Les ransomwares comptent parmi les outils des pirates informatiques pour gagner de l’argent. Leur technique consiste en effet à crypter les fichiers des victimes et exiger le paiement d’une rançon, faute de quoi ils les supprimeront.
Par chance, il existe des gestes simples pour bloquer ces menaces.
Identification de l’origine du ransomware
L’infection par un logiciel malveillant de type ransomware débute généralement par la réception d’un mail contenant une pièce jointe.
Bien que celle-ci ne soit pas infectée, elle contient un fichier (ou macro) qui, après avoir été ouvert, va se connecter à un serveur à distance pour télécharger et installer progressivement le ransomware dans l’ordinateur de la victime.
Compréhension de son comportement
Se focaliser sur le contenu adressé à l’organisation pour cibler la protection contre les ransomwares est une bataille perdue d’avance.
Même en utilisant des sandboxes virtuelles, il n’est pas évident d’identifier les macros, leur comportement n’est en effet pas malveillant lors du scan et ne le devient qu’après avoir été installé dans l’ordinateur.
Il est donc recommandé aux organisations de se pencher davantage sur les indices d’origine du ransomware plutôt que sur son type.
Blocage de l’infection
Nombreux sont les ransomwares qui sont délivrés à partir d’adresses IP compromises, par chance, ces dernières ont tendance à être réutilisées continuellement et ce à cause de la pénurie d’IP.
Ainsi, même lorsqu’il s’agit d’une nouvelle forme de ransomware, ce dernier ne peut être lié qu’à un nombre restreint d’adresses IP malveillantes.
En d’autres termes, si un ordinateur essaie de télécharger des informations à partir d’une adresse IP compromise déjà identifiée, cela signifie qu’il entre dans le circuit d’une attaque de type ransomware.
Pour se mettre à l’abri de ce type d’attaque, il est donc conseillé de bloquer l’accès aux adresses IP malveillantes en utilisant un flux de renseignement de menaces (pensez à mettre de ce dernier régulièrement à jour).