Qu'est-ce qu'un ransomware ?
Ce
type de malware pourrait vous frapper fort dans la poche.
Les
ransomwares sont l'une des plus grandes menaces de cybersécurité
auxquelles les entreprises sont confrontées aujourd'hui. C'est un type de
logiciel malveillant que les attaquants peuvent utiliser pour verrouiller un
appareil ou chiffrer son contenu afin d'extorquer de l'argent au propriétaire
ou à l'opérateur.
Compte
tenu de son potentiel à offrir un retour sur investissement élevé et de la
relative facilité avec laquelle il peut se propager, ce type d'attaque est
devenu extrêmement populaire parmi les cybercriminels. Elle a récemment été
désignée comme la plus grande menace à laquelle sont confrontées les petites et
moyennes entreprises (PME), car les attaquants profitent de la pandémie
COVID-19 pour attaquer les employés en dehors du bureau.
Selon
les chiffres de la société de cybersécurité dans le cloud Datto, 59% des MSP
ont déclaré que le passage au travail à distance avait entraîné une
augmentation des attaques de ransomwares, et 60% ont déclaré que leurs clients
PME avaient été touchés par des ransomwares au troisième trimestre de 2020.
Comment fonctionne le ransomware
Tout
comme les autres types de logiciels malveillants, les ransomwares se propagent
généralement en incitant les victimes à télécharger des pièces jointes
malveillantes, ce qui incite les scripts à s'exécuter automatiquement sur leur
système. Cependant, il est également possible que le ransomware se propage
partout où il est possible de cacher des scripts malveillants.
Les
ransomwares lancent généralement une attaque en essayant de ne pas être
détecté, chiffrant lentement les fichiers les uns après les autres pour éviter
les soupçons. Cependant, contrairement à d'autres variantes, le ransomware fait
ensuite connaître sa présence à l'utilisateur une fois qu'il a chiffré
suffisamment de fichiers, généralement via une note de rançon ou un écran de
démarrage.
C'est
à partir de cet écran de démarrage que les utilisateurs sont d'abord informés
que leurs fichiers sont verrouillés et que pour récupérer leurs données, ils
doivent payer une somme d'argent. Le libellé exact des demandes varie selon les
souches de ransomware, mais la plupart exigent une sorte de paiement dans un
délai spécifié.
Certains
messages sont agressifs dans l'espoir d'inciter l'utilisateur à effectuer un
paiement rapide, tandis que d'autres tentent de se faire passer pour des
organisations légitimes, telles que le FBI. Par exemple, la souche de
ransomware « Jigsaw » tente de précipiter l'utilisateur pour qu'il
paie ses frais en supprimant un fichier pour chaque heure pendant laquelle la
demande est ignorée, et supprimera souvent environ 1000 fichiers si
l'utilisateur tente de redémarrer son système.
La
première instance de ransomware était le « cheval de Troie du SIDA »
relativement infructueux qui a frappé en 1989, chiffrant le nom des fichiers
plutôt que le contenu des fichiers, tandis que la clé de déchiffrement était
cachée dans le code du malware. Malgré ces erreurs de déploiement, l'attaque
était le premier cas où un pirate informatique exigeait de l'argent en échange
d'un retour sécurisé de données volées.
Les
attaquants fonctionnent toujours selon les mêmes principes fondamentaux, mais
sont généralement beaucoup plus efficaces et exigent le plus souvent un
paiement non pas en monnaie physique, mais en crypto-monnaies. La plupart des
attaquants préfèrent Bitcoin ou Monero, qui sont intrinsèquement difficiles à
retracer.
Ransomware en 2020
Il
existe des centaines de souches de ransomwares dans le monde, et la menace
particulière à laquelle vous êtes susceptible de faire face peut dépendre du
continent, du pays ou même de la ville dans laquelle vous opérez. Par exemple,
nous avons récemment examiné les dernières souches attaquant les entreprises
opérant à travers le Royaume-Uni, mais l'image peut varier énormément d'une
région à l'autre.
Ryuk
est l'une des souches de ransomwares les plus populaires au monde, et des
chiffres récents montrent qu'elle représentait un tiers de toutes les attaques
de ransomwares en 2020. Le ransomware, qui a frappé des entreprises de haut
niveau, dont le géant français des services informatiques Sopra Steria, a été
enregistré en 67 millions d'attaques en 2020, contre seulement 5123 attaques
ont été enregistrées au cours des trois premiers trimestres de 2019, contre 67
millions en 2020, selon une étude de SonicWall.
Le
labyrinthe en est un autre. Cette souche de ransomware a été très active au
cours de la dernière année et demie, paralysant récemment les systèmes de
plusieurs grandes entreprises, dont Canon en août et Xerox en juillet.
Cependant, en novembre 2020, le gang de ransomwares Maze a annoncé qu'il
fermait définitivement ses opérations.
Ce
qui est également courant, c'est un certain nombre de variétés proposées à la
location. Connu sous le nom de ransomware en tant que service, ce modèle
implique que des criminels paient des groupes de hackers établis pour
coordonner une campagne de ransomware contre les cibles souhaitées. Cela permet
aux criminels d'attaquer une cible sans risquer d'être identifiés et sans avoir
besoin de connaissances approfondies en matière de codage.
Cela
a également considérablement abaissé les barrières à l'entrée, ce qui signifie
que n'importe qui, à condition d'avoir l'argent et l'envie de le faire, peut
lancer une attaque de ransomware coordonnée et complète.
Selon
l'équipe de Beazley Breach Response, le nombre d'attaques de ransomwares contre
les entreprises a augmenté de 105% d'une année à l'autre au premier trimestre
de 2019. Le même rapport a révélé que la demande moyenne de ransomwares a
également augmenté de 93% pour atteindre 224 871 $, bien que cela ait été
quelque peu faussé par un petit nombre de paiements importants.
Cependant,
des paiements importants deviennent rapidement normaux, car les ransomwares ont
commencé à se concentrer sur les grandes organisations ou les services publics
critiques. Par exemple, deux villes de Floride ont accepté de payer
collectivement 1,1 million de dollars pour retrouver l'accès à leurs systèmes à
la suite d'une attaque de ransomware généralisée dans le secteur public.
Dois-je payer la rançon ?
De
par sa conception, les ransomwares sont incroyablement perturbateurs pour les
entreprises, et il peut être tentant de sortir rapidement et de se soumettre
aux demandes - après tout, à chaque minute où votre entreprise est hors ligne,
plus les dommages financiers et à la réputation peuvent être importants.
Cependant,
la plupart des experts conviennent que payer une demande de ransomware est la
pire chose que vous puissiez faire. Les ransomwares sont devenus incroyablement
lucratifs, avec 121 millions d'attaques enregistrées rien qu'au premier
semestre 2020, en hausse de 20% par rapport à l'année précédente. Cela est
entièrement alimenté par le shakedown de ses victimes, et plus les entreprises
cèdent aux demandes, même si le prix est relativement bas, plus les pirates
vont utiliser cette tactique.
Même
si vous n’adhérez pas à cette idée du bien commun, rien ne garantit en fin de
compte que les pirates informatiques respecteront leur part du marché. Bien
sûr, il est dans l’intérêt du pirate de le faire, car les victimes ne seront
pas disposées à remettre leur argent si elles pensent que leurs attaquants vont
se séparer et s’enfuir, mais rien ne les empêche de supprimer des données une
fois qu’elles ont reçu leur argent.
Malheureusement,
dans de nombreux cas, les données cryptées par un ransomware sont mieux
considérées comme perdues. Les dommages causés à votre entreprise dépendront de
la robustesse de vos sauvegardes de données et de vos processus de
restauration. Avec un solide plan de reprise après sinistre en place, il est
possible d'éliminer les piqûres d'une attaque de ransomware dès qu'elle
commence.
Attaque de rançongiciel NHS 2017
Peut-être
l'attaque de ransomware la plus célèbre à avoir frappé le Royaume-Uni s'est
produite le 11 mai 2017, lorsque le NHS et un certain nombre de grandes
organisations en Angleterre et en Écosse ont été frappés par « WannaCry ».
On pense que cette souche s'est tranquillement répandue à travers l'Europe,
infectant de grandes organisations telles que Telefonica en Espagne, Deutsche
Bahn en Allemagne, Renault et FedEx, avant de s'activer. On pense que des
centaines de milliers de systèmes informatiques dans 99 pays ont été touchés.
L'infection
s'est propagée par trois vecteurs. La charge utile initiale (c'est-à-dire le
logiciel ransomware connu sous le nom de « WannaCry » ou « WannaCrypt »
a été introduite dans le réseau de l'organisation via un e-mail de phishing, un
utilisateur cliquant sur un lien malveillant ou téléchargeant un fichier
malveillant.
L'infection
s'est ensuite propagée rapidement à travers le réseau à l'aide de deux outils
qui auraient été développés par la NSA, l'exploit EternalBlue et la porte
dérobée DoublePulsar, qui ont été libérés dans la nature par le groupe de
piratage ShadowBrokers avec un certain nombre d'autres cyberarmes.
Tous
les ordinateurs infectés du réseau ont donc vu leurs fichiers cryptés avec un
message de rançon affiché sur leur écran exigeant environ 300 $ en Bitcoin à
payer dans les trois jours ou 600 $ dans les sept jours. On ne sait pas combien
d'organisations ont payé, mais le lundi 15 mai, les cybercriminels avaient
gagné plus de 40000 dollars selon les URL associées aux demandes de rançon.
Microsoft
avait publié un correctif pour la vulnérabilité, qui affectait tous les
systèmes d'exploitation Windows de Windows 7 à 8.1, en mars. Cependant, il
n'avait pas été appliqué à tous les éléments du réseau des organisations
concernées. Il y a plusieurs raisons à cela, notamment la nécessité pour les
organisations de procéder à un déploiement par étapes et les conflits
potentiels avec d'autres systèmes et logiciels critiques.
Une
autre raison est que de nombreuses entreprises utilisent encore Windows XP,
encore une fois généralement en raison de problèmes de compatibilité. Comme XP
n'est plus pris en charge, aucun correctif n'a été publié en mars, laissant
tous les systèmes qui l'exécutent vulnérables à cette attaque. 90% du parc
informatique du NHS était connu pour exécuter Windows XP au début de 2017, son
contrat de support personnalisé ayant été résilié en 2015.
Compte tenu de l'ampleur de l'attaque, cependant, Microsoft a créé et publié un correctif pour XP, mais a conseillé aux organisations et aux particuliers de toujours appliquer les dernières mises à jour logicielles dès que possible pour se protéger contre les menaces de ce type.
Commentaires
Enregistrer un commentaire