Min menu

Pages

Qu'est-ce qu'un ransomware ?

 

Qu'est-ce qu'un ransomware

Qu'est-ce qu'un ransomware ?

Ce type de malware pourrait vous frapper fort dans la poche.

Les ransomwares sont l'une des plus grandes menaces de cybersécurité auxquelles les entreprises sont confrontées aujourd'hui. C'est un type de logiciel malveillant que les attaquants peuvent utiliser pour verrouiller un appareil ou chiffrer son contenu afin d'extorquer de l'argent au propriétaire ou à l'opérateur.

Compte tenu de son potentiel à offrir un retour sur investissement élevé et de la relative facilité avec laquelle il peut se propager, ce type d'attaque est devenu extrêmement populaire parmi les cybercriminels. Elle a récemment été désignée comme la plus grande menace à laquelle sont confrontées les petites et moyennes entreprises (PME), car les attaquants profitent de la pandémie COVID-19 pour attaquer les employés en dehors du bureau.

Selon les chiffres de la société de cybersécurité dans le cloud Datto, 59% des MSP ont déclaré que le passage au travail à distance avait entraîné une augmentation des attaques de ransomwares, et 60% ont déclaré que leurs clients PME avaient été touchés par des ransomwares au troisième trimestre de 2020.

Comment fonctionne le ransomware

Tout comme les autres types de logiciels malveillants, les ransomwares se propagent généralement en incitant les victimes à télécharger des pièces jointes malveillantes, ce qui incite les scripts à s'exécuter automatiquement sur leur système. Cependant, il est également possible que le ransomware se propage partout où il est possible de cacher des scripts malveillants.

Les ransomwares lancent généralement une attaque en essayant de ne pas être détecté, chiffrant lentement les fichiers les uns après les autres pour éviter les soupçons. Cependant, contrairement à d'autres variantes, le ransomware fait ensuite connaître sa présence à l'utilisateur une fois qu'il a chiffré suffisamment de fichiers, généralement via une note de rançon ou un écran de démarrage.

C'est à partir de cet écran de démarrage que les utilisateurs sont d'abord informés que leurs fichiers sont verrouillés et que pour récupérer leurs données, ils doivent payer une somme d'argent. Le libellé exact des demandes varie selon les souches de ransomware, mais la plupart exigent une sorte de paiement dans un délai spécifié.

Certains messages sont agressifs dans l'espoir d'inciter l'utilisateur à effectuer un paiement rapide, tandis que d'autres tentent de se faire passer pour des organisations légitimes, telles que le FBI. Par exemple, la souche de ransomware « Jigsaw » tente de précipiter l'utilisateur pour qu'il paie ses frais en supprimant un fichier pour chaque heure pendant laquelle la demande est ignorée, et supprimera souvent environ 1000 fichiers si l'utilisateur tente de redémarrer son système.

La première instance de ransomware était le « cheval de Troie du SIDA » relativement infructueux qui a frappé en 1989, chiffrant le nom des fichiers plutôt que le contenu des fichiers, tandis que la clé de déchiffrement était cachée dans le code du malware. Malgré ces erreurs de déploiement, l'attaque était le premier cas où un pirate informatique exigeait de l'argent en échange d'un retour sécurisé de données volées.

Les attaquants fonctionnent toujours selon les mêmes principes fondamentaux, mais sont généralement beaucoup plus efficaces et exigent le plus souvent un paiement non pas en monnaie physique, mais en crypto-monnaies. La plupart des attaquants préfèrent Bitcoin ou Monero, qui sont intrinsèquement difficiles à retracer.

Ransomware en 2020

Il existe des centaines de souches de ransomwares dans le monde, et la menace particulière à laquelle vous êtes susceptible de faire face peut dépendre du continent, du pays ou même de la ville dans laquelle vous opérez. Par exemple, nous avons récemment examiné les dernières souches attaquant les entreprises opérant à travers le Royaume-Uni, mais l'image peut varier énormément d'une région à l'autre.

Ryuk est l'une des souches de ransomwares les plus populaires au monde, et des chiffres récents montrent qu'elle représentait un tiers de toutes les attaques de ransomwares en 2020. Le ransomware, qui a frappé des entreprises de haut niveau, dont le géant français des services informatiques Sopra Steria, a été enregistré en 67 millions d'attaques en 2020, contre seulement 5123 attaques ont été enregistrées au cours des trois premiers trimestres de 2019, contre 67 millions en 2020, selon une étude de SonicWall.

Le labyrinthe en est un autre. Cette souche de ransomware a été très active au cours de la dernière année et demie, paralysant récemment les systèmes de plusieurs grandes entreprises, dont Canon en août et Xerox en juillet. Cependant, en novembre 2020, le gang de ransomwares Maze a annoncé qu'il fermait définitivement ses opérations.

Ce qui est également courant, c'est un certain nombre de variétés proposées à la location. Connu sous le nom de ransomware en tant que service, ce modèle implique que des criminels paient des groupes de hackers établis pour coordonner une campagne de ransomware contre les cibles souhaitées. Cela permet aux criminels d'attaquer une cible sans risquer d'être identifiés et sans avoir besoin de connaissances approfondies en matière de codage.

Cela a également considérablement abaissé les barrières à l'entrée, ce qui signifie que n'importe qui, à condition d'avoir l'argent et l'envie de le faire, peut lancer une attaque de ransomware coordonnée et complète.

Selon l'équipe de Beazley Breach Response, le nombre d'attaques de ransomwares contre les entreprises a augmenté de 105% d'une année à l'autre au premier trimestre de 2019. Le même rapport a révélé que la demande moyenne de ransomwares a également augmenté de 93% pour atteindre 224 871 $, bien que cela ait été quelque peu faussé par un petit nombre de paiements importants.

Cependant, des paiements importants deviennent rapidement normaux, car les ransomwares ont commencé à se concentrer sur les grandes organisations ou les services publics critiques. Par exemple, deux villes de Floride ont accepté de payer collectivement 1,1 million de dollars pour retrouver l'accès à leurs systèmes à la suite d'une attaque de ransomware généralisée dans le secteur public.

Dois-je payer la rançon ?

De par sa conception, les ransomwares sont incroyablement perturbateurs pour les entreprises, et il peut être tentant de sortir rapidement et de se soumettre aux demandes - après tout, à chaque minute où votre entreprise est hors ligne, plus les dommages financiers et à la réputation peuvent être importants.

Cependant, la plupart des experts conviennent que payer une demande de ransomware est la pire chose que vous puissiez faire. Les ransomwares sont devenus incroyablement lucratifs, avec 121 millions d'attaques enregistrées rien qu'au premier semestre 2020, en hausse de 20% par rapport à l'année précédente. Cela est entièrement alimenté par le shakedown de ses victimes, et plus les entreprises cèdent aux demandes, même si le prix est relativement bas, plus les pirates vont utiliser cette tactique.

Même si vous n’adhérez pas à cette idée du bien commun, rien ne garantit en fin de compte que les pirates informatiques respecteront leur part du marché. Bien sûr, il est dans l’intérêt du pirate de le faire, car les victimes ne seront pas disposées à remettre leur argent si elles pensent que leurs attaquants vont se séparer et s’enfuir, mais rien ne les empêche de supprimer des données une fois qu’elles ont reçu leur argent.

Malheureusement, dans de nombreux cas, les données cryptées par un ransomware sont mieux considérées comme perdues. Les dommages causés à votre entreprise dépendront de la robustesse de vos sauvegardes de données et de vos processus de restauration. Avec un solide plan de reprise après sinistre en place, il est possible d'éliminer les piqûres d'une attaque de ransomware dès qu'elle commence.

Attaque de rançongiciel NHS 2017

Peut-être l'attaque de ransomware la plus célèbre à avoir frappé le Royaume-Uni s'est produite le 11 mai 2017, lorsque le NHS et un certain nombre de grandes organisations en Angleterre et en Écosse ont été frappés par « WannaCry ». On pense que cette souche s'est tranquillement répandue à travers l'Europe, infectant de grandes organisations telles que Telefonica en Espagne, Deutsche Bahn en Allemagne, Renault et FedEx, avant de s'activer. On pense que des centaines de milliers de systèmes informatiques dans 99 pays ont été touchés.

L'infection s'est propagée par trois vecteurs. La charge utile initiale (c'est-à-dire le logiciel ransomware connu sous le nom de « WannaCry » ou « WannaCrypt » a été introduite dans le réseau de l'organisation via un e-mail de phishing, un utilisateur cliquant sur un lien malveillant ou téléchargeant un fichier malveillant.

L'infection s'est ensuite propagée rapidement à travers le réseau à l'aide de deux outils qui auraient été développés par la NSA, l'exploit EternalBlue et la porte dérobée DoublePulsar, qui ont été libérés dans la nature par le groupe de piratage ShadowBrokers avec un certain nombre d'autres cyberarmes.

Tous les ordinateurs infectés du réseau ont donc vu leurs fichiers cryptés avec un message de rançon affiché sur leur écran exigeant environ 300 $ en Bitcoin à payer dans les trois jours ou 600 $ dans les sept jours. On ne sait pas combien d'organisations ont payé, mais le lundi 15 mai, les cybercriminels avaient gagné plus de 40000 dollars selon les URL associées aux demandes de rançon.

Microsoft avait publié un correctif pour la vulnérabilité, qui affectait tous les systèmes d'exploitation Windows de Windows 7 à 8.1, en mars. Cependant, il n'avait pas été appliqué à tous les éléments du réseau des organisations concernées. Il y a plusieurs raisons à cela, notamment la nécessité pour les organisations de procéder à un déploiement par étapes et les conflits potentiels avec d'autres systèmes et logiciels critiques.

Une autre raison est que de nombreuses entreprises utilisent encore Windows XP, encore une fois généralement en raison de problèmes de compatibilité. Comme XP n'est plus pris en charge, aucun correctif n'a été publié en mars, laissant tous les systèmes qui l'exécutent vulnérables à cette attaque. 90% du parc informatique du NHS était connu pour exécuter Windows XP au début de 2017, son contrat de support personnalisé ayant été résilié en 2015.

Compte tenu de l'ampleur de l'attaque, cependant, Microsoft a créé et publié un correctif pour XP, mais a conseillé aux organisations et aux particuliers de toujours appliquer les dernières mises à jour logicielles dès que possible pour se protéger contre les menaces de ce type.

reaction:

Commentaires