sous-groupe est celui des ransomwares, qui compte de nombreuses tactiques de cyberattaques telles que les virus, l’extorsion et le déni d’accès, et les regroupe en une seule attaque cohérente contre une entreprise dans le but de causer des dommages considérables.
Le haut niveau de sophistication de l’attaque par ransomware est la raison pour laquelle le montant total de ces rançons devrait atteindre les 20 milliards de dollars (en anglais) à la fin de 2021.
A quoi ressemble un ransomware ?
La façon dont est déployé le ransomware et son mode de fonctionnement peut varier selon les attaques. Le pirate peut utiliser la cryptographie ou le déni d’accès au système comme façon de déclencher une extorsion financière. Il peut également y avoir plusieurs niveaux de demandes de rançon (double extorsion) comme mesure de persuasion pour inciter la victime à payer.
Voici quelques exemples des principaux types de ransomware (ou rançongiciels) en action :
-
Le ransomware crypto:
Une victime (généralement un employé négligent) télécharge le virus depuis un email de phishing (ou hameçonnage) ou depuis un site internet, ce qui entrainera un cryptage des données et des fichiers de la victime.
Apparaitra alors un message instantané expliquant qu’il n’y a qu’en payant le pirate, généralement via des crypto-monnaies, que la victime recevra la clé de décryptage pour accéder à nouveau à ses données.
A l’instar des autres virus, celui-ci peut se propager du point d’entrée (le terminal infecté) vers d’autres appareils et lecteurs sur le réseau, en allant parfois même jusqu’au cloud, compromettant ainsi l’ensemble de l’organisation.
-
Le Ransomware Locker:
La victime (généralement un employé négligent) transmet ses informations de connexion lors d’une tentative d’un hameçonnage de la part du pirate.
Ce dernier, une fois les identifiants utilisés pour se connecter au système, désactive toutes les fonctions de l’ordinateur de la victime à l’exception d’une fenêtre instantanée expliquant la demande de rançon.
Le pirate débloquera les fonctions de l’ordinateur seulement après paiement.
-
Le ransomware par double extorsion:
Une entreprise est victime d’une attaque de ransomware Crypto.
En plus du cryptage des données et des fichiers, le pirate menace l’entreprise, définit une date limite après laquelle les données seront supprimées, vendues sur le marché noir ou rendues publiques si le paiement n’est pas effectué avant la fin du compte à rebours.
Une grande partie du succès d’une attaque par ransomware contre une entreprise, dépend de la capacité du pirate à récupérer les identifiants de connexion des comptes de cette même société. Cela se fait généralement via des méthodes d’ingénierie sociale ou telles que les tentatives de phishing ou de hameçonnage (en anglais).
Une fois acquis, le pirate informatique peut tenter de déployer une attaque de Ransomware Locker sur un appareil ou alors il peut envoyer un logiciel malveillant téléchargeable à l’ensemble des autres employés en se faisant passer pour une personne de confiance et ainsi déployer une attaque de Ransomware Crypto.
Puisque les attaques orchestrées requièrent d’avoir un accès à un ordinateur, à un compte ou à un système réseau, l’authentification multifacteur (MFA) reste l’un de meilleurs moyens de défense contre les ransomwares.
Empêcher les Ransomwares grâce à la MFA
L’authentification multifacteur (MFA), par défaut, peut diminuer le risque de rançongiciel puisqu’elle demande une authentification supplémentaire, par le biais d’un autre mot de passe, d’un autre appareil ou d’un indicateur biométrique. Cela signifie que si un escroc dispose des informations de connexion pour accéder à votre compte ou à votre système réseau, il aurait besoin de cet authentifiant supplémentaire pour obtenir l'accès et commencer le processus de déploiement du ransomware.
L’application de la MFA de UserLock
UserLock peut appliquer les exigences de la MFA à l’ensemble des connexions des utilisateurs sur Windows Active Directory (AD). Une fois appliquées, les utilisateurs seront priés d’utiliser l’une des applications d’authentification supportées par UserLock ou bien un jeton logiciel programmable tel que YubiKey ou Token2.
-
Les fonctionnalités d’application de la MFA de UserLock ne sont pas limitées au type de connexion.
Les administrateurs systèmes peuvent exiger la MFA pour l’ensemble des utilisateurs, y compris ceux travaillant à distance. Cela est d’autant plus important que les cybercriminels connaissent bien les vulnérabilités de sécurité des connexions à distance. Donc s’ils identifient une entreprise pratiquant le télétravail ou le modèle hybride qui nécessite une connectivité distante, cette entreprise deviendra une cible.
-
UserLock peut étendre encore plus ses capacités d'application de l'authentification en se protégeant contre différents types d'"accès hors ligne".
La MFA peut être requise tant pour les utilisateurs qui travaillent à distance et qui ne sont pas connectés au réseau de l’entreprise, que pour ceux travaillant sur site sans accès à internet. Dans ces situations, bien que le ransomware ne puisse pas se propager aux autres appareils informatiques par manque de connexion au réseau de l’entreprise, il peut toujours compromettre l’appareil de cet utilisateur en particulier qui peut tout de même contenir des données sensibles, ce qui rend la MFA utile et nécessaire pour une bonne sécurité.
-
Il existe également une personnalisation de la MFA circonstancielle qui permet aux administrateurs de décider quels scénarios de connexion nécessiteront la MFA.
Par exemple, il est possible de définir des conditions de MFA pour savoir quand doit être exigée la MFA. Les administrateurs systèmes ont la possibilité d’exiger la MFA à chaque connexion, à la première connexion, selon une fréquence par exemple chaque X nombre de jours, mais aussi chaque fois que la connexion a lieu sur une IP différente. Indépendamment du moment où l'authentification MFA est demandée, si un pirate dispose d'informations de connexion mais que l'entreprise utilise la gestion circonstancielle de la MFA de UserLock, son complot de ransomware peut être déjoué car, à un moment donné, il aura besoin d’une authentification supplémentaire pour lancer son programme malveillant.
La surveillance grâce à la MFA de UserLock pour empêcher les ransomwares
L’execution de la MFA fonctionne mieux pour se protéger des ransomwares, lorsqu’elle comprend un système de surveillance de l’activité de la MFA. UserLock vous permet de suivre les événements liés à la MFA en fournissant des données sur les connexions MFA réussies, sur les tentatives de MFA annulées, sur les tentatives de MFA échouées, sur les demandes d’aide pour la MFA de la part des utilisateurs et sur les configurations de MFA remises à plus tard.
Les administrateurs systèmes sont alertés en temps réel sur les demandes de MFA de la part des utilisateurs lorsqu’ils souhaitent réinitialiser la clé MFA ou désactiver la MFA sur une connexion spécifique. Selon les restrictions contextuelles définies pour l’accès au système, un administrateur système peut même souhaiter recevoir des notifications en cas d'échec d'une tentative MFA pour suivre l'incubation d'une attaque potentielle de ransomware.
Par exemple, imaginons qu’un cybercriminel a obtenu un ensemble d’identifiant de connexion d’un utilisateur via un complot d’ingénierie sociale tel qu’un email de phishing ou une page de site web falsifiée. Par la suite, il va essayer de se connecter au réseau de l’entreprise via un VPN en utilisant ces informations de connexion, il constate que la MFA est exigée à chaque connexion. Il va donc essayer de deviner le code à six chiffres mais il échoue, ce qui alerte l’administrateur système d’une tentative de MFA ratée.
Immédiatement après la découverte, l’administrateur a la possibilité de réinitialiser la MFA dans le cas où il s’agirait de l’employé. Mais après une seconde tentative infructueuse, il peut refuser l’accès à la session, informer l’employé que ses identifiants ont été compromis et que cela nécessite une modification de l’ensemble de ses mots de passe.
Il est temps d’agir face aux ransomware
UserLock offre une plateforme sécurisée facile à maîtriser et qui fournit des fonctionnalités de sécurité de haut niveau pour la gestion et le contrôle des exigences de la MFA, ce qui permet à votre entreprise d'empêcher l'accès aux applications et aux systèmes, la principale cause des attaques par ransomware.
Outre la possibilité pour UserLock d'imposer des règles de la MFA afin de protéger les sessions de travail à distance vulnérables, telles que le VPN et le RDP, contre les ransomwares, UserLock peut également protéger l'accès à Microsoft 365 et à d'autres applications cloud grâce à l'authentification unique (SSO) sécurisée et à l'application MFA.