De nombreuses entreprises internationales touchées par le ransomware NotPetya
Après WannaCry, c’est au tour de NotPetya d’attaquer les entreprises en cryptant leurs données informatiques. Le ransomware a d’abord attaqué l’Ukraine et la Russie puis des entreprises à l’international. Pour récupérer ses données, NotPetya demande une rançon de 300$.
Les attaques informatiques se sont multipliées ces derniers mois, et quelques semaines après, un nouveau Ransomware a sévi. Surnommé NotPetya par Kaspersky, ce cryptovirus s’infiltre sur les machines Windows en exploitant une faille de sécurité connue. Il a tout d’abord opéré contre de nombreuses entreprises en Ukraine et en Russie puis il s’est propagé dans de nombreux pays.
NotPetya demande Une rançon de 300$ pour décrypter les systèmes infectés
EternalBlue ! Cela ne vous parle peut-être pas et pourtant cet outil de la NSA (National Security Agency : agence de sécurité nationale américaine) est à l’origine des attaques Wannacry et Petya. En effet il exploite une faille de Windows qui a tout de même été corrigée par la firme américaine depuis sa découverte en mars dernier. Comment se fait- il qu’une attaque puisse donc l’exploiter ? Lorsqu’un patch de sécurité est créé, il faut que le terminal qui utilise le logiciel en question soit mis à jour pour appliquer le(s) correctif(s). Malheureusement, des dizaines de milliers de terminaux ne sont pas mis à jour et donc sous la menace. Le ransomware peut donc accéder à ces terminaux via l’envoi d’un email qui contient une pièce jointe infectée d’un programme malveillant. Une fois que l’utilisateur ouvre cette pièce jointe, NotPetya crypte les données du terminal et l’oblige à redémarrer. Lorsqu’il se relance, une demande de rançon de 300$ pour obtenir la clé de décryptage des données apparaît.
Est-il possible d’échapper à une attaque par ransomware pour une entreprise ?
La rentabilité de ces attaques pour les cybercriminels est telle qu’ils devraient continuer à opérer longtemps. Il y a quelques années, les entreprises pouvaient se poser la question de savoir si elles seraient attaquées un jour, aujourd’hui la question est plutôt « quand ? ». Partant de ce constat, une entreprise doit mettre en place une sécurité maximale qui repoussera 95% des attaques informatiques dont elle fait l’objet. On parle de Prévention et cela passe par 2 pratiques principales :
- Mettre à jour ses logiciels : majoritairement, les attaques informatiques exploitent des failles de sécurité qui, une fois découvertes, sont corrigées par l’éditeur. Cependant pour en bénéficier, les utilisateurs doivent faire des mises à jour.
- Installer des barrières de sécurité : les logiciels de type antivirus, anticrypto, antimalware, antispams, pare-feu sont indispensables car ils sont efficaces pour 99% des attaques.
La prévention est donc indispensable, cependant le risque zéro n’existe pas et lorsqu’une attaque pénètre le système de sécurité, il faut passer au niveau supérieur : la restauration. Lorsque tout ou partie de son système est infecté par un cryptovirus/ransomware, l’entreprise a 2 possibilités : soit elle paye la rançon pour (espérer) retrouver ses données, soit elle ne paye pas et elle perd définitivement ses données. Quand on sait que 80% des entreprises qui perdent leurs données font faillite dans les 2 ans, cette solution est donc inimaginable pour une entreprise. Cependant, certaines rançons peuvent atteindre des centaines de milliers de Dollars ! Alors comment faire ? L’entreprise doit, a minima, sauvegarder ses données (Backup), et au mieux son infrastructure avec un Plan de Reprise d’Activité (PRA) qui permet à l’entreprise de restaurer son système à l’identique pour reprendre son activité au plus vite.
Et vous ? Êtes-vous assuré de retrouver toutes vos données en cas d’attaque ?
[fc id=’124′ type=’popup’ placement=’inline’][/fc]