Les rançongiciels sont probablement la catégorie de logiciels malveillants la plus utilisée par les pirates au cours des 15 dernières années, étant donné qu’ils apportent d’innombrables avantages économiques, causent des dommages (souvent irréversibles) aux données personnelles et peuvent être utilisés contre n’importe quelle cible pour récupérer des informations personnelles, bloquer la productivité de l’entreprise et faire du chantage aux gens sans méfiance.
Un rapport publié le mercredi 24 août 2022 par le fournisseur de sécurité Barracuda indique que le nombre de menaces de ransomwares a bondi entre janvier et juin 2022 pour atteindre plus de 1,2 million par mois.
Vous trouverez, dans cet article, les meilleurs conseils pour éviter les ransomwares et atténuer les dommages si vous êtes victime d’une attaque de ransomware.
Qu’est-ce qu’un ransomware ?
Les ransomwares sont un problème énorme et croissant pour les entreprises, et les organisations de toutes tailles doivent consacrer des ressources considérables à la prévention des infections ou à la récupération de leurs données si elles sont victimes d’une attaque par ransomware. C’est un problème qui ne montre aucun signe de disparition. C’est parce que les rançongiciels sont faciles à produire, difficiles à détecter et qu’il s’agit d’une activité criminelle lucrative. Voyons plus en détail de quoi s’agit-il exactement.
Ransomware, c'est quoi ?
Le rançongiciel, en termes simples, est une forme de malware qui peut verrouiller et chiffrer l’ordinateur ou les données d’une victime. Le cybercriminel utilise alors ce levier pour exiger une rançon, c’est-à-dire un paiement, afin de rétablir l’accès.
Des logiciels malveillants accèdent à votre système pour verrouiller et chiffrer vos données les plus sensibles. Cherchant généralement une forme d’indemnisation, le cybercriminel accordera l’accès si la victime répond à ses demandes. Cependant, ce sont des voleurs dont nous parlons, il n’y a donc aucune garantie que ces cybercriminels ne feront pas plus de demandes une fois que leur cible aura satisfait leur demande initiale.
Les cybercriminels utilisent un certain nombre de techniques pour installer différents types de souches de rançongiciels sur les appareils de leurs victimes. Celles-ci incluent des techniques telles que la manipulation du protocole de bureau à distance (RDP), des URL malveillantes, ou encore des pièces jointes infectées.
De nombreux utilisateurs, afin de ne pas perdre les fichiers cryptés, ont pris le risque et suivi les instructions pour payer la somme dommandée : c’est probablement la pire voie à suivre, puisqu’il n’y a aucune certitude sur la délivrance effective de la clé de déverrouillage et sur son efficacité réelle, tout en donnant aux pirates de nouvelles ressources pour créer de nouveaux malwares et de nouveaux ransomwares encore plus puissants et dangereux.
Quelles sont les cibles des ransomwares ?
Les ransomwares sont l’une des menaces les plus puissantes auxquelles sont confrontées les entreprises aujourd’hui. Heureusement, savoir ce que les pirates de rançongiciels recherchent lorsqu’ils choisissent leurs cibles peut aider les entreprises à mieux se préparer à une attaque.
Des facteurs tels que l’emplacement géographique, l’accès aux données sensibles ou le manque d’infrastructure de sécurité peuvent tous augmenter la probabilité d’une attaque par ransomware, ainsi que la présence d’une organisation dans certains secteurs comme la banque, la santé ou l’éducation.
Bien qu’il existe des moyens de se défendre contre les ransomwares, aucun d’entre eux n’est infaillible. Néanmoins, garder à l’esprit ce que les attaquants de ransomwares pourraient rechercher dans leurs cibles peut vous aider à garder une longueur d’avance sur les ransomwares et à protéger vos données et celles de vos clients.
Quelle est la plus grande attaque ransomware ?
Le WannaCry est la plus grande attaque de ransomware de l’histoire. Il a affecté des centaines de milliers de systèmes informatiques dans le monde. Causant des dommages considérables à plus de 200 000 ordinateurs dans 150 pays.
Cette attaque a eu lieu le 12 mai 2017. WannaCry a Exploité une faille de sécurité dans Microsoft Windows pour chiffrer les données sur les ordinateurs infectés et exigé une rançon pour la clé de déchiffrement.
Le rançongiciel recherche d’abord le nom de domaine du kill switch dans la mémoire de l’ordinateur. Si ce n’est pas le cas, le logiciel malveillant crypte les données informatiques. Tente ensuite d’exploiter la vulnérabilité SMB pour se propager sur des ordinateurs aléatoires sur Internet et le réseau local.
WannaCry a provoqué une panique et des perturbations généralisées. De nombreuses entreprises et organisations ont été contraintes de fermer leurs systèmes pour empêcher la propagation du virus . Malgré les efforts des experts en sécurité, l’attaque s’est avérée difficile à arrêter, entraînant 4 milliards de dollars de dommages et intérêts. Le 14 mai, les chercheurs en sécurité de Microsoft ont finalement découvert la vulnérabilité. Ils ont pu créer un correctif pour se protéger contre de futures attaques.
C’était un signal d’alarme pour la nécessité de meilleures mesures de cybersécurité telles que la réalisation d’un test d’intrusion interne ou externe (sur une base régulière), et il reste la plus grande attaque de ransomware de l’histoire.
Quels sont les différents types de ransomwares ?
En découvrant les principales attaques de ransomwares ci-dessous, les organisations acquerront une base solide sur les tactiques, les exploits et les caractéristiques de la plupart des attaques. Bien qu’il continue d’y avoir des variations dans le code, les cibles et les fonctions des ransomwares, l’innovation dans les attaques de ransomwares est généralement incrémentielle.
Il existe plusieurs types et des dizaines de variantes de ransomwares, chacune avec ses propres caractéristiques uniques. Cependant, certains groupes de rançongiciels ont été plus prolifiques et réussis que d’autres, ce qui les distingue de la foule.
Crypto-ransomware
Le crypto-ransomware chiffre tout ou partie des fichiers sur un ordinateur et demande une rançon à la victime en échange d’une clé de déchiffrement. Certaines variantes plus récentes infectent également les lecteurs partagés, en réseau et cloud.
Le crypto-ransomware se propage par divers moyens, y compris les e-mails malveillants, les sites Web et les téléchargements.
Locker-ransomware
Le Locker-ransomware bloque entièrement l’accès aux systèmes informatiques. Cette variante utilise des techniques d’ingénierie sociale et des informations d’identification compromises pour infiltrer les systèmes. Une fois à l’intérieur, les pirates empêchent les utilisateurs d’accéder au système jusqu’à ce qu’une rançon soit payée. Une fenêtre contextuelle sur l’écran de la victime peut apparaître indiquant : « Votre ordinateur a été utilisé pour visiter des sites Web au contenu illégal. Pour déverrouiller votre ordinateur, vous devez payer une amende de 100 $ » ou « Votre ordinateur a été infecté par un virus. Cliquez ici pour résoudre le problème. »
Scareware
Les scarewares essaient généralement de faire peur aux utilisateurs en affichant un message alarmant et les incitent par conséquent à télécharger des logiciels malveillants. Les attaquants utilisent souvent des invites qui semblent officielles et légitimes et incitent l’utilisateur à agir rapidement sans lui laisser beaucoup de temps pour réfléchir ou analyser. Les invites peuvent être une fenêtre contextuelle, un message menaçant ou un faux bouton, affichant des messages alarmants tels que : « Votre PC est lent. Néttoyez maintenant » ou « Les attaquants peuvent voir votre adresse IP, protégez-la maintenant ».
Les utilisateurs qui mordent à l’hameçon permettent au rançongiciel d’entrer dans leurs systèmes et de les verrouiller ou de chiffrer leurs données.
MBR-ransomware
MBR signifie « Master Boot Record », qui est un petit secteur sur un lecteur de disque contenant les informations nécessaires au système d’exploitation pour démarrer. Une fois qu’une machine démarre, elle lit d’abord le MBR et ensuite seulement démarre le système d’exploitation. En tant que tel, la manipulation du MBR entraînera un échec du démarrage du système d’exploitation et, du point de vue de l’utilisateur moyen, il sera confronté à une situation où, au lieu de charger le système d’exploitation et de présenter à l’utilisateur un écran de connexion ou une vue du bureau, il obtiendra une vue en ligne de commande d’un message manaçant de l’attaquant sur l’écran.
D’un point de vue technique, les logiciels malveillants qui verrouillent le MBR copient généralement le MBR d’origine sur une autre partie du lecteur et écrasent le MBR d’origine avec le code de l’auteur du malware. Lorsque l’utilisateur tente de démarrer ou de redémarrer un appareil après que le logiciel malveillant a fait son travail, l’ordinateur charge le code que le farceur malveillant a placé dans le MBR personnalisé. Au lieu de charger le système d’exploitation, le logiciel malveillant affiche le message provocant ou menaçant de l’attaquant.
Étant donné que les MBR-ransomware sont généralement diffusés via des sites de téléchargement proposant des versions piratées de logiciels commerciaux, assurez-vous que vos utilisateurs évitent ces sites et que vos appareils sont protégés par une solution de sécurité fiable.
Fileless ransomware
Les Fileless malwares fonctionnent en pénétrant directement dans la mémoire de votre ordinateur. Cela signifie que le code malveillant n’entre jamais dans votre disque dur. La façon dont il y parvient est très similaire à la façon dont d’autres codes malveillants pénètrent dans votre système.
Par exemple, un utilisateur est amené à cliquer sur un lien ou une pièce jointe qu’un pirate insère dans un e-mail de phishing. L’attaquant peut utiliser l’ingénierie sociale pour manipuler les émotions de la victime et l’amener à cliquer sur la pièce jointe ou le lien. Le logiciel malveillant est ensuite introduit dans votre système et commence à se déplacer d’un appareil à l’autre.
Comment se protéger d’un ransomware ?
Il y a eu une augmentation constante du nombre d’attaques de ransomwares d’année en année. Cela cause non seulement des dommages financiers aux entreprises, mais nuit également à leur réputation et détruit la confiance des clients. Ainsi, il est essentiel d’avoir un pra informatique bien élaboré et de veiller à appliquer les meilleures pratiques de sécurité pour minimiser le risque d’être victime d’un ransomware. Voici quelques mesures importantes que les entreprises peuvent prendre pour éviter les rançongiciels ou répondre aux attaques de ransomwares :
Mesures préventives contre un ransomware
Une bonne préparation peut réduire considérablement le coût et l’impact d’une attaque de ransomware. L’adoption des meilleures pratiques suivantes peut réduire l’exposition d’une organisation aux ransomwares et minimiser ses impacts :
- Formation et éducation à la cybersensibilisation : les ransomwares se propagent souvent à l'aide d'e-mails de phishing. La formation des utilisateurs sur la façon d'identifier et d'éviter les attaques potentielles de ransomwares est cruciale. Étant donné que bon nombre des cyberattaques actuelles commencent par un e-mail ciblé qui ne contient même pas de logiciel malveillant, mais uniquement un message d'ingénierie sociale qui encourage l'utilisateur à cliquer sur un lien malveillant, l'éducation des utilisateurs est souvent considérée comme l'une des défenses les plus importantes.
- Sauvegarde externalisée : la définition de Ransomware indique qu'il s'agit d'un logiciel malveillant conçu pour faire en sorte que le paiement d'une rançon soit le seul moyen de restaurer l'accès aux données cryptées. Les sauvegardes de données automatisées et protégées permettent à une organisation de se remettre d'une attaque avec un minimum de perte de données et sans payer de rançon. Maintenir des sauvegardes régulières des données en tant que processus de routine est une pratique très importante pour éviter de perdre des données et pour pouvoir les récupérer en cas de corruption ou de dysfonctionnement du matériel du disque. Les sauvegardes fonctionnelles peuvent également aider les organisations à se remettre des attaques de ransomwares.
- Application de correctifs : l'application de correctifs est un élément essentiel de la défense contre les attaques de rançongiciels, car les cybercriminels recherchent souvent les derniers exploits découverts dans les correctifs mis à disposition, puis ciblent les systèmes qui ne sont pas encore corrigés. En tant que tel, il est essentiel que les organisations s'assurent que tous les systèmes disposent des derniers correctifs, car cela réduit le nombre de vulnérabilités potentielles au sein de l'entreprise qu'un attaquant peut exploiter.
- Authentification de l'utilisateur : L'accès à des services tels que le RDP avec des informations d'identification d'utilisateur volées est une technique préférée des attaquants de ransomware. L'utilisation d'une authentification utilisateur forte peut rendre plus difficile pour un attaquant d'utiliser un mot de passe deviné ou volé.
Que faire en cas d’infection ransomware ?
La charge utile du ransomware est immédiate. Le logiciel malveillant affiche un message à l’utilisateur avec des instructions de paiement et des informations sur ce qui est arrivé aux fichiers. Il est important que les administrateurs réagissent rapidement car certains ransomwares tentent de se propager à d’autres emplacements sur le réseau et de trouver des fichiers critiques lors d’analyses supplémentaires. Vous pouvez prendre quelques mesures de base pour répondre correctement aux ransomwares :
- Déterminez quels systèmes sont touchés : vous devez isoler les systèmes afin qu'ils ne puissent pas affecter le reste de l'environnement. Déconnectez les systèmes et mettez-les hors tension si nécessaire. Les ransomwares se propagent rapidement sur le réseau, de sorte que tous les systèmes doivent être déconnectés soit en désactivant l'accès au réseau, soit en les éteignant.
- Éliminer la menace du réseau : Les attaquants peuvent utiliser des « portes dérobées » (backdoor), donc l'éradication doit être effectuée par un expert de confiance ou votre fournisseur de services hébergés. L'expert a besoin d'accéder aux journaux afin qu'une analyse des causes profondes identifie la vulnérabilité et tous les systèmes touchés. Demandez à un professionnel d'examiner l'environnement pour d'éventuelles mises à niveau de sécurité. Il est courant qu'une victime de ransomware soit la cible d'une deuxième attaque. Si la vulnérabilité n'est pas trouvée, elle peut être exploitée à nouveau.
- Signalez le ransomware aux autorités : dès que le ransomware est maîtrisé, vous voudrez contacter les forces de l'ordre, pour plusieurs raisons. Tout d'abord, les rançongiciels sont interdits par la loi et, comme tout autre crime, ils doivent être signalés aux autorités compétentes. Deuxièmement, des partenariats avec les forces de l'ordre internationales peuvent être mis à profit pour aider à trouver les données volées ou cryptées et traduire les auteurs en justice. Enfin, l'attaque peut avoir des implications en matière de conformité : selon les termes du RGPD, si vous ne notifiez pas l'ICO dans les 72 heures d'une violation impliquant des données de citoyens de l'UE, votre entreprise pourrait encourir de lourdes amendes.
Les attaques de ransomware contournent souvent les types de protection conventionnels utilisés sur les postes de travail individuels et peuvent réussir malgré la formation aux meilleures pratiques de sécurité de l’entreprise. Une société informatique, avec ses services de cybersécurité, pourrait vous offrir une protection proactive de haut niveau contre les menaces numériques actuelles.