ransomware administrations locales

Focus sur les menaces : les attaques par ransomware ciblent les gouvernements

Version imprimable, PDF et e-mail

Les cybercriminels utilisent des ransomwares en ciblant les administrations publiques d'État et les collectivités territoriales partout aux États-Unis.

Les chercheurs de Barracuda ont déjà identifié plus de 50 municipalités attaquées à ce stade de l'année. Les analyses récemment effectuées par l'équipe sur plusieurs centaines d'attaques touchant un large éventail de cibles indiquent que dans les deux tiers des attaques par ransomware, les cybercriminels visent sciemment des administrations publiques. Les administrations d'État et territoriales ont toutes été ciblées, y compris les services publics tels que les écoles, bibliothèques, tribunaux, etc.

Observons plus en détail ces attaques par ransomware contre les administrations ainsi que les solutions qui aident à les détecter, les bloquer et à réparer leurs éventuels dégâts.

Remarque : Au moment de la présente analyse, seules cinq des 22 communautés texanes touchées par une attaque coordonnée par ransomware avaient pu être identifiées. Les autres municipalités n'étant alors pas encore connues, elles ne sont pas prises en compte. En comptant ces 17 communautés, le total des attaques par ransomware contre des administrations publiques d'État et des collectivités territoriales en 2019 s'élève à un peu plus de 70 cas.

Plus de 70 administrations publiques et collectivités territoriales ont été touchées par un #ransomware à ce stade en 2019 Cliquez pour tweeter

Menaces particulièrement importantes

Attaques par ransomware contre les municipalités — Des cybercriminels utilisent des logiciels malveillants présentés sous forme de pièce jointe ou de lien dans un e-mail pour infecter le réseau et bloquer l'accès aux e-mails, aux données et autres fichiers critiques jusqu'au paiement d'une rançon. Ces attaques sont sophistiquées et ne cessent d'évoluer. Elles occasionnent des dégâts et des frais importants. Elles ont la capacité de gripper le fonctionnement quotidien de l'administration et de provoquer un important chaos. Il en résulte des pertes financières importantes du fait de l'interruption de service, du paiement de la rançon, des coûts liés à la reprise et d'autres dépenses imprévues et non budgétées.

ransomware gouvernements

Les détails

La première attaque par ransomware contre une administration à avoir été signalée date de 2013. Elle ciblait la petite ville de Greenland dans le New Hampshire. Bien que les ransomwares existent depuis une vingtaine d'années, la menace a récemment connu une croissance rapide, en particulier contre les administrations publiques. Selon Cybersecurity Ventures, les dégâts causés par les ransomware pourraient atteindre les 11,5 milliards de dollars en 2019, soit une augmentation de 3,5 milliards par rapport à l'année précédente. Les municipalités représentent l'une des trois cibles principales.

Les chercheurs de Barracuda ont analysé 55 attaques par ransomware sur des acteurs publics locaux, régionaux ou d'État et survenus cette année. Sur ces 55 attaques, 38 ont concerné des collectivités locales, 14 ont touché des comtés et trois des administrations publiques. Bien que tous les échelons territoriaux ont été affectés, la plupart des victimes étaient des petites communes ou des grandes métropoles.

Environ 45 % des municipalités attaquées avaient une population inférieure à 50 000 habitants, et 24 % étaient des villes de moins de 15 000 habitants. Les petites communes sont souvent plus vulnérables, faute de disposer des technologies ou des ressources nécessaires pour se protéger contre les attaques par ransomware. Près de 16 % des communes attaquées étaient des villes d'une population supérieure à 300 000 habitants.

Environ 45 % des municipalités attaquées par un #ransomware à ce stade de l'année 2019 avaient une population inférieure à 50 000 habitants. 24 % étaient des villes de moins de 15 000 habitants.Cliquez pour tweeter

Sur les 55 attaques connues pour cette année, seuls deux municipalités et une administration publique ont payé la rançon – les trois cas au mois de juin. En Floride, Lake City a payé environ 500 000 $ (42 Bitcoins) et Riviera Beach environ 600 000 $ (65 Bitcoins), après avoir essayé de récupérer leurs données, sans succès. Dans l'Indiana, le comté de La Porte a payé 130 000 $ pour récupérer ses données. Aucune des villes attaquées en 2019 n'a, pour l'heure, payé de rançon, y compris Baltimore, qui a dépensé 18 millions de dollars pour se rétablir de l'attaque.

Parmi les ransomwares utilisés dans les dernières attaques contre des acteurs locaux ou d'État, on compte notamment Ryuk, SamSam, LockerGoga et RobbinHood.

Les chercheurs de Barracuda voient régulièrement apparaître ce genre d'attaques contre des administrations publiques. Nous allons vous présenter ci-dessous un exemple d'attaque par ransomware transmise par e-mail, détectée par les couches de protection intelligentes de Barracuda. Sur ce type d'attaques, l'e-mail est le premier vecteur de menaces. Mais son effet peut facilement mettre à mal des réseaux, des applications et une vaste gamme de données critiques et sensibles très diverses.

exemple ransomware administrations

Si cette étude se concentre sur les seuls États-Unis, bien d'autres attaques ont été observées de par le monde. Citons notamment des attaques touchant quatre communautés de différentes tailles au Canada, contre le réseau de tramways de Dublin en Irlande ou encore contre les réseaux électriques en Inde et en Afrique du Sud.

Les administrations publiques à tous les échelons ont besoin de mettre en place des stratégies de prévention et de défense, ainsi que des fonctions de reprise après sinistre.

Les administrations publiques à tous les échelons ont besoin de mettre en place des stratégies de prévention et de défense, ainsi que des fonctions de reprise après sinistre. #ransomwareCliquez pour tweeter

Se défendre contre les attaques par ransomware

L'évolution rapide de l'ensemble des menaces exige des techniques de sécurité avancées en entrée comme en sortie, bien au-delà des passerelles classiques. Il est notamment nécessaire de se protéger des erreurs humaines et techniques, afin de maximiser la sécurité et de réduire autant que possible les risques d'être victime d'attaques par ransomware particulièrement poussées.

Filtres antispam / Systèmes de détection du phishing
Bien que de nombreux messages malveillants sont convaincants, les filtres antispam, systèmes de détection du phishing et autres logiciels de sécurité de ce type peuvent les repérer en détectant des indices subtils et ainsi, bloquer l'accès aux messages et pièces jointes potentiellement malveillants avant qu'ils n'atteignent les boîtes de réception.

Pare-feu avancé
Si un utilisateur ouvre une pièce jointe malveillante ou clique sur un lien qui déclenche un téléchargement furtif, la présence d'un pare-feu réseau avancé apte à effectuer des analyses de malwares offre une chance de bloquer l'attaque en signalant l'exécutable pendant qu'il est téléchargé.

Détection de malwares
Pour les e-mails auxquels sont joints des documents malveillants, les analyses statiques et dynamiques peuvent repérer des éléments indiquant que le document cherche à télécharger et à lancer un exécutable, ce qu'aucun document n'est censé faire. L'URL de l'exécutable peut souvent être repérée et signalée comme suspecte grâce à des systèmes heuristiques ou de détection des menaces. Lorsqu'elle est détectée par une analyse statique, l'obfuscation est également souvent un indice qui rend le document suspect.

Listes de blocage
Face à la pénurie croissante d'adresses IP, les spammeurs se servent de plus en plus de leur propre infrastructure. Bien souvent, les mêmes IP sont utilisées assez longtemps pour que les logiciels les détectent et les placent sur liste de blocage. Même lorsque la menace provient de sites piratés ou de botnets, une fois qu'un volume suffisant de spam a été détecté, il devient possible de bloquer temporairement les attaques par IP.

Sensibilisation des utilisateurs
Intégrez les simulations de phishing aux formations de sensibilisation à la sécurité pour vous assurer que les utilisateurs finaux seront capables d'identifier et de résister aux attaques. Souvent considérés comme un risque pour la sécurité, faites au contraire des utilisateurs une véritable ligne de défense en testant l'efficacité des formations « en conditions réelles » et en repérant les utilisateurs les plus vulnérables face aux attaques.

Sauvegardes
En cas d'attaque, une solution de sauvegarde dans le cloud peut réduire la durée de l'interruption, éviter les pertes de données et permettre une récupération rapide de vos systèmes, que vos fichiers se situent sur des appareils physiques, des environnements virtuels ou dans le cloud public. Dans l'idéal, il est conseillé de suivre la règle de sauvegarde dite du « 3-2-1 », selon laquelle on possède trois copies des fichiers, sur deux types de supports différents dont au moins un est stocké physiquement ailleurs, pour éviter que les sauvegardes ne soient elles-mêmes touchées par une attaque par ransomware.

Découvrez les menaces qui se cachent dans vos boîtes de réception Office 365...

Ce Focus sur les menaces a été écrit par Fleming Shi, avec l'aide d'Audrey Laude de l'équipe des chercheurs de Barracuda.

 

Remonter en haut de page
Tweeter
Partager
Partager