/ Qu’est-ce qu’un ransomware?
Qu’est-ce qu’un ransomware?
Le ransomware est une forme de malware (logiciel malveillant) qui chiffre et/ou dérobe les données et les restitue contre une rançon, généralement exigée en crypto-monnaies telles que le bitcoin. Les attaques par ransomware chiffrent le plus souvent les fichiers et empêchent les victimes d’accéder à leurs données, à moins que celles-ci ne paient une rançon avant une date limite, après laquelle elles risquent de perdre définitivement l’accès aux données. Le paiement exigé pour une clé de déchiffrement peut varier de plusieurs centaines à plusieurs millions de dollars.
L’histoire des ransomwares et l’augmentation des attaques
Bien que les cybercriminels lancent des attaques de ransomware depuis plus de 30 ans, on observe une nette recrudescence de ces attaques ces dernières années. Selon le FBI, les attaques de ransomwares ont commencé à se multiplier en 2012 et ne montrent aucun signe de ralentissement.
Dans le passé, un professionnel qualifié pouvait facilement neutraliser les attaques par ransomware qui verrouillaient les fichiers ou l’ordinateur d’un utilisateur. Mais ces dernières années, ces attaques ont gagné en sophistication et, dans de nombreux cas, n’ont laissé aux victimes d’autre choix que de payer la rançon ou de perdre définitivement leurs données.
Un changement récent et notable apparu dans de nombreuses variantes de la famille des ransomwares consiste en l’ajout d’une fonction d’exfiltration des données. Cette nouvelle fonctionnalité permet aux cybercriminels d’exfiltrer les données sensibles des entreprises victimes avant de les chiffrer. Ces données exfiltrées constituent une sorte de police d’assurance pour les hackers. Ainsi, même si les victimes disposent de bonnes sauvegardes, elles payeront la rançon pour éviter que leurs données ne soient divulguées.
En raison des limites de capacité des technologies de sécurité traditionnelles, telles que les pare-feu de nouvelle génération, la plupart des entreprises ne sont pas en mesure d’inspecter l’ensemble du trafic chiffré circulant vers et depuis les terminaux. Les hackers le savent, c’est pourquoi ils utilisent de plus en plus le chiffrement pour dissimuler leurs codes malveillants dans les liens et les pièces jointes.
Comment fonctionne le ransomware
Une infection par ransomware se propage le plus souvent par des e-mails et des publicités de phishing contenant des liens infectés ou par un site Web piégé contenant un malware. Ces escroqueries semblent souvent provenir d’une entreprise légitime ou d’une personne connue de la victime (dans le cadre d’attaques ciblées), et incitent l’utilisateur à cliquer sur un lien malveillant ou à ouvrir une pièce jointe malveillante qui déploie le payload du ransomware sur la machine.
Les attaques par ransomware contre des particuliers se caractérisent le plus souvent par le verrouillage et la prise en otage de documents, de photos et d’informations financières. Si les particuliers peuvent constituer une cible plus facile, les sociétés, en particulier les grandes entreprises, sont beaucoup plus attrayantes. Si les hackers parviennent à faire en sorte qu’un seul employé télécharge le malware, celui-ci peut ensuite se propager de l’ordinateur ou du dispositif mobile de la victime au réseau, où les enjeux sont beaucoup plus importants. Non seulement une attaque peut perturber l’activité de l’entreprise, mais la menace de perte ou de divulgation des données peut être catastrophique et coûteuse en termes financiers et de réputation de la société.
Types/exemples d’attaques par ransomware
Parmi la myriade de types de ransomware et de groupes de ransomware, voici quelques-uns des plus courants et des plus connus :
- Cryptolocker : en 2014, le malware CryptoLocker a été en grande partie neutralisé grâce à une collaboration internationale entre des sociétés de sécurité et les forces de l’ordre. Toutefois, son succès a donné naissance à une multitude d’imitations de Cryptolocker.
- GandCrab : selon le rapport Ransomware in Global Context de VirusTotal, cette famille est la plus présente dans les attaques par ransomware depuis 2020, avec 78,5 % des échantillons prélevés pour le rapport provenant de ce type de ransomware.
- REvil/Sodinokibi : ce groupe est connu pour avoir dérobé de grandes quantités d’informations dans les secteurs juridique et du divertissement, mais aussi dans le secteur public. Il a fait les gros titres pour la première fois en mai 2020, mais a mené des attaques successives tous les mois de mars à octobre 2021, avec notamment l’attaque de Kaseya VSA.
- WannaCry : ransomware cryptoworm qui cible le système d’exploitation Microsoft Windows, il a touché plus de 300 000 systèmes (et ce n’est pas fini) dans le monde depuis son introduction en 2017.
- Ryuk : cette souche de ransomwares a été liée à un certain nombre de groupes qui ont frappé des industries telles que la santé, le secteur public et l’éducation, en particulier les systèmes scolaires américains.
- Evil Corp : ce groupe est responsable de Dridex, un type de programme malveillant déployé par le biais d’e-mails d’hameçonnage et connu pour le vol d’identifiants bancaires. Il a depuis été associé à d’autres types de ransomware tels que WastedLocker, BitPaymer et DoppelPaymer.
Ce ne sont là que quelques-uns des exemples les plus remarquables de ransomware ; de nouvelles variantes de ransomware naissent chaque jour, chacune étant conçue pour attaquer une variété de vecteurs. Alors, dans quelle mesure êtes-vous protégé contre les attaques de ransomware ? Pour le savoir, exécutez une analyse gratuite de l’exposition aux menaces sur Internet.
Ransomware en tant que service (RaaS)
Le ransomware en tant que service est un sous-produit issu de la popularité et du succès du ransomware. Comme de nombreuses offres SaaS légales, les outils RaaS sont généralement basés sur un abonnement. Ils sont souvent peu coûteux et facilement disponibles sur le dark web, offrant une plateforme permettant à quiconque, même sans compétences en programmation, de lancer une attaque. Si une attaque RaaS réussit, l’argent de la rançon est divisé entre le fournisseur de services, le codeur et l’abonné.
Bonnes pratiques de prévention contre les ransomwares
Bien que certaines entreprises investissent dans une assurance de cybersécurité pour faire face aux coûts d’une cyberattaque ou d’une fuite de données, la prévention reste la meilleure ligne de conduite face aux ransomwares. Pour protéger votre entreprise contre les ransomwares, la CISA (Cybersecurity & Infrastructure Security Agency) et le FBI recommandent ce qui suit :
- Sauvegardez le contenu de vos ordinateurs afin de pouvoir restaurer votre système dans son état antérieur à partir de vos sauvegardes.
- Conservez vos sauvegardes séparément, par exemple sur un disque dur externe ou dans le cloud, de sorte qu’elles ne soient pas accessibles depuis un réseau.
- Mettez vos ordinateurs à jour et appliquez les correctifs afin d’éliminer les vulnérabilités des applications et des systèmes d’exploitation.
- Formez les employés par le biais de sessions de sensibilisation à la cybersécurité continues et obligatoires afin de vous assurer qu’ils sont au courant des menaces actuelles et des bonnes pratiques en matière de sécurité. Veillez à ce qu’ils fassent preuve de prudence à l’égard des e-mails, même ceux provenant d’expéditeurs qu’ils connaissent, en vérifiant la légitimité de l’expéditeur avant d’ouvrir une pièce jointe ou de cliquer sur un lien.
- Créez un plan de continuité pour remédier à une éventuelle attaque de ransomware dont votre entreprise serait victime.
- Utilisez un anti-malware et/ou un logiciel antivirus pour aider les utilisateurs à arrêter les menaces avant qu’elles ne puissent faire des ravages.
- Déployez des mesures d’authentification fortes utilisant le Zero Trust pour empêcher les hackers de compromettre votre réseau, vos applications et vos données.
Meilleures défenses technologiques
La technologie moderne de défense contre les ransomwares est non seulement très efficace, mais elle est également facile à déployer. Une protection appropriée contre les ransomwares commence par l’adoption d’une posture de sécurité construite nativement dans le cloud pour protéger les utilisateurs, les applications et les données sensibles contre ces attaques, quel que soit l’endroit d’où les utilisateurs se connectent ou les appareils qu’ils utilisent.
Pour répondre aux menaces de ransomware les plus courantes, une stratégie de prévention doit intégrer les principes et outils suivants afin d’empêcher que ces attaques divulguent vos données, perturbent votre activité ou coûtent du temps et de l’argent à votre entreprise :
- Utiliser un sandbox de quarantaine piloté par l’IA pour retenir et inspecter tout contenu suspect avant de l’autoriser à parvenir au destinataire
- Inspecter tout le trafic chiffré par SSL/TLS pour vous assurer qu’il ne contient aucune menace cachée
- Mettre en place une protection permanente pour les utilisateurs sur le réseau et en dehors de celui-ci
Aucune société, grande ou petite, n’est à l’abri d’un ransomware sans une défense de sécurité dédiée. Ne devenez pas la prochaine victime d’un ransomware ou la prochaine entreprise à faire la une des journaux à la suite d’une attaque.
Renforcez dès aujourd'hui votre stratégie de protection contre les ransomwares
Comme le montrent les recherches et les gros titres des journaux à travers le monde, les ransomwares ne sont pas près de disparaître. Zscaler a déjà aidé des milliers de clients à empêcher que les ransomware et d’innombrables autres cyberattaques n’atteignent leurs réseaux grâce à une évolutivité inégalée et à une expérience utilisateur exceptionnelle.
Voici quelques ressources supplémentaires à prendre en compte pour affiner votre stratégie de sécurité globale :
- Analyse de la vulnérabilité aux attaques Internet : outil gratuit d’analyse de l’exposition aux menaces
- Trois secrets pour neutraliser les attaques de ransomware avant qu’elles ne surviennent : webinaire à la demande
- Trois secrets pour neutraliser les attaques de ransomware avant qu’elles ne surviennent : livre blanc
- Zscaler Cloud Sandbox
- Inspection SSL de Zscaler