Un rançongiciel ou ransomware, reste l’une des menaces de cybersécurité les plus répandues de nos jours (2024 The State of Ransomware). Un ransomware est un logiciel malveillant qui retient en otage des informations spécifiques en échange d’une somme d’argent. Il s’agit généralement d’informations sensibles ou personnelles, telles que des comptes clients, des secrets commerciaux, voire des données de santé.
Les premières formes de ransomware fonctionnaient au cas par cas, les pirates ciblant des individus spécifiques et menaçant de verrouiller ou d’exposer les données capturées s’ils ne recevaient pas une certaine somme d’argent. Cependant, il a fini par devenir un modèle commercial lucratif, comme le Ransomware-as-a-Service (RaaS), où des pirates connus sous le nom d’opérateurs vendaient des kits RaaS à des personnes ayant des compétences techniques limitées. Cela a entraîné une croissance exponentielle du nombre d’attaques de ransomware dans le pays (il convient de noter que les États-Unis restent le pays le plus ciblé par les attaques de ransomware).
Il est essentiel que vous compreniez les ransomwares, que vous sachiez comment les détecter et comment les empêcher de se produire dans votre entreprise, d’autant plus que les experts prévoient que les dommages causés par les ransomwares dépasseront 265 milliards de dollars d’ici 2031.
Comment fonctionne un ransomware ?
La plupart des attaques de ransomware commencent par une intrusion dans votre ordinateur ou votre réseau par le biais d’une attaque de spear phishing réussie. Vous avez peut-être été manipulé pour cliquer sur un lien suspect ou télécharger un fichier malveillant qui installe un ransomware sur votre ordinateur.
Une fois à l’intérieur, le ransomware crypte automatiquement certains fichiers de votre ordinateur, vous bloquant complètement sur votre appareil et empêchant l’accès à ces fichiers. Le logiciel de ransomware affiche alors un message contenant des instructions sur la manière de payer la rançon. Le rançongiciel AdamLocker en est un exemple.
Certains programmes de ransomware comportent une limite de temps, supprimant automatiquement les fichiers après une période prédéterminée. Cela ajoute une pression supplémentaire pour payer rapidement ou risquer de perdre vos fichiers pour toujours ou de les exposer au public. On le retrouve généralement dans de nombreux kits RaaS, l’un des exemples les plus connus étant le ransomware REvil.
Il n’y a jamais de garantie qu’un pirate informatique décryptera vos fichiers, même si vous payez. Cependant, dans la plupart des cas, les attaquants vous redonneront accès à vos fichiers. Cela leur permet d’asseoir leur réputation sur le dark web et, par le bouche-à-oreille, de montrer qu’ils respectent leurs exigences et d’inciter les futures victimes à payer une rançon.
Les nouveaux dangers des ransomwares
Dans un récent guide de PwC, des chercheurs présentent 4 nouveaux dangers liés aux ransomwares.
1. Les pirates informatiques font déjà des recherches sur votre entreprise.
Chaque jour, les auteurs de ransomwares ciblent plusieurs entreprises pour trouver des failles dans leurs réseaux, qu’ils peuvent ensuite exploiter. Bien qu’il existe de nombreux facteurs permettant de choisir la « bonne » cible, les pirates informatiques recherchent généralement des entreprises qui : a) peuvent payer la rançon, b) ont de faibles défenses de sécurité et c) présentent le rapport coût/bénéfice le plus simple. Rappelez-vous que la plupart des cybercriminels ne veulent pas faire beaucoup d’efforts pour obtenir un gain financier. Si l’attaque de votre entreprise coûte plus cher que le gain perçu, vous devenez une option moins intéressante pour les pirates.
2. Les kits RaaS contribuent de nos jours à la forte croissance des cyberattaques.
Le World Economic Forum prévoit que les attaques de ransomware sous la forme de kits RaaS continueront d’augmenter au cours des prochaines années. En effet, les RaaS diminuent les obstacles, ce qui permet aux cybercriminels d’acheter simplement des logiciels sans passer de temps à les développer eux-mêmes. Les opérateurs RaaS sont également motivés pour continuer à développer des kits et à les vendre à d’autres, car ils n’ont plus à déployer leurs logiciels malveillants manuellement.
3. Les cybercriminels développent des ransomwares de plus en plus sophistiqués.
Les auteurs de ransomwares deviennent de plus en plus sophistiqués et trouvent de nouveaux moyens de monnayer vos données. L’un des principaux moyens de faire connaître leurs services est le dark web. Si vous refusez de payer, ces pirates peuvent publier les données volées sur des sites de fuite publics, qui peuvent être vendus à des groupes criminels.
Il existe également un nouveau phénomène de « double extorsion ». Dans ce cas, les pirates demandent une double rançon : une première pour décrypter vos fichiers et une seconde pour détruire leurs copies des données volées.
4. Il est probable que les pirates de ransomware ne seront pas punis, même s’ils sont pris en flagrant délit.
Bien que l’administration Biden se soit fermement engagée dans un « effort ciblé et intégré pour contrer la menace des ransomwares » aux États-Unis, certains experts ont critiqué tout effort visant à appréhender et à détenir les criminels qui utilisent des ransomwares. Plusieurs facteurs y contribuent, comme la longueur de la procédure judiciaire. Des efforts sont déployés de nos jours, notamment par la Federal Trade Commission, pour veiller à ce que les auteurs de ransomwares soient arrêtés, jugés équitablement et punis s’ils sont reconnus coupables.
Néanmoins, il peut être judicieux d’implémenter vos propres stratégies de défense contre les ransomwares.
Prévenir les attaques de ransomware
La Cybersecurity & Infrastructure Security Agency (CISA) propose des suggestions pour prévenir les attaques de ransomware au sein de votre entreprise.
1. Organiser régulièrement des formations pour les employés.
Il est important de former tous les membres de l’équipe de votre entreprise, et pas seulement l’équipe informatique. Les pirates informatiques ciblent les personnes vulnérables, qu’il s’agisse d’employés de base ou de cadres supérieurs.
2. Implémenter des protocoles de sécurité.
De la sauvegarde en cas de ransomware à l’application du 2FA, il existe de nombreuses façons de réduire le risque d’une attaque par ransomware. Gardez à l’esprit que les cybercriminels préfèrent les cibles faciles. En rendant difficile le piratage de votre réseau informatique, vous réduisez considérablement le risque d’être pris pour cible.
3. Mettre régulièrement à jour les logiciels.
La gestion des correctifs est un outil essentiel qui permet de maintenir votre réseau informatique en bonne santé en mettant continuellement à jour tous les logiciels. Si possible, recherchez un éditeur de logiciels, comme NinjaOne, qui automatise son système de gestion des correctifs afin que vos techniciens informatiques puissent se concentrer sur des projets plus stratégiques.
Arrêter les attaques de ransomware
Il n’existe pas de moyen absolu d’éliminer le risque d’attaque de votre entreprise par un ransomware. Toutefois, il existe des moyens d’atténuer cette menace. Un outil de protection contre les ransomwares tout-en-un comme NinjaOne Protect peut vous aider à défendre vos environnements gérés et à améliorer votre vitesse de réaction et votre résilience.