Brève : Recrudescence des risques pour les entreprises

Cet article a pour objectif d'attirer votre attention sur 2 phénomènes relativement nouveaux qui visent les entreprises :

• les attaques par ransomware se tournent vers les entreprises,
• la destruction du SI par des malwares "wipers" devient plus fréquent.

Ransomwares visant les entreprises

Par le passé, les ransomwares ont avant tout visé les particuliers. Par exemple, les attaques de type "faux antivirus" (voir notre article de 2009), ou les infections en 2012 par le "malware de la police" (aussi appelé "Reveton", voir cette description par F-Secure) avaient comme objectif d'extorquer quelques dizaines d'euros aux internautes victimes. De la même façon les 1er crypto-ransomware (par exemple CryptoLocker en octobre 2013) visaient les particuliers. Bien sur les entreprises ont aussi été victimes de ces vagues d’attaque, mais elles n’étaient pas spécifiquement visées.

Depuis le début de l'année 2015, les choses évoluent :

• début 2015 apparaissent des crypto-ransomwares conçus pour s’attaquer aux bases de données (voir cet article SecurityWeek.com et cet article EmergingThreats.info).
• mi-2015, certaines des campagnes Dridex ont utilisé des messages visant spécifiquement les entreprises (envoi de fausses factures par mail)
• début 2016 un crypto-ransomware utilisant les GPO (les "Group Policies" de Windows, typiquement utilisés dans les entreprises) a aussi été identifié (voir cet article de SecureWorks.com et cet autre article).

Le fait d'utiliser les GPO montre que les attaquants cherchent des moyens de propagation à l’intérieur de l’entreprise. Grace aux GPO, le malware peut en effet infecter tous les postes d'un domaine. S'il déclenche ensuite le chiffrement de tous les documents sur les postes infectés, il provoquera un incident majeur et le blocage du SI de l'entreprise visée.

Ces trois éléments montrent que les cyber-criminels commencent à cibler les entreprises. Dans le passé, on a vu des cas de chantages où les cyber-criminels ont demandé une rançon en menaçant les entreprises visées d'attaques DDOS. On a vu également des cas où les attaquants menaçaient de publier des données volées à l'entreprise. On peut s'attendre désormais à des cas de chantage où les cybercriminels menaceront les entreprises de mettre hors service tous les postes de l'entreprise (qu'ils auront préalablement infectés), ou à d’autres formes d’attaques visant spécifiquement les entreprises

Destruction du SI par des malwares "wipers"

Le second phénomène sur lequel nous souhaitions attirer votre attention est celui des attaques destructives. Nous avons déjà évoqué ce risque dans notre bilan annuel sur les attaques de 2015 (cf. le chapitre 2.4) et dans la « Une » de notre bulletin mensuel d'avril 2015. Les attaques ayant visées Sony Picture Entertainment fin 2014 ou TV5-Monde en avril 2015 se sont toutes deux terminées par la mise hors service par l'attaquant de l'ensemble des postes infectés dans l'entreprise (le malware écrase le MBR du disque dur ce qui empêche un redémarrage de l'ordinateur touché), ce qui a provoqué un incident majeur dans ces entreprises (perte de l'informatique).

Les entreprises doivent donc envisager ce risque. Pour y faire face, nous recommandions dans notre bulletin d'avril 2015 de cloisonner les réseaux (pour limiter la propagation des infections) et de vérifier que les plans de reprises après incident prévoient le cas où l'incident a été provoqué par un attaquant malveillant.