Ce dernier a éclipsé toutes les autres familles de ransomware et représente 90 % des ransomware sur Windows (les ransomwares représentent 60 % de toutes les attaques de logiciels malveillants sur Windows). Je vous propose ci-dessous un commentaire de Christophe Badot, Directeur Général France, Luxembourg et Suisse romande de Varonis qui explique cette domination et les meilleurs moyens de se protéger :
« Cerber rend les ransomwares plus difficiles à repérer et à arrêter, et c’est désormais la souche dominante du ransomware qui se répand. Celle-ci est en effet en mesure de se cacher des technologies de protection de poste et de détection des programmes malveillants, et reste à l'affût des défenses conçues pour détecter les fichiers malveillants. C'est exactement la raison pour laquelle les entreprises doivent effectuer une surveillance constante au sein de leur périmètre afin de défendre leurs données des ransomwares. Elles doivent pour cela mettre en sécurité les données elles-mêmes, en plaçant ces dernières dans des micro-périmètres et en en verrouillant l'accès et en surveillant le comportement des utilisateurs. »
« L’accès aux données doit être restreint en fonction d'un modèle de liste de privilèges - ne donner à personne (ni a aucun logiciel/matériel) un accès à quelque chose dont il n'a pas besoin. Lorsque nous pensons à un ransomware tel que Cerber, il faut imaginer que celui-ci va exploiter les privilèges d'accès pour traverser le réseau et chiffrer les dossiers sur les systèmes de fichiers. Si quelqu'un peut accéder à un fichier sur un lecteur partagé et qu’un ransomware comme Cerber s'exécute sur son poste, sous son identité alors son poste est corrompu. Peu importe que nous parlions d'un jeune stagiaire ou du PDG d'une entreprise, la même règle doit s'appliquer : cette personne a-t-elle besoin de cet accès pour faire son travail ? Sinon, il convient de supprimer l’accès à cet utilisateur et ainsi réduire les dégâts que les logiciels malveillants peuvent faire. Le principe du moindre privilège consiste à réduire et à contenir les risques. »
« Vous ne pouvez pas attraper ce que vous ne pouvez pas voir, et il est essentiel de surveiller les comportements pour détecter les logiciels malveillants, comme Cerber, qui affectent les données. L'analyse comportementale des utilisateurs (UBA) sur les systèmes de fichiers est essentielle pour la défense contre les ransomwares, car c'est la meilleure façon de détecter un utilisateur qui crypterait des données partagées. En créant une base de comportements de référence, les entreprises peuvent rapidement repérer l'activité d’un ransomware tout comme l'accès anormal aux fichiers, l'escalade des privilèges, le cryptage et la suppression de fichiers en masse ou une grande quantité de données qui quitterait le réseau. Les solutions UBA s’attachent à détecter les effets comportementaux des ransomwares en plus de la détection traditionnelle par signature, ce qui est primordial pour se défendre contre des attaques en constante évolution, telles que les ransomware. »
Auteur : Varonis.
