Nous vous en parlions dans notre Newsletter précédente, les « ransomwares » se propagent à vitesse grand V sur internet. L’actualité de la sécurité informatique de cette semaine ne fait que confirmer nos propos.
En effet, un nouveau venu, baptisé « Petya », fait son apparition parmi ces « malwares » spécialisés dans l’extorsion de fonds.
Celui-ci se distingue des autres « ransomwares » par plusieurs caractéristiques mais son objectif final reste le même, le racket informatique.
La cible a changé
Tandis que « Locky », dont nous vous parlions la semaine dernière, prenait pour cible tous les utilisateurs, qu’ils soient particuliers ou professionnels,« Petya », quant à lui semble prendre pour unique cible les professionnels. Les établissements de santé représentent une cible de choix, et sont largement impactés à travers le monde entier.
En ciblant les entreprises, les gains potentiels sont démultipliés pour deux raisons très simples.
Tout d’abord une entreprise a de bien plus important moyens financiers qu’un simple particulier.
De plus, si un particulier peut accepter l’idée de perdre ses fichiers personnels, tels que photos, musiques et films, il n’en va pas de même pour une entreprise, qui ne peut se passer de ses données informatiques, même une seule journée.
Toujours diffusé par email, comme pour ses prédécesseurs, « Petya » est avant tout envoyé au service des ressources humaines sous la forme de Curriculum Vitae téléchargeable, le plus souvent via le service « Dropbox ».
Encore plus agressif
La méthode reste la même, s’installer, chiffrer les données, et enfin exiger une rançon.
Oui, mais cette fois, c’est l’ensemble des disques durs qui sont chiffrés, fichiers systèmes inclus.
Pour ce faire, ce « malware », dès son activation, altère la séquence de démarrage de l’ordinateur, puis provoque un plantage de Windows. L’ordinateur redémarre sur la séquence de « boot » fraîchement modifiée. Un message indique qu’une vérification des disques est en cours mais c’est en fait le chiffrement des disques qui vient de se dérouler.
Cette fois, ce sont toutes les données qui sont prises en otage …
Désormais Windows ne se lance plus, seul un message laconique indique à l’utilisateur comment payer la rançon.
Pression psychologique
À cette nouvelle méthode technique s’ajoute une pression psychologique de poids. Si la victime ne paye pas dans les 7 jours qui suivent l’attaque, alors le montant de la rançon sera doublé.
L’objectif est clairement de forcer la main des malheureux utilisateurs en augmentant le niveau de stress et ainsi leur extorquer la somme exigée encore plus rapidement.
Outre-Atlantique aussi les « ransomwares » s’activent
Les entreprises ainsi que les administrations américaines subissent également une vague d’attaques de « ransomware » sans précédent. Une version nommée MSIL/Samas.A, se répand dans tout le pays. À tel point que la section « cyber crime » du FBI s’est emparée du sujet et publie divers documents « Flash Notification » afin d’apporter son aide aux entreprises et administrations du pays.
Réaction et protection
Les éditeurs d’antivirus commencent à proposer des vaccins contre ces nouvelles menaces, toutefois la nature polymorphique de ces virus limite l’efficacité de cette réponse. De fait, une solution antivirus seule ne suffira pas.
La réalisation d’un audit de sécurité effectué en amont permettra de détecter les points faibles du S.I. et d’apporter les solutions qui minimiseront les probabilités que ces attaques puissent aboutir. GPLExpert peut vous accompagner dans cette démarche avec des offres d’audit clé en main et conçues spécifiquement pour les établissements de santé.
La sensibilisation et la formation du personnel, et plus particulièrement du personnel attaché au service des ressources humaines sont également à privilégier en réponse à cette menace.
Face à la corruption des données, les sauvegardes restent la meilleure solution, mais face à une attaque qui mêle à la fois corruption des données et corruption du système d’exploitation, un Plan de Reprise d’Activité complet est indispensable.
Seule l’anticipation, par la mise en place de procédures de sécurisation permettra au SI de résister à cette menace, qui est en toute vraisemblance, la menace informatique de l’année 2016.
La question n’est plus de savoir si votre SIH va subir une attaque, mais si votre SIH est prêt à y faire face !