QU'EST-CE QU'UN Ransomware?

Kurt Baker - janvier 11, 2022

Définition du ransomware

Un ransomware est un type de logiciel malveillant qui chiffre les données d’une victime jusqu’au versement d’une rançon à l’auteur de l’attaque. Si la rançon n’est pas payée, le cybercriminel publie les données sur des sites de fuite dédiés ou bloque définitivement l’accès aux fichiers.

Les ransomwares demeurent l’une des tactiques les plus rentables pour les cybercriminels. En effet, le coût mondial des ransomwares en 2020 a été estimé à 20 milliards de dollars et le montant moyen des rançons s’est élevé à 84 000 dollars.

Statistiques sur les ransomwares

Vous trouverez ci-dessous quelques statistiques sur les ransomwares de 2021 de l’enquête annuelle Global Security Attitude de CrowdStrike :

  • le paiement moyen de la rançon a augmenté de 63 % en 2021 pour atteindre 1,79 million de dollars (USD), contre 1,10 million de dollars (USD) en 2020
  • la demande moyenne de rançon des attaquants est de 6 millions de dollars
  • 96% de ceux qui ont payé la rançon initiale ont également dû payer des frais d’extorsion
  • 66% des entreprises interrogées ont subi au moins une attaque de ransomware cette année
  • 57% des personnes touchées par les ransomwares n’avaient pas de stratégie globale en place pour coordonner leur réponse

Ressources sur les ransomwares

Fonctionnement des ransomwares

À l’heure actuelle, les ransomwares sont généralement distribués par le biais d’e-mails de phishing très ciblés, de techniques d’ingénierie sociale, d’attaques de type « watering hole » (de point d’eau) ou de réseaux publicitaires malveillants. Dans la plupart des cas, la victime finit par cliquer sur un lien malveillant, introduisant ainsi la variante du ransomware sur son terminal.

Dès lors qu’un terminal ou un système a été infecté, le ransomware s’emploie immédiatement à identifier et chiffrer les fichiers de la victime. Une fois les données chiffrées, une clé de déchiffrement est nécessaire pour déverrouiller les fichiers. Pour obtenir cette clé, la victime doit suivre les instructions fournies dans une demande de rançon qui indique comment payer le cyberattaquant, généralement en bitcoins.

Les cybercriminels comptent sur le fait que les particuliers et les entreprises seront tellement impatients de récupérer l’accès à leurs données qu’ils seront prêts à payer une rançon élevée pour obtenir la clé de déchiffrement nécessaire au déverrouillage des données.

ransom letter from hackers demanding bitcoin

Demande de rançon exigeant un paiement en bitcoins

Types de ransomwares

Ransomware de chiffrement – Dans ce cas-ci, le ransomware chiffre systématiquement les fichiers présents sur le disque dur du système, qui devient alors difficile à déchiffrer sans verser la rançon permettant d’obtenir la clé de déchiffrement. Le paiement doit être effectué au moyen de bitcoins, de MoneyPak, de PaySafeCard, d’Ukash ou d’une carte (de débit) prépayée.

Verrouilleur d’écran – Les verrouilleurs d’écran bloquent complètement l’accès à votre ordinateur ou à votre système, si bien que vos fichiers et applications sont inaccessibles. Un écran de verrouillage affiche la demande de rançon, éventuellement avec un compte à rebours pour accroître la pression et pousser les victimes à agir.

Scareware – Un scareware est un logiciel qui utilise des fenêtres pop-up pour convaincre les victimes qu’elles ont été contaminées par un virus et qui les incite à télécharger un faux logiciel antivirus pour résoudre le problème.

Publicité malveillante (malvertising) – La publicité malveillante est une technique qui consiste à injecter un code malveillant dans des publicités en ligne.

Exemples de variantes de ransomwares

VarianteDescription
CryptoLockerLe ransomware CryptoLocker était révolutionnaire tant par le nombre de systèmes qu'il a touchés que par l'utilisation d'algorithmes cryptographiques puissants. Les opérateurs de ce ransomware ont principalement exploité leur réseau de robots à des fins de fraude bancaire.
NotPetyaNotPetya combine ransomware et capacité à se propager sur un réseau. Il se dissémine sur les machines Microsoft Windows à l'aide de plusieurs méthodes de propagation, notamment l'exploit EternalBlue pour la vulnérabilité CVE-2017-0144 du service SMB.
RyukWIZARD SPIDER est un groupe cybercriminel sophistiqué qui exploite le ransomware Ryuk depuis août 2018. Il cible essentiellement les grandes entreprises afin d'obtenir un retour sur rançon élevé.
REvil
(Sodinokibi)
Le ransomware Sodinokibi/REvil est généralement associé au groupe cybercriminel PINCHY SPIDER et à ses affiliés, qui opèrent selon un modèle de ransomware en tant que service (RaaS).
WannaCryWannaCry a ciblé des établissements de soins de santé et des entreprises de services publics à l'aide d'un exploit Microsoft Windows appelé EternalBlue, qui permettait le partage de fichiers, ouvrant ainsi la voie à la propagation du ransomware.

Quelles sont les cibles des ransomwares ?

Les entreprises de toutes tailles peuvent être la cible de ransomwares. Même si la chasse au gros gibier enregistre une forte progression, les ransomwares ciblent régulièrement les petites et moyennes entreprises, y compris les administrations publiques locales et nationales, souvent plus vulnérables aux attaques.

Les petites entreprises sont prises pour cible pour diverses raisons : profit financier, capital intellectuel, accès et données des clients. En fait, l’accès représente un facteur clé car une PME peut servir de vecteur pour attaquer une société mère plus importante ou la supply chain d’une cible majeure.

Le succès des attaques de ransomware à l’encontre des PME peut être attribué aux difficultés uniques associées à leur plus petite taille, mais surtout à un problème plus général auquel les sociétés de toutes tailles sont confrontées : le facteur humain. S’il est fréquent, voire normal, de remettre un ordinateur aux membres du personnel dans les plus grandes entreprises, les petites sociétés ne fournissent pas toujours des ordinateurs à leurs employés et acceptent souvent que ceux-ci utilisent leurs terminaux personnels.

Ces terminaux sont utilisés à la fois dans le cadre professionnel, notamment pour l’accès et le stockage d’informations et documents sensibles, et dans la sphère privée, pour la navigation et des recherches, par exemple. Ces appareils « double emploi » hébergent un volume important d’informations professionnelles et personnelles, dont des informations de cartes de crédit, des comptes de messagerie, des plateformes de réseau social, ainsi que des photos et contenus personnels.

Les universités, par exemple, disposent souvent d’équipes de sécurité réduites pour un grand nombre d’utilisateurs enclins à partager des fichiers à foison, si bien que les défenses sont plus faciles à pénétrer. Les établissements médicaux peuvent également être ciblés car ils ont souvent besoin d’un accès immédiat à leurs données dans un contexte où des vies peuvent être en jeu, ce qui les incite à payer immédiatement. Par ailleurs, les établissements financiers et les cabinets d’avocats peuvent être plus enclins à verser la rançon en raison de la sensibilité de leurs données, et surtout à la payer en toute discrétion pour éviter toute publicité négative.

Faut-il payer la rançon ?

Le FBI n’est pas favorable au versement d’une rançon à la suite d’une attaque de ransomware. Outre le fait que le versement de la rançon encourage le modèle commercial cybercriminel, l’argent peut finir dans les poches d’organisations terroristes, de blanchisseurs d’argent et d’États voyous. De plus, bien que peu d’entreprises admettent publiquement avoir versé des rançons, les cyberadversaires publient ces informations sur le Dark Web,, permettant ainsi à d’autres cybercriminels à la recherche de cibles d’en avoir connaissance.

Le versement de la rançon n’entraîne pas nécessairement une reprise plus rapide, pas plus qu’il ne garantit la restauration des données. Différents problèmes peuvent en effet se poser : existence de plusieurs clés de déchiffrement, outil de déchiffrement défectueux ou incompatible avec le système d’exploitation de la victime, clé de déchiffrement ne fonctionnant que sur une couche alors qu’un double déchiffrement a été appliqué, ou encore données corrompues. Moins de la moitié des victimes d’un ransomware parviennent à restaurer leurs systèmes.

Protection contre les ransomwares

Une fois le chiffrement exécuté, il est souvent trop tard pour récupérer les données. C’est pourquoi la meilleure protection contre les ransomwares repose sur une prévention proactive.

Les ransomwares évoluent en permanence, si bien que de nombreuses entreprises peinent à maintenir une protection efficace. Pour protéger vos opérations, respectez les bonnes pratiques suivantes :

1. Formez tous vos collaborateurs aux bonnes pratiques en matière de cybersécurité.

Vos collaborateurs constituent votre première ligne de défense. Assurez-vous qu’ils respectent les bonnes pratiques en matière d’hygiène IT : utilisation de mots de passe forts, connexion à des réseaux Wi-Fi sécurisés uniquement, s’abstenir de cliquer sur les liens contenus dans des e-mails non sollicités, etc.

2. Maintenez votre système d’exploitation et vos logiciels à jour et appliquez les correctifs.

Les cybercriminels sont constamment à la recherche de failles et de portes dérobées à exploiter. En mettant scrupuleusement à jour vos systèmes, vous réduirez votre exposition aux vulnérabilités connues.

3. Implémentez une solution de protection de la messagerie et optimisez-la.

CrowdStrike recommande d’implémenter une solution de protection de la messagerie dotée de fonctionnalités de filtrage des URL et d’analyse des pièces jointes en environnement sandbox. Pour optimiser cette solution, vous pouvez y adjoindre une fonction d’intervention automatisée assurant la mise en quarantaine rétroactive des e-mails distribués avant que l’utilisateur n’interagisse avec eux.

4. Surveillez en continu votre environnement afin d’identifier les activités malveillantes et les indicateurs d’attaque.

La solution de détection et d’intervention sur les endpoints CrowdStrike® Falcon Insight™ agit comme une caméra de surveillance sur tous les endpoints. Elle capture les événements bruts à des fins de détection automatique des activités malveillantes non identifiées par les méthodes de prévention classiques, tout en offrant une visibilité inégalée propice à un Threat Hunting proactif.

Pour contrer les attaques furtives ou dissimulées qui peuvent ne pas déclencher immédiatement les alertes automatisées, CrowdStrike propose Falcon OverWatch™, un service de Threat Hunting managé qui s’appuie sur une équipe de threat hunters chevronnés qui traquent les menaces de manière proactive dans votre environnement, 24 heures sur 24, 7 jours sur 7.

5. Intégrez la cyberveille à votre stratégie de sécurité.

Surveillez vos systèmes en temps réel et restez au courant des dernières informations sur les menaces pour détecter rapidement les attaques, déterminer comment y répondre au mieux et empêcher leur propagation. CrowdStrike Falcon X automatise l’analyse des menaces et l’investigation des incidents, permettant ainsi d’examiner toutes les menaces et de déployer des contremesures de manière proactive, en seulement quelques minutes.

6. Créez des sauvegardes hors ligne à l’épreuve des ransomwares.

Lors de la mise en place d’une infrastructure de sauvegarde à l’épreuve des ransomwares, il est primordial de garder à l’esprit que les cybercriminels ont très certainement ciblé les sauvegardes en ligne avant de déployer leur ransomware dans l’environnement.

Pour préserver les données en cas d’attaque de ransomware, la seule solution vraiment efficace consiste donc à effectuer des sauvegardes à l’épreuve des ransomwares. Par exemple, la conservation de sauvegardes hors ligne de vos données vous permettra de restaurer plus rapidement les systèmes en cas d’urgence.

7. Implémentez un programme robuste de protection des identités.

Les entreprises peuvent renforcer leur niveau de sécurité en mettant en place un programme robuste de protection des identités assurant l’hygiène des référentiels d’identités sur site et dans le cloud (par exemple, Active Directory, Azure AD). Identifiez les failles, analysez le comportement et les anomalies pour chaque compte lié au personnel (utilisateurs humains, comptes à privilèges ou comptes de service), détectez les déplacements latéraux et implémentez un accès conditionnel basé sur les risques pour détecter et bloquer les ransomwares.

Que faire en cas d’attaque de ransomware

Dès lors qu’un ransomware infiltre un terminal de votre réseau, il peut faire des ravages et provoquer des perturbations susceptibles de paralyser les activités de l’entreprise. Dans la mesure où les données de l’entreprise et des clients sont en jeu, tout comme la santé financière et la réputation de la marque, il est essentiel de savoir comment réagir en cas d’attaque.

Si vous êtes victime d’un ransomware :

1. Identifiez le ou les terminaux infectés– Si un ransomware pénètre dans votre réseau, il est important d’identifier et d’isoler immédiatement tous les terminaux infectés, avant que la compromission ne se propage au reste du réseau.

Tout d’abord, recherchez toute activité suspecte sur le réseau, telle qu’une modification du nom ou de l’extension de fichiers. Bien souvent, la compromission des systèmes a pour origine une erreur humaine (par exemple, un collaborateur qui clique sur un lien suspect dans un e-mail de phishing). Les collaborateurs peuvent donc constituer une précieuse source d’informations. Demandez-leur s’ils ont reçu ou ont observé quelque chose de suspect qui pourrait aider à identifier les terminaux infectés.

2. Arrêtez net le ransomware– La différence entre une infection catastrophique et une interruption mineure du réseau tient parfois à la vitesse de réaction. Il est essentiel que les entreprises coupent ou limitent rapidement l’accès au réseau pour empêcher la propagation du ransomware depuis les terminaux infectés.

Si possible, tous les terminaux connectés au réseau, tant sur site qu’hors site, doivent être déconnectés. Si nécessaire, désactivez également les connexions sans fil, notamment le Wi-Fi et le Bluetooth, afin d’empêcher le ransomware de traverser le réseau et de s’emparer et chiffrer des données stratégiques.

3. Déterminez l’ampleur du problème– Pour intervenir de manière appropriée, il est indispensable de comprendre l’ampleur des dommages causés par la compromission.

Examinez tous les terminaux connectés au réseau. Une modification des noms de fichiers et des problèmes d’accès aux fichiers constituent les premiers symptômes d’une opération de chiffrement par un ransomware. Il est important d’identifier tout terminal présentant ces signes, et de le déconnecter immédiatement du réseau, car il peut vous conduire à la passerelle via laquelle le ransomware a eu accès au réseau.

Dressez une liste des terminaux et des centres de données infectés. Le processus de correction de l’entreprise doit inclure le déchiffrement de chaque terminal compromis, afin d’empêcher le processus de chiffrement de redémarrer au moment de la reprise des activités.

4. Utilisez vos sauvegardes– Les risques de cybersécurité sont désormais omniprésents. Il est donc essentiel de disposer de sauvegardes de toutes vos données numériques qui soient isolées du réseau centralisé, afin de pouvoir restaurer rapidement les systèmes et de minimiser les temps d’arrêt en cas de compromission.

Une fois que tous les terminaux ont été déchiffrés et équipés d’un logiciel antivirus, utilisez les sauvegardes pour restaurer les fichiers compromis.

Pensez toutefois à vérifier au préalable les fichiers de sauvegarde. En effet, les ransomwares modernes étant de plus en plus sophistiqués et résilients, il est possible que ces fichiers aient eux aussi été corrompus et que leur déploiement sur le réseau vous ramène à la première étape.

5. Signalez l’attaque– Si, après une attaque, la priorité immédiate est d’empêcher sa propagation et de lancer la phase de restauration, il est également essentiel de prendre en considération les conséquences plus larges de l’attaque. La compromission des données n’affecte pas seulement l’entreprise, mais aussi ses collaborateurs et ses clients.

Dans la mesure où les ransomwares sont généralement associés à un risque de fuite de données, toute attaque doit être signalée dès que possible aux autorités compétentes.

Il n’existe pas réellement de législation américaine relative aux données au niveau fédéral. Cependant, certains États et règlements fédéraux prévoient de lourdes amendes en cas de violation des réglementations en matière de conformité des données. Par exemple, si vous êtes victime d’une compromission de données en Californie, vous devez la signaler conformément à la loi CCPA (California Consumer Privacy Act), toute violation de cette obligation entraînant une amende de 7 500 dollars.

Les ransomwares et autres formes de logiciels malveillants doivent également être signalés aux forces de l’ordre, qui peuvent aider à identifier les responsables et à prévenir de nouvelles attaques.

Élimination des ransomwares

En cas d’attaque et de compromission de terminaux de l’entreprise, voire de l’ensemble de votre réseau, par un ransomware, plusieurs options s’offrent à vous pour la restauration des systèmes.

Les stratégies d’élimination des ransomwares les plus courantes sont les suivantes :

  • Tentative de suppression du ransomware à l’aide d’un logiciel
  • Versement de la rançon
  • Réinitialisation complète des terminaux infectés

Il est déconseillé de payer la rançon. Vous n’avez aucune garantie que les cybercriminels vous fourniront les moyens de déchiffrer et de rétablir l’accès aux données, même si vous payez la rançon. Dans le pire des cas, vous pourriez même être considéré comme une cible de choix pour de futures attaques de logiciels malveillants si les cybercriminels apprennent que vous êtes susceptible de céder à leurs exigences.

De plus, les attaques de ransomware qui aboutissent au versement d’une rançon ne font qu’encourager d’autres cybercriminels à rejoindre cet espace potentiellement lucratif, aggravant ainsi le problème pour tout le monde.

Plutôt que de payer, interdisez l’accès au réseau à tous les terminaux compromis, ainsi qu’à ceux qui présentent un comportement suspect, et prenez des mesures pour empêcher la propagation du ransomware.

Voici quelques conseils pour éliminer les ransomwares :

  • Redémarrez en mode sans échec – Selon le type de ransomware, le redémarrage du terminal, y compris en mode sans échec, peut interrompre la propagation. Bien que certains chevaux de Troie tels que « REvil » et « Snatch » puissent fonctionner pendant un démarrage en mode sans échec, ce n’est pas le cas de tous les ransomwares et le mode sans échec peut vous donner le temps nécessaire pour installer un logiciel antimalware. Cependant, il convient de noter que tout fichier chiffré le restera, même en mode sans échec, et qu’il devra être restauré via une sauvegarde de données.
  • Installez un logiciel antiransomware – Une fois les terminaux infectés identifiés et déconnectés du réseau, vous devez supprimer le ransomware à l’aide d’un logiciel antimalware. Si vous tentez de poursuivre vos activités avant que les terminaux n’aient été entièrement déchiffrés, vous risquez de voir réapparaître les logiciels malveillants non détectés, lesquels recommenceront à se propager et à compromettre d’autres fichiers.
  • Traquez les ransomwares – Lorsque vous pensez avoir éliminé les ransomwares et autres vers de vos terminaux, passez le système au crible, en recherchant manuellement tout comportement suspect, tel qu’une modification des extensions de fichier, de même qu’en utilisant des pare-feux de nouvelle génération. Une analyse approfondie devrait vous permettre de mettre au jour les chevaux de Troie dissimulés susceptibles de faire de nouveaux dégâts une fois que vous aurez restauré votre ordinateur.
  • Restaurez l’ordinateur – Les entreprises devraient toujours conserver des sauvegardes de leurs fichiers isolées du réseau. De cette façon, les fichiers chiffrés pourront être rapidement restaurés à partir d’une source sûre une fois le ransomware éliminé, ce qui réduira au minimum les temps d’arrêt et les perturbations.
  • Signalez l’attaque à la police – Les opérateurs de ransomwares sont des cybercriminels. Toute attaque doit être documentée et signalée. Les entreprises ne doivent pas simplement reprendre leurs activités normales une fois qu’elles ont réussi à restaurer leurs terminaux. Faites des captures d’écran ou prenez des photos des demandes de rançon et rassemblez toutes les preuves disponibles (e-mails ou sites web susceptibles d’être à l’origine du logiciel malveillant) et signalez la compromission dès que possible.

À PROPOS DE L'AUTEUR

Kurt Baker est directeur du marketing produits de Falcon Intelligence chez CrowdStrike. Il possède plus de 25 années d’expérience à des postes de direction, principalement acquise auprès d’éditeurs de logiciels émergents. Il possède une grande expertise en matière de cyberveille, d’analyse et de gestion de la sécurité ainsi que de protection contre les menaces avancées. Avant de rejoindre CrowdStrike, Kurt Baker a occupé des postes techniques chez Tripwire et a participé à la création de plusieurs startups sur divers marchés allant des solutions de sécurité d’entreprise aux terminaux mobiles. Il est diplômé de l’Université de Washington et réside actuellement à Boston, aux États-Unis.