Les attaques par ransomware peuvent donner aux victimes un sentiment d'impuissance. Nous avons vu les demandes d'extorsion augmenter de façon spectaculaire au cours des dernières années. Elles se chiffrent désormais régulièrement en millions - et parfois même en dizaines de millions - de dollars. Mais les coûts vont bien au-delà des demandes d'extorsion elles-mêmes.
Les retombées peuvent inclure des temps d'arrêt opérationnels, des dommages à la marque, des frais de découverte de données, des litiges et un impact sur la confidentialité des données. Nous constatons de plus en plus souvent que les attaques de ransomware paralysent les organisations victimes et ont des répercussions sur leurs employés, leurs clients et même sur le prix des marchandises.
Les enjeux étant considérables, il est essentiel que les organisations se préparent à réduire le risque d'être victimes d'une attaque par ransomware et à minimiser l'impact si les cyber-escrocs parviennent à compromettre leurs réseaux.
Cet article explique ce qu'est un ransomware et comment se déroulent les attaques. Plus important encore, il fournit des conseils pratiques sur la façon dont les organisations peuvent prévenir ces attaques, en citant les leçons que nos consultants de l'Unité 42 ont tirées en travaillant sur des centaines de cas de ransomware impliquant des agences gouvernementales et des entreprises de toutes tailles dans tous les secteurs. Il se termine par 12 conseils pour lutter contre les ransomwares.
Le ransomware est un type de logiciel malveillant utilisé par les cybercriminels à des fins financières. Il prend le contrôle des fichiers ou des systèmes de la victime, et l'attaquant exige le paiement d'une rançon en échange d'une clé de déchiffrage qui, vraisemblablement, ramènera les fichiers à leur état d'origine. Depuis la fin de l'année 2019, la définition du ransomware s'est étendue pour inclure également l'extorsion de données, car les acteurs de la menace ont commencé à exfiltrer des données lors d'une attaque de ransomware pour faire chanter les victimes afin qu'elles paient la rançon pour éviter que leurs informations soient publiées sur des sites de fuite ou mises en vente. C'est ce qu'on appelle communément la "double extorsion". Par ailleurs, nous voyons de plus en plus d'attaquants utiliser une troisième approche pour pousser les victimes à payer : lancer des attaques DDoS qui ferment des sites Web publics.
Les coûts potentiels d'une attaque par ransomware sont trop élevés pour être ignorés :
Pour en savoir plus sur l'impact financier des ransomwares, regardez cette courte vidéo :
Le type le plus courant de ransomware circulant aujourd'hui est un logiciel malveillant qui brouille le contenu des fichiers. Il utilise généralement des protocoles de cryptage très puissants - parfois pratiquement inviolables - qui empêchent le propriétaire d'accéder aux fichiers. Les auteurs exigent une rançon en échange de la restitution des fichiers. Depuis la fin de l'année 2019, nous avons également observé une tendance croissante où les attaquants à l'origine de variantes de ransomware telles que Maze et LockBit exfiltrent les données de la victime pendant l'attaque et publient les données volées publiquement pour faire honte aux victimes et les inciter à payer leur rançon. La victime se trouve alors confrontée à un fardeau encore plus lourd, car les données exposées peuvent contenir des informations sensibles, ce qui augmente les coûts et l'exposition de la marque.
Les demandes de rançon sont souvent présentées sous la forme d'un écran pop-up, qui comprend le montant de la rançon demandée, un mode de paiement souhaité et une date limite. De nos jours, les criminels ont tendance à privilégier les crypto-monnaies comme mode de paiement et en demandent souvent des types spécifiques (généralement le bitcoin, mais parfois le Dash ou le Monero).
Les attaquants promettent que le fichier ou le système sera remis à l'état normal - une fois la rançon payée. En général, l'attaquant envoie une clé de déchiffrage que la victime peut utiliser pour annuler le chiffrage appliqué aux fichiers. En cas d'exfiltration de données, l'attaquant peut également accepter de ne pas publier d'autres données volées et peut parfois promettre de montrer des preuves de leur destruction.
Cependant, même si vous payez la rançon, il n'y a aucune garantie que le cybercriminel respectera sa part du marché. Même si vos fichiers sont restaurés dans leur état d'origine, il est possible que l'auteur conserve une copie des données volées et puisse éventuellement la vendre sur le dark web ou l'utiliser contre vous lors de futures attaques. Nous avons observé des attaquants envoyant des clés de décryptage non fonctionnelles ou ne fonctionnant que partiellement. Dans certains cas, nous les avons même vus envoyer des clés contenant des fichiers malveillants supplémentaires ou des portes dérobées pour permettre aux acteurs de la menace d'accéder à l'environnement à l'avenir, c'est pourquoi nous prenons toujours soin d'effectuer une ingénierie inverse de toute clé pour nous assurer qu'elle est sûre pour nos clients.
Une attaque par ransomware se déroule en deux étapes principales. Dans un premier temps, le logiciel malveillant doit se frayer un chemin jusqu'à un appareil. Vient ensuite l'étape du chiffrement : Le ransomware doit trouver, chiffrer les fichiers et communiquer les termes de la rançon à la victime. Certains types de ransomware ne s'arrêtent pas là et peuvent se propager d'un appareil à l'autre, affectant tous les ordinateurs d'un réseau.
Comment les ransomwares s'introduisent-ils dans un réseau ?
Voici les trois principales méthodes que nos intervenants ont observées dans les centaines de cas sur lesquels nous avons travaillé l'année dernière :
Une fois sur un appareil, le ransomware recherche généralement des types de fichiers spécifiques à crypter. Il peut également chiffrer les fichiers fantômes, les sauvegardes et les noms de fichiers, ce qui rend la récupération plus difficile.
Vous voulez en savoir plus ? Voici une vidéo rapide sur les techniques que nous avons observées dans les attaques de ransomware.
Pour plus de conseils, consultez cette vidéo sur les leçons apprises.
Les ransomwares continuent d'être une menace omniprésente et dangereuse pour les organisations. Le coût total d'une attaque par ransomware continuant à augmenter, les organisations doivent adopter les meilleures pratiques pour se protéger et s'armer d'une solide compréhension du paysage des menaces par ransomware.
Elles doivent également s'assurer de disposer d'un plan de réponse aux incidents en cas d'attaque. L'unité 42 propose une évaluation de la préparation aux ransomwares pour aider les organisations à commencer à renforcer leurs défenses.
Les clients de Palo Alto Networks sont protégés contre de nombreuses menaces de ransomware par :
Apprenez-en davantage sur les ransomwares et découvrez les mesures que votre entreprise doit prendre immédiatement en cas d'attaque.