Actuellement, près de 60 % des attaques de ransomware menées manuellement impliquent un chiffrement malveillant à distance. Poursuivez votre lecture pour en savoir plus sur ce vecteur d’attaque de ransomware très répandu et sur les capacités optimales de protection de Sophos.
Qu’est-ce qu’une attaque de ransomware à distance ?
On parle d’attaque de ransomware à distance, ou de chiffrement à distance malveillant, lorsqu’un terminal compromis est utilisé pour chiffrer des données sur d’autres appareils connectés au même réseau.
Dans le cas d’attaques manuelles, les attaquants tentent en général de déployer le ransomware directement sur les machines qu’ils veulent chiffrer. Les attaquants abandonnent rarement lorsque leur première tentative est bloquée (par exemple, par des technologies de sécurité sur les appareils cibles) et choisissent plutôt de recourir à une autre approche puis de réessayer, encore et encore.
Une fois que les auteurs de l’attaque parviennent à compromettre une machine, ils peuvent exploiter l’architecture de domaine de l’organisation pour chiffrer les données sur les machines reliées à un domaine administré. Toute l’activité malveillante (intrusion, exécution de la charge utile et chiffrement) se produit sur la machine compromise, ce qui permet de contourner les piles de sécurité modernes. Seul le transfert de documents vers et depuis d’autres machines indique que le système a été compromis.
80 % des cas de chiffrements à distance malveillantsproviennent d’appareils non administrés sur le réseau, bien que certaines partent de machines qui ne disposent pas des défenses nécessaires pour empêcher l’intrusion des attaquants.
Pourquoi les ransomwares à distance sont-ils si répandus ?
Le recours massif à cette stratégie s’explique en grande partie par son caractère évolutif : un seul terminal non administré ou insuffisamment protégé suffit à exposer l’ensemble des équipements d’une entreprise à un chiffrement malveillant, même si tous les autres appareils sont équipés d’une solution de sécurité Endpoint de dernière génération.
Pour ne rien arranger, les attaquants disposent d’un large arsenal de variantes de ransomware pour mener à bien leurs attaques. Nombre de familles de ransomwares bien connues prennent en charge le chiffrement à distance malveillant, notamment Akira, BitPaymer, BlackCat, BlackMatter, Conti, Crytox, DarkSide, Dharma, LockBit, MedusaLocker, Phobos, Royal, Ryuk et WannaCry.
Par ailleurs, la plupart des produits de sécurité Endpoint s’avèrent inefficaces dans ce scénario, car ils se concentrent sur la détection des fichiers et processus malveillants des ransomwares sur le dispositif protégé. Mais dans le cas des attaques par chiffrement à distance, les processus s’exécutent sur la machine compromise, si bien que l’activité malveillante passe au travers des systèmes de protection Endpoint.
Fort heureusement, Sophos Endpoint est doté d’une défense robuste contre le chiffrement à distance malveillant, grâce à notre protection CryptoGuard, leader sur le marché.
Sophos CryptoGuard : protection anti-ransomware universelle, à la pointe de l’industrie
Sophos Endpoint intègre plusieurs couches de protection pour défendre les entreprises contre les ransomwares, y compris CryptoGuard, notre technologie anti-ransomware unique, incluse dans toutes les licences Sophos Endpoint.
Là où les solutions de sécurité Endpoint classiques recherchent uniquement les fichiers et processus malveillants, CryptoGuard analyse les fichiers de données pour rechercher tout signe de chiffrement malveillant, quel que soit l’emplacement d’exécution des processus. Cette approche le rend très efficace contre toutes les formes de ransomware, y compris le chiffrement à distance malveillant. S’il détecte un chiffrement malveillant, CryptoGuard bloque automatiquement l’activité et déchiffre les fichiers attaqués pour les remettre dans leur état d’origine.
CryptoGuard exécute un puissant algorithme d’analyse des contenus lors des opérations de lecture et d’écriture des fichiers, afin de rechercher activement les chiffrements malveillants. Cette approche universelle est unique dans l’industrie et permet à Sophos Endpoint de bloquer les attaques de ransomwares qui passent sous les radars des solutions classiques, y compris les attaques à distance et les variantes de ransomwares jamais vues auparavant.
Détecte le chiffrement malveillant en analysant le contenu des fichiers
À la différence des autres solutions qui abordent les ransomwares dans une perspective anti-malware en se concentrant sur la détection de codes malveillants, CryptoGuard analyse les contenus à l’aide d’algorithmes mathématiques afin de repérer les chiffrements massifs et rapides de fichiers.
Bloque les attaques de ransomware locales et à distance
Comme CryptoGuard se concentre sur le contenu des fichiers, les tentatives de chiffrement par ransomware peuvent être détectées même lorsque le processus malveillant n’est pas en cours d’exécution sur l’appareil de la victime.
Annule automatiquement tout chiffrement malveillant
Lorsqu’il détecte un chiffrement de masse, CryptoGuard crée des sauvegardes temporaires des fichiers modifiés et annule automatiquement les modifications indésirées en restaurant les fichiers vers leur état d’origine sain. Sophos fait appel à une approche propriétaire, contrairement à d’autres solutions qui reposent sur l’utilisation de Windows Volume Shadow Copy, une méthode notoirement déjouée par les attaquants. Cette solution n’impose aucune limite quant à la taille et au type de fichier pouvant être récupéré, ce qui minimise l’impact sur la productivité de l’entreprise.
Bloque automatiquement les appareils distants
En cas d’attaque de ransomware à distance, CryptoGuard bloque automatiquement l’adresse IP de l’appareil distant qui tente de chiffrer des fichiers sur la machine de la victime.
Protège l’enregistrement de démarrage principal (MBR)
CryptoGuard permet aussi de protéger l’appareil contre les ransomwares qui chiffrent l’enregistrement de démarrage principal (et empêchent donc le démarrage) et contre les attaques qui formatent le disque dur.
Figurant au nombre des fonctionnalités exclusives de Sophos Endpoint, CryptoGuard est inclus dans tous les abonnements à Sophos Intercept X Advanced, Sophos XDR et Sophos MDR. Précisons que cette fonctionnalité est activée par défaut, ce qui garantit aux entreprises une protection complète contre les attaques de ransomware locales et à distance, sans qu’aucun réglage ou configuration ne soit nécessaire.
Découvrez les appareils non protégés
Un seul poste non protégé suffit à exposer l’organisation de vos clients à une attaque de chiffrement à distance. Le déploiement de Sophos Endpoint procure une protection universelle robuste contre les ransomwares et le chiffrement malveillant. Mais comment vos clients peuvent-ils savoir si des appareils non protégés sont connectés à leur réseau ?
C’est là que Sophos Network Detection and Response (NDR) entre en jeu. Sophos NDR surveille le trafic réseau pour détecter les flux suspects et, ce faisant, identifie les appareils non protégés et les actifs malveillants dans l’environnement.
Pour bénéficier d’une protection optimale contre les attaques de ransomware à distance, il est recommandé d’installer Sophos Endpoint sur toutes les machines des clients dans l’environnement et de déployer Sophos NDR pour découvrir les appareils non protégés sur le réseau.
Une opportunité unique
Tirez parti de cette capacité différenciée de protection contre les ransomwares dans Sophos Endpoint pour générer de nouvelles opportunités de vente et des renouvellements dès aujourd’hui. Cette solution est particulièrement utile pour éviter que les clients ne délaissent Sophos au profit de Microsoft Defender : le coût moyen pour remédier à une attaque par ransomware s’élevant à 1,82 million de dollars. Demandez à vos clients s’ils ont les moyens de subir une telle attaque.
Partagez les nouvelles ressources suivantes avec vos clients et profitez pleinement de cette opportunité unique :
- Article Sophos News : qu’est-ce qu’un ransomware à distance, pourquoi la plupart des entreprises y sont exposées et comment Sophos Endpoint y met fin.
- Vidéo promotionnelle de 2 minutes : excellente accroche pour les réseaux sociaux.
- Vidéo explicative d’expert : Peter Mackenzie (Directeur, réponse aux incidents) explique ce qu’est un ransomware à distance.
Nous proposons également les ressources suivantes à télécharger sur le Portail Partenaires :
- Guide Sophos sur le ransomware à distance expliquant ce qu’est un ransomware à distance, pourquoi la plupart des entreprises y sont exposées et comment Sophos Endpoint y met fin.
- Vidéo de présentation de l’opportunité de vente
- PowerPoint contenant de nouvelles diapos à intégrer à vos propres présentations.
- Emails marketing pour promouvoir le livre blanc et le webinaire.
Accéder à la Bibliothèque de ressources
De plus, c’est l’occasion idéale de parler de Sophos NDR !
80 % des attaques de ransomware à distance sont lancées à partir d’un appareil non administré. Comme décrit ci-dessus, saisissez cette opportunité pour rappeler combien il est important de savoir ce qui se trouve sur le réseau de vos clients et présentez Sophos NDR – désormais disponible pour Sophos MDR et Sophos XDR.