Principales mesures de cybersécurité pour protéger les appareils Windows contre Active Venus Ransomware
Depuis août 2022, le rançongiciel Venus compromet les services de bureau à distance (RDP).
Les principales cibles du logiciel malveillant sont les appareils Windows non protégés avec RDP accessible au public.
Le rançongiciel Venus réussi a bloqué les utilisateurs des fichiers essentiels et demandé le paiement en crypto.
Que devrait savoir chaque organisation sur le ransomware Venus, et quelles sont certaines des meilleures pratiques de cybersécurité pour prévenir et combattre ce type de malware ?
Avant de prendre les mesures de précaution et les meilleures pratiques pour ceux qui sont déjà touchés, déterminons les signes du dernier ransomware.
Comment reconnaître Venus Ransomware ?
Venus ransomware crypte les fichiers, les renomme et avertit les victimes avec une note à l’écran.
Les victimes savent qu’elles ont été impactées lorsque la note contenant les conditions et les demandes apparaît sur leur écran. Après avoir verrouillé les utilisateurs hors des fichiers, l’acteur de la menace informe l’utilisateur avec un fichier README.txt et un fond d’écran.
Le message à l’écran confirme qu’une activité malveillante a eu lieu et affiche des instructions sur la façon de récupérer les fichiers et de payer la rançon. Dans ce cas, l’utilisateur est censé contacter le criminel pour obtenir des instructions supplémentaires dans les cinq jours.
Les pirates communiquent que tous les fichiers des victimes ont été cryptés et divulgueront les informations obtenues au public si les demandes ne sont pas satisfaites.
Un autre indice évident que Venus Ransomware a eu un impact sur les fichiers est l’extension du nom de fichier. Les fichiers verrouillés qui ne peuvent pas être ouverts ont un suffixe supplémentaire « venus ».
Menace mondiale ciblant la DR publique
Tout appareil Windows mondial avec des composants de bureau à distance accessibles au public est sensible au rançongiciel Venus. RDP est le point d’accès qui est exploité dans l’attaque.
En cas de violation réussie, la base de données des serveurs et des applications Office est affectée car le cybercriminel obtient le contrôle des processus.
Certaines des capacités des pirates après l’attaque réussie incluent l’effacement des journaux d’événements et l’interdiction de la prévention de l’exécution des données.
Sur les appareils infectés, le ransomware crypte les données, génère des notes de rançon (probablement également des clés de description cryptées) et modifie le fond d’écran pour afficher un autre message de rançon (principalement identique).
Mesures de cybersécurité pour la prévention des ransomwares
Dans la plupart des cas, il est difficile de déchiffrer les fichiers et de désosser le ransomware à moins que le malware n’ait une erreur spécifique. Même en supprimant le logiciel malveillant, les fichiers déjà infectés ne seront pas décryptés.
Par conséquent, il est essentiel de mettre en place des mesures préventives pour protéger les actifs contre les exploits de cyber rançon.
Comment peut-on se préparer à la possibilité très réelle du rançongiciel Venus ?
La faiblesse critique qui active le rançongiciel Venus est les services de bureau à distance exposés publiquement. Par conséquent, les meilleures mesures de cybersécurité incluent l’utilisation d’un réseau privé virtuel (VPN) lors de l’accès aux services de bureau à distance.
Assurez-vous que RDP n’est pas accessible au public et protégez ces services avec un pare-feu.
Selon les dernières données, ce ransomware a été possible via des campagnes de phishing par e-mail, des sites Web torrent et des publicités criblées de logiciels malveillants.
Les pirates envoient la pièce jointe infectée par e-mail ou placent le code malveillant sur les publicités sur Internet.
Connaître et comprendre ces méthodes de distribution est essentiel dans la prévention des rançongiciels Venus. Des filtres de messagerie plus sophistiqués et le blocage de l’accès à des sites tels que les pages torrent et les logiciels publicitaires sont un bon début.
Certains outils sont spécialement conçus pour détecter les signes de logiciels malveillants (par exemple, le cryptage).
Outre ces logiciels de protection, il est nécessaire de protéger l’infrastructure avec une sécurité en couches composée de divers programmes et protocoles.
Autrement dit, la cybersécurité doit être solide et complète, couvrant tous les appareils se connectant au réseau distant et bloquant toute voie que les pirates pourraient tenter d’exploiter à des fins monétaires.
En plus de ces mesures de cybersécurité, il est essentiel de sauvegarder les données sur des serveurs séparés inaccessibles à distance. Cela permet à vos équipes de suivre leurs tâches quotidiennes même si une partie du réseau est compromise et inaccessible.
Fichiers déjà cryptés par Venus Ransomware ?
Que devez-vous faire si les acteurs de la menace ont déjà exigé une rançon ? Existe-t-il un moyen de déverrouiller les fichiers et est-ce une bonne idée de payer ?
Sous pression, de nombreuses organisations envisagent de payer la rançon et le font souvent.
Par exemple, la rançon Venus est accompagnée d’une note exhortant la victime à ne pas contacter une aide tierce qui pourrait essayer de décrypter les fichiers. Sinon, ils perdront les fichiers pour toujours, même si la rançon est payée.
Cependant, payer n’est pas une solution car cet acte confirme aux acteurs de la menace que l’attaque a réussi, et il n’y a aucune garantie qu’ils respecteront leur part du marché.
La simple vérité aux yeux de la loi est que vous financez d’autres activités criminelles.
Bien que payer semble moins coûteux que de reconstruire l’infrastructure à partir de zéro, il n’y a aucune garantie que les criminels ne divulgueront pas les données de toute façon ou ne vous prêteront pas la clé pour le cryptage des fichiers.
De plus, il est illégal de payer la rançon et de signaler l’activité criminelle à la place.
Contacter et communiquer avec l’organisation criminelle n’est pas non plus conseillé.
Dernier mot
Bien que le rançongiciel Venus soit actif depuis août 2022, de nombreuses organisations et personnes peuvent encore être sensibles à la menace et ne pas disposer des outils appropriés pour faciliter la détection et l’atténuation.
Le malware rappelle à quel point il est difficile d’éliminer les ransomwares.
Au cours des deux dernières années, ce genre d’exploit a augmenté. Outre l’augmentation des attaques de ransomwares, il a évolué vers des variantes plus sophistiquées.
Les nouvelles versions peuvent faire encore plus que crypter les fichiers, elles peuvent verrouiller l’utilisateur hors du système, télécharger des données à partir des fichiers concernés, supprimer des données, arrêter diverses fonctions à l’aide de commandes à distance, etc.
Une protection anti-ransomware adéquate et une architecture de cybersécurité robuste sont essentielles pour toute entreprise qui souhaite éviter les notes de rançon dangereuses et coûteuses.