{"id":7116,"date":"2023-12-07T16:12:20","date_gmt":"2023-12-07T15:12:20","guid":{"rendered":"https:\/\/partnernews.sophos.com\/fr-fr\/?p=7116"},"modified":"2023-12-15T12:03:13","modified_gmt":"2023-12-15T12:03:13","slug":"remote-ransomware-protection-a-huge-sophos-endpoint-differentiator","status":"publish","type":"post","link":"https:\/\/partnernews.sophos.com\/fr-fr\/2023\/12\/products\/remote-ransomware-protection-a-huge-sophos-endpoint-differentiator\/","title":{"rendered":"Sophos Endpoint\u00a0: protection de pointe contre les attaques de ransomwares \u00e0 distance"},"content":{"rendered":"

Actuellement, pr\u00e8s de 60\u00a0% des attaques de ransomware men\u00e9es manuellement impliquent un chiffrement malveillant \u00e0 distance<\/a>. Poursuivez votre lecture pour en savoir plus sur ce vecteur d\u2019attaque de ransomware tr\u00e8s r\u00e9pandu et sur les capacit\u00e9s optimales de protection de Sophos.<\/p>\n

Qu\u2019est-ce qu\u2019une attaque de ransomware \u00e0 distance\u00a0?<\/h2>\n

On parle d\u2019attaque de ransomware \u00e0 distance, ou de chiffrement \u00e0 distance malveillant, lorsqu\u2019un terminal compromis est utilis\u00e9 pour chiffrer des donn\u00e9es sur d\u2019autres appareils connect\u00e9s au m\u00eame r\u00e9seau.<\/strong><\/p>\n

Dans le cas d\u2019attaques manuelles, les attaquants tentent en g\u00e9n\u00e9ral de d\u00e9ployer le ransomware directement sur les machines qu\u2019ils veulent chiffrer. Les attaquants abandonnent rarement lorsque leur premi\u00e8re tentative est bloqu\u00e9e (par exemple, par des technologies de s\u00e9curit\u00e9 sur les appareils cibles) et choisissent plut\u00f4t de recourir \u00e0 une autre approche puis de r\u00e9essayer, encore et encore.<\/p>\n

Une fois que les auteurs de l\u2019attaque parviennent \u00e0 compromettre une machine, ils peuvent exploiter l\u2019architecture de domaine de l\u2019organisation pour chiffrer les donn\u00e9es sur les machines reli\u00e9es \u00e0 un domaine administr\u00e9. Toute l\u2019activit\u00e9 malveillante (intrusion, ex\u00e9cution de la charge utile et chiffrement) se produit sur la machine compromise, ce qui permet de contourner les piles de s\u00e9curit\u00e9 modernes. Seul le transfert de documents vers et depuis d\u2019autres machines indique que le syst\u00e8me a \u00e9t\u00e9 compromis.<\/p>\n

80\u00a0% des cas de chiffrements \u00e0 distance malveillantsproviennent d\u2019appareils non administr\u00e9s sur le r\u00e9seau<\/a>, bien que certaines partent de machines qui ne disposent pas des d\u00e9fenses n\u00e9cessaires pour emp\u00eacher l\u2019intrusion des attaquants.<\/p>\n

Pourquoi les ransomwares \u00e0 distance sont-ils si r\u00e9pandus\u00a0?<\/h2>\n

Le recours massif \u00e0 cette strat\u00e9gie s\u2019explique en grande partie par son caract\u00e8re \u00e9volutif\u00a0: un seul terminal non administr\u00e9 ou insuffisamment prot\u00e9g\u00e9 suffit \u00e0 exposer l\u2019ensemble des \u00e9quipements d\u2019une entreprise \u00e0 un chiffrement malveillant, m\u00eame si tous les autres appareils sont \u00e9quip\u00e9s d\u2019une solution de s\u00e9curit\u00e9 Endpoint de derni\u00e8re g\u00e9n\u00e9ration.<\/p>\n

Pour ne rien arranger, les attaquants disposent d\u2019un large arsenal de variantes de ransomware pour mener \u00e0 bien leurs attaques. Nombre de familles de ransomwares bien connues prennent en charge le chiffrement \u00e0 distance malveillant, notamment Akira, BitPaymer, BlackCat, BlackMatter, Conti, Crytox, DarkSide, Dharma, LockBit, MedusaLocker, Phobos, Royal, Ryuk et WannaCry.<\/p>\n

Par ailleurs, la plupart des produits de s\u00e9curit\u00e9 Endpoint s\u2019av\u00e8rent inefficaces dans ce sc\u00e9nario, car ils se concentrent sur la d\u00e9tection des fichiers et processus malveillants des ransomwares sur le dispositif prot\u00e9g\u00e9<\/em>. Mais dans le cas des attaques par chiffrement \u00e0 distance, les processus s\u2019ex\u00e9cutent sur la machine compromise, si bien que l\u2019activit\u00e9 malveillante passe au travers des syst\u00e8mes de protection Endpoint.<\/p>\n

Fort heureusement, Sophos Endpoint est dot\u00e9 d\u2019une d\u00e9fense robuste contre le chiffrement \u00e0 distance malveillant, gr\u00e2ce \u00e0 notre protection CryptoGuard, leader sur le march\u00e9.<\/p>\n

Sophos CryptoGuard\u00a0: protection anti-ransomware universelle, \u00e0 la pointe de l\u2019industrie<\/h2>\n

Sophos Endpoint int\u00e8gre plusieurs couches de protection pour d\u00e9fendre les entreprises contre les ransomwares, y compris CryptoGuard, notre technologie anti-ransomware unique, incluse dans toutes les licences Sophos Endpoint.<\/p>\n

L\u00e0 o\u00f9 les solutions de s\u00e9curit\u00e9 Endpoint classiques recherchent uniquement les fichiers et processus malveillants, CryptoGuard analyse les fichiers de donn\u00e9es pour rechercher tout signe de chiffrement malveillant, quel que soit l\u2019emplacement d\u2019ex\u00e9cution des processus. Cette approche le rend tr\u00e8s efficace contre toutes les formes de ransomware, y compris le chiffrement \u00e0 distance malveillant. S\u2019il d\u00e9tecte un chiffrement malveillant, CryptoGuard bloque automatiquement l\u2019activit\u00e9 et d\u00e9chiffre les fichiers attaqu\u00e9s pour les remettre dans leur \u00e9tat d\u2019origine.<\/p>\n

CryptoGuard ex\u00e9cute un puissant algorithme d\u2019analyse des contenus lors des op\u00e9rations de lecture et d\u2019\u00e9criture des fichiers, afin de rechercher activement les chiffrements malveillants. Cette approche universelle est unique dans l\u2019industrie et permet \u00e0 Sophos Endpoint de bloquer les attaques de ransomwares qui passent sous les radars des solutions classiques, y compris les attaques \u00e0 distance et les variantes de ransomwares jamais vues auparavant.<\/p>\n

D\u00e9tecte le chiffrement malveillant en analysant le contenu des fichiers
\n<\/strong>\u00c0 la diff\u00e9rence des autres solutions qui abordent les ransomwares dans une perspective anti-malware en se concentrant sur la d\u00e9tection de codes malveillants, CryptoGuard analyse les contenus \u00e0 l\u2019aide d\u2019algorithmes math\u00e9matiques afin de rep\u00e9rer les chiffrements massifs et rapides de fichiers.<\/p>\n

Bloque les attaques de ransomware locales et \u00e0 distance
\n<\/strong>Comme CryptoGuard se concentre sur le contenu des fichiers, les tentatives de chiffrement par ransomware peuvent \u00eatre d\u00e9tect\u00e9es m\u00eame lorsque le processus malveillant n\u2019est pas en cours d\u2019ex\u00e9cution sur l\u2019appareil de la victime.<\/p>\n

Annule automatiquement tout chiffrement malveillant
\n<\/strong>Lorsqu\u2019il d\u00e9tecte un chiffrement de masse, CryptoGuard cr\u00e9e des sauvegardes temporaires des fichiers modifi\u00e9s et annule automatiquement les modifications ind\u00e9sir\u00e9es en restaurant les fichiers vers leur \u00e9tat d\u2019origine sain. Sophos fait appel \u00e0 une approche propri\u00e9taire, contrairement \u00e0 d\u2019autres solutions qui reposent sur l\u2019utilisation de Windows Volume Shadow Copy, une m\u00e9thode notoirement d\u00e9jou\u00e9e par les attaquants. Cette solution n\u2019impose aucune limite quant \u00e0 la taille et au type de fichier pouvant \u00eatre r\u00e9cup\u00e9r\u00e9, ce qui minimise l\u2019impact sur la productivit\u00e9 de l\u2019entreprise.
\n<\/strong><\/p>\n

Bloque automatiquement les appareils distants
\n<\/strong>En cas d\u2019attaque de ransomware \u00e0 distance, CryptoGuard bloque automatiquement l\u2019adresse IP de l\u2019appareil distant qui tente de chiffrer des fichiers sur la machine de la victime.<\/p>\n

Prot\u00e8ge l\u2019enregistrement de d\u00e9marrage principal (MBR)
\n<\/strong>CryptoGuard permet aussi de prot\u00e9ger l\u2019appareil contre les ransomwares qui chiffrent l\u2019enregistrement de d\u00e9marrage principal (et emp\u00eachent donc le d\u00e9marrage) et contre les attaques qui formatent le disque dur.<\/p>\n

Figurant au nombre des fonctionnalit\u00e9s exclusives de Sophos Endpoint, CryptoGuard est inclus dans tous les abonnements \u00e0 Sophos Intercept\u00a0X\u00a0Advanced, Sophos\u00a0XDR et Sophos\u00a0MDR. Pr\u00e9cisons que cette fonctionnalit\u00e9 est activ\u00e9e par d\u00e9faut, ce qui garantit aux entreprises une protection compl\u00e8te contre les attaques de ransomware locales et \u00e0 distance, sans qu\u2019aucun r\u00e9glage ou configuration ne soit n\u00e9cessaire.<\/p>\n

D\u00e9couvrez les appareils non prot\u00e9g\u00e9s<\/h2>\n

Un seul poste non prot\u00e9g\u00e9 suffit \u00e0 exposer l\u2019organisation de vos clients \u00e0 une attaque de chiffrement \u00e0 distance. Le d\u00e9ploiement de Sophos Endpoint procure une protection universelle robuste contre les ransomwares et le chiffrement malveillant. Mais comment vos clients peuvent-ils savoir si des appareils non prot\u00e9g\u00e9s sont connect\u00e9s \u00e0 leur r\u00e9seau\u00a0?<\/p>\n

C\u2019est l\u00e0 que\u00a0Sophos Network Detection and Response (NDR)<\/a>\u00a0entre en jeu. Sophos NDR surveille le trafic r\u00e9seau pour d\u00e9tecter les flux suspects et, ce faisant, identifie les appareils non prot\u00e9g\u00e9s et les actifs malveillants dans l\u2019environnement.<\/p>\n

Pour b\u00e9n\u00e9ficier d\u2019une protection optimale contre les attaques de ransomware \u00e0 distance, il est recommand\u00e9 d\u2019installer Sophos Endpoint sur toutes les machines des clients dans l\u2019environnement et de d\u00e9ployer Sophos\u00a0NDR pour d\u00e9couvrir les appareils non prot\u00e9g\u00e9s sur le r\u00e9seau.<\/strong><\/p>\n

Une opportunit\u00e9 unique<\/h2>\n

Tirez parti de cette capacit\u00e9 diff\u00e9renci\u00e9e de protection contre les ransomwares dans Sophos Endpoint pour g\u00e9n\u00e9rer de nouvelles opportunit\u00e9s de vente et des renouvellements d\u00e8s aujourd\u2019hui. Cette solution est particuli\u00e8rement utile pour \u00e9viter que les clients ne d\u00e9laissent Sophos au profit de Microsoft Defender\u00a0: le co\u00fbt moyen pour rem\u00e9dier \u00e0 une attaque par ransomware s\u2019\u00e9levant \u00e0 1,82\u00a0million de dollars. Demandez \u00e0 vos clients s\u2019ils ont les moyens de subir une telle attaque.<\/p>\n

Partagez les nouvelles ressources suivantes avec vos clients et profitez pleinement de cette opportunit\u00e9 unique\u00a0:<\/p>\n