Suppression de ransomware

Qu’est-ce que la suppression d’un ransomware ?

Supprimer un ransomware consiste à éliminer un code malveillant dont le but est de chiffrer et de voler les données des systèmes avant d’exiger le paiement d’une rançon pour les restituer.

Les ransomwares sont des logiciels malveillants très prisés des cybercriminels. Ceux-ci s’en servent pour attaquer les entreprises qui utilisent des données très sensibles au quotidien, car les chefs d’entreprise sont souvent prompts à payer la rançon exigée pour s’en débarrasser.

Les entreprises peuvent anticiper efficacement la suppression des ransomwares en renforçant leurs environnements de sauvegarde au lieu d’attendre qu’une attaque par ransomware se produise. Les sauvegardes inaltérables (celles qui ne peuvent pas être modifiées) permettent de supprimer plus rapidement les ransomwares. Elles garantissent en effet que l’entreprise dispose d’une copie propre de ses données pour pouvoir récupérer suite à une attaque par ransomware. Les entreprises qui souhaitent renforcer leurs stratégies de cyber-résilience doivent impérativement savoir comment supprimer les ransomwares.

Comment supprimer un ransomware ?

Il peut être difficile de supprimer un ransomware de l’environnement d’une entreprise si celle-ci n’a pas pris de mesures de prévention. Selon une étude TechTarget sur l’état de préparation aux attaques par ransomware, même les entreprises qui paient une rançon et s’attendent à ce que le ransomware soit supprimé ne sont pas assurées de récupérer l’intégralité de leurs données une fois le paiement effectué. En effet, seules 14 % des entreprises ont déclaré avoir récupéré l’intégralité de leurs données après avoir versé une rançon.

Vous pouvez vous préparer de manière proactive aux attaques par ransomwares et les supprimer efficacement en vous appuyant sur :

• Prévention — Des méthodes de protection logicielle intégrant les principes du Zero Trust, notamment des contrôles d’accès stricts, le chiffrement et l’authentification, ainsi que des snapshots de sauvegarde inaltérables qui permettent aux équipes de supprimer plus rapidement les ransomwares et d’éviter tout paiement de rançon.
• Détection — Des capacités technologiques automatisées, notamment la détection d’anomalies, qui repèrent et signalent rapidement les attaques par ransomware en cours. Cela permet de supprimer plus facilement les logiciels malveillants, car les ransomwares n’ont pas le temps de se déplacer latéralement et d’infecter un grand nombre de systèmes internes.
• Récupération — Des capacités d’atténuation des menaces qui analysent rapidement les données à utiliser pour récupérer proprement les données hébergées dans des machines virtuelles, des bases de données et des appareils NAS à grande échelle, afin de supprimer rapidement le ransomware.

Comment supprimer un ransomware ?

Contrairement aux idées reçues, une attaque par ransomware ne signifie pas forcément que tout est perdu. Si l’entreprise était préparée aux menaces de ransomware, elle peut simplement utiliser une sauvegarde propre et inaltérable de ses données pour restaurer son environnement de production. Dans le cas contraire, elle a plusieurs options. Elle peut payer une rançon, ou exécuter certaines étapes de la suppression d’un ransomware, notamment :

• Isoler le système des réseaux internes et externes tels que l’Internet
• Analyser le système à l’aide d’outils de lutte contre les logiciels malveillants afin de déterminer la gravité de l’attaque et de réunir des preuves.
• Obtenir un outil de déchiffrement
• Restaurer à partir d’une sauvegarde
• Renforcer les systèmes de sauvegarde et de récupération pour inclure des capacités de récupération en cas d’attaque par ransomware

Récupérer à grande échelle suite à une attaque par ransomware est aujourd’hui un élément important des stratégies de suppression des ransomwares, car les cybercriminels sont inventifs. En effet, ces derniers les utilisent désormais rarement pour cibler et chiffrer un seul système, mais plutôt pour maximiser leur champ d’action, et volent notamment des informations lors d’attaques par ransomware à double extorsion.

Il est donc important de mettre en place un processus et des outils qui permettent de retrouver rapidement et facilement l’accès à toutes les données chiffrées lors d’une attaque par ransomware et récupérées à des fins lucratives par les acteurs malveillants. Les entreprises cyber-résilientes ont des plans efficaces de récupération suite à une attaque par ransomware qui protègent les données importantes et leur permettent de respecter des accords de niveau de service (SLA) exigeants.

Comment supprimer un ransomware de chiffrement ?

Il existe deux façons de supprimer un ransomware de chiffrement. La première est de payer la rançon et d’espérer récupérer toutes les données, sachant que seule une entreprise sur sept déclare avoir récupéré toutes ses données après avoir payé. La seconde est de restaurer l’environnement en utilisant une sauvegarde inaltérable des données de production (analysée et vérifiée pour qu’elles soient propres).

Combien coûte la suppression d’un ransomware ?

Le coût de la suppression d’un ransomware variera considérablement en fonction de l’ampleur et de la portée de l’attaque par ransomware, ainsi que de la taille et de la posture de préparation aux menaces de l’entreprise attaquée.

Lorsque le Sky Lakes Medical Center a été victime d’une attaque massive par ransomware en octobre 2020, le prestataire de soins a immédiatement contacté des experts de confiance pour constituer une équipe de sécurité et de gestion des données capable de réagir rapidement. Le personnel informatique de Sky Lakes a pu refuser de payer une rançon grâce aux snapshots de sauvegarde inaltérables, à DataLock et à d’autres protections intégrées qui permettent de dissuader, de détecter et de récupérer rapidement les données à grande échelle en cas d’attaque par ransomware.

La plateforme utilisée a permis d’éliminer les processus chronophages de récupération des sauvegardes sur bande, et ainsi de restaurer plus rapidement sans perdre de données. Un responsable des solutions technologiques de Sky Lakes a déclaré : « Si nous avions dû revenir aux bandes, il nous aurait fallu des semaines, et non des minutes, pour récupérer. Et… nous aurions perdu environ trois mois de données… nous n’avons rien perdu. »

Supprimer rapidement un ransomware est essentiel pour préserver :

• La confiance et la réputation de la marque
• Le chiffre d’affaires et la fidélité des clients
• La productivité des employés

Est-il possible de supprimer un ransomware en effaçant le contenu d’un ordinateur ?

Il est possible de supprimer un ransomware en effaçant le contenu d’un ordinateur, mais il est impossible d’effacer le contenu des ordinateurs et des serveurs à grande échelle pour supprimer un ransomware qui s’est propagé dans toute l’entreprise. Les entreprises investissent donc dans des solutions robustes de sécurité et de gestion des données, dotées de capacités anti-ransomware anti-ransomware telles que la récupération à grande échelle suite à une attaque par ransomware.

Quel est le meilleur logiciel de suppression de ransomware ?

Le meilleur logiciel de suppression de ransomware est celui qui permet à l’entreprise de reprendre ses activités le plus rapidement possible. Grâce à lui, les équipes doivent pouvoir récupérer sereinement et rapidement, en sachant que l’analyse et la vérification des vulnérabilités ont été faites pour éviter que les systèmes ne soient réinfectés par des ransomwares.

Cela dit, il vaut mieux réfléchir au meilleur logiciel de suppression de ransomware avant qu’une attaque par ransomware ne se produise. Les entreprises peuvent ensuite comparer et évaluer des solutions de sauvegarde et de récupération éprouvées et de pointe, qui leur permettent de se protéger, de détecter les menaces et de récupérer rapidement suite à une attaque par ransomware.

En cas d’attaque, il est possible de restaurer les données de sauvegarde dans une salle blanche afin de les décontaminer si l’on soupçonne la présence d’un ransomware Cela suppose d’identifier le ransomware à l’aide d’une analyse des menaces et d’antivirus, puis de supprimer les fichiers infectés. La sauvegarde doit en outre être analysée pour détecter les vulnérabilités à corriger. Il est possible de récupérer les données de sauvegarde une fois ces étapes terminées.

Cohesity et la suppression de ransomware

La préparation proactive aux attaques par ransomware que propose Cohesity pour optimiser la suppression des ransomwares comprend des capacités qui permettent aux entreprises de se protéger, de détecter les menaces et de récupérer rapidement en cas de violation.

Protection

• Des snapshots inaltérables — Tous les snapshots de sauvegarde stockés dans Cohesity sont par défaut inaltérables. Le snapshot original (aussi appelé « gold copy ») n’est jamais monté ou exposé à un système ou une application externe. En ce qui concerne la récupération, la seule façon d’écrire de nouvelles données ou de monter la sauvegarde en mode lecture-écriture est de créer un clone gratuit de la sauvegarde originale, ce qui est effectué automatiquement par le système.
• DataLock — Cette capacité WORM (write once, read many) de la sauvegarde permet de créer et d’appliquer une stratégie de protection basée sur les rôles à des snapshots de sauvegarde spécifiques. Il s’agit d’un paramètre temporel qui impose des intervalles de snapshots et qui ne peut pas être modifié (même par les administrateurs ou les responsables de la sécurité), ce qui renforce la protection contre les attaques par ransomware.
• Chiffrement des données — Le logiciel Cohesity est doté d’un module cryptographique validé par le National Institute of Standards and Technology (NIST) des États-Unis selon la norme 140-2 niveau 1 des Federal Information Processing Standards (FIPS), et est reconnu dans le monde entier. Cohesity chiffre les données en vol avec TLS 1.2, et les données au repos avec AES-256 GCM.
• Authentification multifacteur (MFA) — Cohesity prend en charge une authentification en plusieurs étapes, qui impose à l’utilisateur de fournir une information qu’elle « connaît » et quelque chose qu’elle « possède ». Elle intègre également des capacités d’autorisation, notamment une intégration forte de l’Active Directory, des listes de contrôle d’accès, et un audit complet au niveau du système et du produit.
• Contrôles d’accès basé sur des rôles (RBAC) —  Cohesity utilise les principes du Zero Trust pour contrôler étroitement l’accès à la plateforme et aux paramètres afin de réduire le risque d’accès non autorisé aux données et aux systèmes. Grâce à Cohesity, le service informatique peut accorder aux collaborateurs un niveau d’accès minimum en fonction de leur rôle.
• Quorum, ou la protection « des quatre yeux » — Il est possible de configurer les modifications des paramètres critiques, notamment les plannings de sauvegarde ou les périodes de rétention, pour qu’elles soient approuvées par plusieurs personnes. Cela permet de protéger les données et les systèmes contre les ransomwares et les menaces internes.

Détection

• Détection d’anomalies grâce à l’IA / au ML — Cohesity surveille automatiquement et en permanence les systèmes, et avertit les équipes lorsqu’elle détecte un comportement anormal des données susceptible d‘indiquer le début d’une attaque par ransomware.
• Protection contre les menaces — Cohesity peut analyser les sauvegardes à la recherche d’indicateurs de compromission (IOC) susceptibles de révéler l’existence d’un ransomware ou de tout autre logiciel malveillant pouvant servir à lancer une attaque.
• Alertes automatisées — Cohesity avertit automatiquement les administrateurs systèmes lorsque des modifications de données dans des fichiers non structurés, des fichiers structurés et des données d’objets ne sont pas conformes aux schémas normaux.
• Analyse des vulnérabilités — Grâce à Cohesity, les équipes peuvent avoir une meilleure visibilité des vulnérabilités et les traiter de manière proactive afin d’éviter de réinjecter des cyber-vulnérabilités déjà traitées dans les environnements de production lorsqu’elles récupèrent d’une attaque.

Récupération rapide

• Restauration massive instantanée Avec Cohesity, les équipes éliminent rapidement les ransomwares en restaurant simplement et instantanément l’accès à des centaines de machines virtuelles, de fichiers, d’objets et de grosses bases de données à partir de snapshots.
• Analyse du système — Cohesity CyberScan est la solution pour supprimer complètement et proprement les ransomwares, car il offre une visibilité approfondie sur les snapshots. Cela permet ainsi aux équipes de ne pas réinjecter de logiciels malveillants dans l’environnement de production.
• Isolation des données — Cohesity FortKnox est un coffre-fort dans le cloud géré par Cohesity. Il permet d’isoler les données stratégiques afin la dernière copie de données de sauvegarde propre soit toujours sécurisée hors site.