Ransomware

Qu’est-ce qu’un ransomware ?

Les attaquants exigent souvent une rançon en échange d’une clé de déchiffrement. Malheureusement, les pirates fournissent rarement la clé de déchiffrement, même après le paiement de la rançon, privant ainsi les victimes du montant de la rançon et de leurs données. 

Le coût moyen de la reprise en cas de ransomware (hors paiement de la rançon) pour les organisations est de 2,73 millions de dollarsSophos.%20%C2%AB%E2%88%98%3Ca%20href%3D%22https%3A%2F%2Fcybersecurityventures.com%2Fglobal-ransomware-damage-costs-predicted-to-reach-250-billion-usd-by-2031%2F%22%20target%3D%22_blank%22%20external-link%3D%22true%22%20data-analytics-region-id%3D%22footnote_tip%7Clink_click%22%3EThe%202024%20ransomware%20experience%3C%2Fa%3E.%E2%88%98%C2%BB%202024. On estime le coût des attaques par ransomware subi par leurs victimes à hauteur de 265 milliards (de dollars) par an d’ici 2031, à raison d’une nouvelle attaque contre une entreprise, un consommateur ou un appareil toutes les deux secondes%3Ca%20href%3D%22https%3A%2F%2Fwww.einnews.com%2Fpr_news%2F542950077%2Fglobal-ransomware-damage-costs-to-exceed-265-billion-by-2031%22%20target%3D%22_blank%22%20external-link%3D%22true%22%20data-analytics-region-id%3D%22footnote_tip%7Clink_click%22%3Ehttps%3A%2F%2Fwww.einnews.com%2Fpr_news%2F542950077%2Fglobal-ransomware-damage-costs-to-exceed-265-billion-by-2031%3C%2Fa%3E.

Les ransomwares sont une préoccupation constante pour les organisations. Selon une étude ESG, 75 % des organisations ont subi des attaques de ransomware au cours des 12 derniers mois, et 10 % d’entre elles ont été confrontées à des attaques quotidiennesEnterprise%20Strategy%20Group.%20%C2%AB%E2%88%982023%20Ransomware%20preparedness%3A%20Lighting%20the%20way%20to%20readiness%20and%20mitigation.%E2%88%98%C2%BB%20Septembre%202023.. Les attaques par ransomware se multiplient car les entreprises privilégient de plus en plus la prise de décision fondée sur les données et considèrent leurs données comme une propriété intellectuelle (PI) précieuse. Outre le cryptage des données, certains pirates subtilisent également des informations en menaçant de les mettre à la disposition d’autres acteurs malveillants, afin d’accroître la pression exercée sur l’entreprise pour qu’elle paie la rançon.

Les ransomwares représentent un marché très lucratif. De nombreux acteurs de la menace sont des groupes du crime organisé. En tant qu’industrie, la valeur des ransomwares était estimée à 14 milliards de dollars il y a quelques années seulementWoodward%2C%20M.%20%C2%AB%E2%88%98Ransomware%20statistics%3A%20How%20bad%20are%20ransomware%20attacks%20in%202024%3F%E2%88%98%C2%BB%20Search%20Logistics.%20Mis%20%C3%A0%20jour%20en%20f%C3%A9vrier%26nbsp%3B2025..

Certaines attaques par ransomware commencent par inciter un utilisateur à ouvrir un fichier, souvent une pièce jointe à un e-mail, qui télécharge ensuite un code malveillant, lequel se propage via le réseau. D’autres profitent des vulnérabilités des systèmes d’exploitation, des faiblesses des systèmes de sécurité physique ou des failles logicielles pour accéder à un réseau et s’enraciner dans le système.

La première menace de ransomware à grande échelle a débuté en septembre 2013 avec l’émergence de CryptoLocker, un programme malveillant de type cheval de Troie qui incitait les utilisateurs à télécharger un fichier qui infectait ensuite leurs systèmes et scannait le réseau à la recherche de systèmes et de fichiers supplémentaires à chiffrer. En mai 2014, à la suite d’une opération conjointe des forces de l’ordre et des agences de sécurité, le cheval de Troie CryptoLocker a été mis hors service. Cependant, de nombreuses imitations de celui-ci circulent encore.

Beaucoup d’autres familles de ransomware ont été développées depuis lors. Parmi les plus courantes, citons Conti, Maze (Egregor), Sodinokibi (REvil), TorrentLocker, WannaCry, Petya (NotPetya), Ryuk et MegaCortex. Quel que soit leur nom, leur objectif est le même : extorquer de l’argent aux victimes en échange du déchiffrement de leurs données et fichiers.

Les nouveaux systèmes de ransomware-as-a-service (RaaS), qui permettent à toute personne ayant des connaissances informatiques de base et un accès à Internet de se lancer dans le commerce du ransomware, contribuent à la croissance significative de ce type d’attaques. L’auteur du ransomware met des ressources, telles que les outils du cryptage, les communications avec les victimes et la collecte de la rançon, à la disposition d’autres cybercriminels en échange d’un pourcentage du paiement de la rançon.

La plupart des attaques par ransomware actuelles sont difficiles à détecter car elles sont passent de plus en plus inaperçues pour les administrateurs système et les protections des terminaux. Les pirates acquièrent ainsi une persistance durable sur le dispositif et parviennent, par conséquent, à infliger des dommages à tout moment. Le temps de séjour moyen d’un ransomware est de 24 jours, ce qui donne aux pirates tout le temps et l’opportunité d’accéder aux données d’une entreprise et de les altérer.

Il suffit qu’un seul utilisateur gère mal ses mots de passe ou clique sur un lien dans un e-mail de phishing pour mettre en danger le réseau d’une entreprise. Pour de nombreuses entreprises, mettre en place une formation de sensibilisation à la sécurité à l’intention des employés est une étape importante pour minimiser le risque de pénétration des programmes de type ransomware dans leurs réseaux. Cette formation doit être régulièrement mise à jour en fonction de l’évolution des techniques d’attaque.

La meilleure façon de se protéger contre les logiciels malveillants qui exploitent les vulnérabilités logicielles consiste à maintenir les systèmes d’exploitation et les applications critiques à jour en installant tous les correctifs et toutes les mises à jour. La surveillance du réseau, la protection par mot de passe, l’authentification multifactorielle (MFA) et les mesures de sécurité des terminaux sont autant de technologies et de tactiques utiles pour contribuer à réduire le profil d’une entreprise face aux menaces.

Dans la mesure où il est impossible d’éliminer complètement la menace d’une attaque par ransomware, la mise en place d’une stratégie de sauvegarde robuste peut permettre à une entreprise victime d’une attaque d’amorcer une reprise plus rapidement en subissant une interruption minimale de ses opérations. Ces sauvegardes doivent être isolées du réseau afin de bloquer leur accès aux logiciels malveillants, car la plupart des programmes de type ransomware tentent également de chiffrer les sauvegardes :

• L’e-mail de hameçonnage : un vecteur de ransomware très répandu. Les pirates envoient à leurs cibles des messages électroniques qui semblent provenir d’une source fiable. Ces messages tentent généralement d’amener le destinataire à saisir des informations d’identification personnelles sur une page Web usurpée ou à télécharger un fichier contenant un logiciel malveillant.
• Le protocole de bureau à distance (Remote Desktop Protocol, RDP) : protocole Microsoft qui permet aux utilisateurs de se connecter à distance à un système et d’y exécuter des commandes. Malheureusement, la sécurité du protocole RDP dépend fortement du fait que les utilisateurs utilisent des mots de passe forts et uniques, ce qui n’est pas fréquent dans la pratique. Les pirates peuvent facilement craquer les informations d’identification RDP ou acheter des noms d’utilisateur et des mots de passe piratés sur le dark Web pour accéder à un système.
• Les vulnérabilités logicielles : elles constituent une autre méthode courante de diffusion de ransomware. Les logiciels qui n’ont pas été mis à jour peuvent créer des failles dans les architectures de sécurité et offrir une porte ouverte aux intrusions de logiciels malveillants. Ces vulnérabilités constituent une cible relativement facile pour les pirates, car ils n’ont pas besoin de craquer ou d’obtenir des informations d’identification.