Espace personnel

Mot de passe oublié

Vous êtes ici

Vigilance : attaque Ransomware sur serveur dans la région

Vigilance : attaque Ransomware sur serveur dans la région

Si ce phénomène n’a rien d’inédit, le mode d’attaque quant à lui doit inquiéter.

Dernièrement, de nombreuses entreprises et institutions territoriales rhônalpines ont été victimes d’une attaque par ransomware (logiciel rançonneur) de type « SODINOKIBI», une variante issue de la famille « GRANDCRAB ».

Jusqu’à présent ce type d’atteinte était essentiellement le fruit de campagnes de mails avec liens ou pièces jointes infectées.

Dans le cas présent, il est établi que les serveurs des entités touchées ont été directement ciblés.

L’attaquant est parvenu à s’y introduire après avoir scanné les ports ouverts. Une fois la faille décelée (port ouvert + faille du logiciel de supervision KASEYA), il a pu procéder au chiffrement des données.

L’intervention rapide des informaticiens a toutefois permis de limiter les dégâts mais certaines sociétés ayant leurs sauvegardes non externalisées (et qui ont été chiffrées lors de l’attaque) ont vu leurs activités fortement impactées.

A l’instar des attaques classiques, le ransomware a introduit dans le système un fichier contenant les instructions pour un paiement en bitcoins, monnaie virtuelle intraçable. En vue d’obtenir la clé de déchiffrement, les victimes doivent débourser des sommes comprises entre 640 000 et 700 000 dollars américains.

Que faire pour éviter une attaque ?

  • Effectuez quotidiennement la sauvegarde des données sur des supports isolés du réseau
  • Externaliser les sauvegardes serait la solution idéale.
  • Si vous êtes équipé de l'outil de supervision KASEYA, le désinstaller de toutes vos machines s'il ne sert plus, sinon, appliquez les mises à jours.
  • Demandez au service informatique de fermer les ports des serveurs non nécessaires à son bon fonctionnement
  • Mettez à jour vos systèmes d'exploitation, logiciels, solutions de sécurité et applications
  • Installez des solutions de sécurité sur les postes de travail et se les serveurs de l'entreprise
  • N'ouvrez pas les pièces jointes ou les liens contenus dans des courriels dont l'expéditeur est inconnu
  • Sensibilisez régulièrement l'ensemble des salariés aux problématiques de sécurité informatique (cf. le Kit de sensibilisation pour lutter contre la cybermalveillance développé par cybermaveillance.gouv.fr )
  • Ne naviguez pas sur internet via le réseau de l'entreprise depuis un compte ayant des privilèges Administrateur. La création de comptes Utilisateurs est primordiale.
  • Utilisez des mots de passes forts et les changer régulièrement.

Que faire si malgré tout il y a une attaque ?

  • Isolez immédiatement la machine compromise en la déconnectant du réseau
  • Prenez en photo les écrans et notez l'ensemble des actions réalisées
  • Contactez rapidement le responsable informatique ou la société de maintenance. Vérifiez l'intégralité du réseau, désinfectez les postes et restaurer les données
  • Changez l'ensemble des mots de passe (serveurs et ordinateurs) et verrouillez l'ensemble des ports des serveurs
  • Ne jamais payer la rançon exigée
  • Communiquez immédiatement sur l'attaque auprès de l'ensemble des utilisateurs
  • Déposez plainte auprès du service de gendarmerie ou de police territorialement compétent
  • Prévenez votre assurance pour éventuellement mettre en route la procédure d'indemnisation dans le cas où un contrat risques cyber aurait été souscrit.

Téléchargez le message de la Sécurité économique territoriale

La CCI de l'Ain accompagne les entreprises sur la cybersécurité avec notamment un webinaire le 12/06/2020 "Cybersécurité : comment protéger votre entreprise des escroqueries du web ?"

Une question ? Prenez contact avec la CCI de l'Ain.