Qu'est-ce qu'un ransomware et comment s'en protéger?

CyberCare, votre partenaire de confiance spécialisé en cybersécurité. Explorez nos services de sécurité informatique et nos solutions cloud.

Un ransomware(ou rançongiciel) est un logiciel malveillant qui utilise le chiffrement pour demander une rançon sur les informations d’une victime. Les données essentielles d’un utilisateur ou d’une organisation sont cryptées de sorte qu’ils ne peuvent pas accéder aux fichiers, aux bases de données ou aux applications. Une rançon est alors exigée pour permettre l’accès aux données. Les rançongiciels sont souvent conçus pour se propager sur un réseau et cibler les bases de données et les serveurs de fichiers, ce qui peut rapidement paralyser une organisation entière. Il s’agit d’une menace croissante, comme tous les autres malwares,  qui génère des milliards de dollars de paiements aux cybercriminels et inflige des dommages et des dépenses considérables aux entreprises et aux organisations gouvernementales.

Comment fonctionne le ransomware ?

Les ransomwares utilisent le chiffrement asymétrique. Il s’agit d’une cryptographie qui utilise une paire de clés pour chiffrer et déchiffrer un fichier. La paire de clés publique-privée est générée de manière unique par le pirate pour la victime, la clé privée permettant de déchiffrer les fichiers étant stockée sur le serveur du pirate. Le pirate ne met la clé privée à la disposition de la victime qu’après le paiement de la rançon, bien que ce ne soit pas toujours le cas, comme l’ont montré les récentes campagnes de ransomware. Sans accès à la clé privée, il est pratiquement impossible de décrypter les fichiers faisant l’objet de la demande de rançon.

Il existe de nombreuses variantes de ransomware. Souvent, les ransomwares (et autres logiciels malveillants) sont distribués par le biais de campagnes de spam ou d’attaques ciblées. Les logiciels malveillants ont besoin d’un vecteur d’attaque pour établir leur présence sur un terminal. Une fois leur présence établie, les logiciels malveillants restent sur le système jusqu’à ce que leur tâche soit accomplie.

Après une exploitation réussie, le ransomware dépose et exécute un binaire malveillant sur le système infecté. Ce binaire recherche et crypte ensuite des fichiers précieux, tels que des documents Microsoft Word, des images, des bases de données, etc. Le ransomware peut également exploiter les vulnérabilités du système et du réseau pour se propager à d’autres systèmes, voire à des organisations entières.

Une fois les fichiers cryptés, le ransomware demande à l’utilisateur de payer une rançon dans les 24 à 48 heures pour décrypter les fichiers, faute de quoi ils seront perdus à jamais. Si une sauvegarde des données n’est pas disponible ou si ces sauvegardes ont elles-mêmes été cryptées, la victime doit payer la rançon pour récupérer ses fichiers personnels.

Pourquoi les logiciels rançonneurs se répandent-ils ?

Les attaques par ransomware et leurs variantes évoluent rapidement pour contrer les technologies préventives, et ce pour plusieurs raisons :
  • la facilité d’accès aux kits de logiciels malveillants qui peuvent être utilisés pour créer de nouveaux échantillons de logiciels malveillants à la demande
  • l’utilisation d’interprètes génériques connus pour créer des ransomwares multiplateformes (par exemple, Ransom32 utilise Node.js avec une charge utile JavaScript)
  • l’utilisation de nouvelles techniques, telles que le chiffrement de l’intégralité du disque au lieu de fichiers sélectionnés.

Les voleurs d’aujourd’hui n’ont même pas besoin d’être des experts en technologie. Des places de marché de ransomwares ont vu le jour en ligne, proposant des souches de logiciels malveillants à tout cybercriminel en herbe et générant des profits supplémentaires pour les auteurs de logiciels malveillants, qui demandent souvent une part du produit de la rançon.

Pourquoi est-il si difficile de trouver les auteurs de ransomwares ?

L’utilisation de crypto-monnaies anonymes pour le paiement, comme le bitcoin, rend difficile le suivi de la trace de l’argent et la recherche des criminels. Les groupes de cybercriminels sont de plus en plus nombreux à concevoir des ransomwares pour réaliser un profit rapide. La facilité d’accès au code source ouvert et aux plateformes « glisser-déposer » pour développer des ransomwares a accéléré la création de nouvelles variantes de ransomwares et aide les novices en matière de script à créer leurs propres rançongiciels. En règle générale, les logiciels malveillants de pointe comme les ransomwares sont polymorphes de par leur conception, ce qui permet aux cybercriminels de contourner facilement la sécurité traditionnelle basée sur les signatures et le hachage des fichiers.

Les chiffres

Principales données sur les ransomwares

0

coût moyen d'un ransomware

0 jours

Durée médiane des attaques par ransomware (en jours)

0 %

des entreprises ont connu au moins une attaque.

0 %

des attaques ont comme origine une erreur humaine.

Qu'est-ce qu'un "ransomware-as-a-service" (RaaS) ?

Le ransomware-as-a-service est un modèle économique de la cybercriminalité qui permet aux développeurs de logiciels malveillants de gagner de l’argent pour leurs créations sans avoir à distribuer leurs menaces. Des criminels non spécialisés achètent leurs produits et lancent les infections, tout en versant aux développeurs un pourcentage de leur chiffre d’affaires. Les développeurs courent relativement peu de risques et ce sont leurs clients qui font le gros du travail. Certains exemples de ransomware en tant que service utilisent des abonnements, tandis que d’autres exigent un enregistrement pour accéder au ransomware.

Comment se défendre contre les ransomwares

Pour éviter les ransomwares et limiter les dégâts en cas d’attaque, suivez les conseils suivants :
  • Sauvegardez vos données. La meilleure façon d’éviter la menace d’être privé de vos fichiers essentiels est de vous assurer que vous avez toujours des copies de sauvegarde, de préférence dans le nuage et sur un disque dur externe. Ainsi, en cas d’infection par un ransomware, vous pouvez effacer votre ordinateur ou votre appareil et réinstaller vos fichiers à partir de la sauvegarde. Vos données seront ainsi protégées et vous ne serez pas tenté de récompenser les auteurs du logiciel malveillant en payant une rançon. Les sauvegardes n’empêcheront pas les ransomwares, mais elles peuvent en atténuer les risques.
  • Sécurisez vos sauvegardes. Assurez-vous que vos données de sauvegarde ne sont pas accessibles pour être modifiées ou supprimées à partir des systèmes où elles résident. Les rançongiciels recherchent les sauvegardes de données et les chiffrent ou les suppriment de manière à ce qu’elles ne puissent pas être récupérées ; utilisez donc des systèmes de sauvegarde qui ne permettent pas un accès direct aux fichiers de sauvegarde.
  • Utilisez des logiciels de sécurité et maintenez-les à jour. Assurez-vous que tous vos ordinateurs et appareils sont protégés par un logiciel de sécurité complet et maintenez tous vos logiciels à jour. Veillez à mettre à jour les logiciels de vos appareils rapidement et souvent, car chaque mise à jour contient généralement des correctifs pour les failles.
  • Naviguez en toute sécurité. Faites attention où vous cliquez. Ne répondez pas aux courriels et aux messages textuels provenant de personnes que vous ne connaissez pas et ne téléchargez des applications qu’à partir de sources fiables. C’est important car les auteurs de logiciels malveillants utilisent souvent l’ingénierie sociale pour essayer de vous faire installer des fichiers dangereux.
  • N’utilisez que des réseaux sécurisés. Évitez d’utiliser les réseaux Wi-Fi publics, car nombre d’entre eux ne sont pas sécurisés et les cybercriminels peuvent espionner votre utilisation d’internet. Envisagez plutôt d’installer un réseau privé virtuel (VPN), qui vous fournit une connexion sécurisée à l’internet, où que vous alliez.
  • Restez informé. Tenez-vous au courant des dernières menaces liées aux ransomwares afin de savoir à quoi vous attendre. Si vous êtes infecté par un ransomware et que vous n’avez pas sauvegardé tous vos fichiers, sachez que certains outils de décryptage sont mis à disposition par des entreprises technologiques pour aider les victimes.
  • Mettez en œuvre un programme de sensibilisation à la sécurité. Dispensez régulièrement une formation de sensibilisation à la sécurité à tous les membres de votre organisation afin qu’ils puissent éviter les attaques par hameçonnage et autres formes d’ingénierie sociale. Effectuez régulièrement des exercices et des tests pour vous assurer que la formation est respectée.

9 étapes pour réagir à une attaque de ransomware

Si vous pensez avoir été victime d’une attaque par ransomware, il est important d’agir rapidement. Heureusement, plusieurs mesures peuvent être prises pour vous donner les meilleures chances de minimiser les dommages et de reprendre rapidement vos activités normales.
 
  1. Isolez l’appareil infecté : Un ransomware qui affecte un seul appareil n’est qu’un inconvénient modéré. Un ransomware qui infecte tous les appareils de votre entreprise est une catastrophe majeure, qui peut entraîner la cessation définitive de vos activités. La différence entre les deux se résume souvent au temps de réaction. Pour garantir la sécurité de votre réseau, de vos lecteurs partagés et de vos autres appareils, il est essentiel de déconnecter le plus rapidement possible l’appareil affecté du réseau, d’Internet et des autres appareils. Plus vite vous le ferez, moins il y aura de chances que d’autres appareils soient infectés.
  2. Arrêter la propagation : Parce que les ransomwares se déplacent rapidement et que l’appareil infecté n’est pas nécessairement le Patient Zéro, l’isolement immédiat de l’appareil infecté ne garantit pas que le ransomware n’existe pas ailleurs sur votre réseau. Pour limiter efficacement sa portée, vous devrez déconnecter du réseau tous les appareils qui se comportent de manière suspecte, y compris ceux qui fonctionnent hors site – s’ils sont connectés au réseau, ils présentent un risque où qu’ils se trouvent. À ce stade, il est également judicieux de couper la connectivité sans fil (Wi-Fi, Bluetooth, etc.).
  3. Évaluez les dommages : Pour déterminer quels appareils ont été infectés, vérifiez si des fichiers ont été récemment chiffrés avec des noms d’extension de fichier étranges, et recherchez des rapports sur des noms de fichier bizarres ou des utilisateurs ayant des difficultés à ouvrir des fichiers. Si vous découvrez des appareils qui n’ont pas été entièrement chiffrés, il convient de les isoler et de les éteindre afin de contenir l’attaque et d’éviter d’autres dommages et pertes de données. Votre objectif est de créer une liste complète de tous les systèmes affectés, y compris les périphériques de stockage en réseau, le stockage en nuage, le stockage sur disque dur externe (y compris les clés USB), les ordinateurs portables, les smartphones et tout autre vecteur possible. À ce stade, il est prudent de verrouiller les partages. Tous les partages doivent être verrouillés si possible ; si ce n’est pas le cas, verrouillez-en le plus grand nombre possible. Cela interrompra tout processus de chiffrement en cours et empêchera d’autres partages d’être infectés pendant la durée de la remédiation. Mais avant cela, vous voudrez jeter un coup d’œil aux partages chiffrés. Cela peut vous fournir des informations utiles : Si un appareil présente un nombre de fichiers ouverts beaucoup plus élevé que d’habitude, vous venez peut-être de trouver votre Patient Zéro. Sinon…
  4. Localiser le patient zéro : il est beaucoup plus facile de suivre l’infection une fois que vous avez identifié la source. Pour ce faire, vérifiez si des alertes ont été émises par votre antivirus/antimalware, votre EDR ou toute autre plateforme de surveillance active. Et comme la plupart des ransomwares pénètrent dans les réseaux par le biais de liens et de pièces jointes de courriels malveillants, qui nécessitent une action de la part de l’utilisateur final, il peut également être utile d’interroger les gens sur leurs activités (comme l’ouverture de courriels suspects) et sur ce qu’ils ont remarqué. Enfin, l’examen des propriétés des fichiers eux-mêmes peut également fournir un indice : la personne indiquée comme propriétaire est probablement le point d’entrée. (N’oubliez cependant pas qu’il peut y avoir plus d’un Patient Zéro !)
  5. Identifier le ransomware : avant d’aller plus loin, il est important de découvrir la variante de ransomware à laquelle vous avez affaire. L’une des solutions consiste à visiter le site No More Ransom, une initiative mondiale à laquelle participe Trellix. Le site propose une série d’outils pour vous aider à libérer vos données, notamment l’outil Crypto Sheriff : Il vous suffit de télécharger l’un de vos fichiers cryptés pour qu’il recherche une correspondance. Vous pouvez également utiliser les informations contenues dans la note de rançon : si la variante du ransomware n’est pas indiquée directement, l’utilisation d’un moteur de recherche pour interroger l’adresse électronique ou la note elle-même peut être utile. Une fois que vous avez identifié le ransomware et fait quelques recherches rapides sur son comportement, vous devez alerter tous les employés non affectés dès que possible afin qu’ils sachent comment repérer les signes indiquant qu’ils ont été infectés.
  6. Signalez le ransomware aux autorités : Dès que le ransomware est maîtrisé, vous devez contacter les forces de l’ordre, et ce pour plusieurs raisons. Tout d’abord, le ransomware est illégal et, comme tout autre délit, il doit être signalé aux autorités compétentes. Ensuite, selon le Federal Bureau of Investigation des États-Unis, « les forces de l’ordre peuvent être en mesure d’utiliser des autorités et des outils juridiques qui ne sont pas à la disposition de la plupart des organisations ». Les partenariats avec les services de police internationaux peuvent être mis à profit pour aider à retrouver les données volées ou cryptées et à traduire les auteurs en justice. Enfin, l’attaque peut avoir des conséquences en termes de conformité : Selon les termes du GDPR, si vous ne notifiez pas l’ICO dans les 72 heures d’une violation impliquant des données de citoyens de l’UE, votre entreprise pourrait encourir de lourdes amendes.
  7. Évaluez vos sauvegardes : Il est maintenant temps de commencer le processus de réponse. Le moyen le plus rapide et le plus simple consiste à restaurer vos systèmes à partir d’une sauvegarde. Idéalement, vous disposerez d’une sauvegarde complète et non infectée, créée assez récemment pour être utile. Si c’est le cas, l’étape suivante consiste à utiliser une solution antivirus/antimalware pour s’assurer que tous les systèmes et appareils infectés sont débarrassés du ransomware, faute de quoi il continuera à verrouiller votre système et à crypter vos fichiers, ce qui pourrait corrompre votre sauvegarde. Une fois que toutes les traces de logiciels malveillants auront été éliminées, vous pourrez restaurer vos systèmes à partir de cette sauvegarde et, une fois que vous aurez confirmé que toutes les données ont été restaurées et que toutes les applications et tous les processus fonctionnent à nouveau normalement, vous pourrez reprendre vos activités comme si de rien n’était. Malheureusement, de nombreuses organisations ne réalisent pas l’importance de créer et de maintenir des sauvegardes jusqu’à ce qu’elles en aient besoin et qu’elles ne soient pas là. Les ransomwares modernes étant de plus en plus sophistiqués et résistants, certains de ceux qui créent des sauvegardes découvrent rapidement que le ransomware les a également corrompues ou cryptées, les rendant ainsi totalement inutiles.
  8. Recherchez vos options de décryptage : Si vous ne disposez pas d’une sauvegarde viable, il est encore possible de récupérer vos données. Un nombre croissant de clés de décryptage gratuites sont disponibles sur le site No More Ransom. Si l’une d’entre elles est disponible pour la variante de ransomware à laquelle vous êtes confronté (et en supposant que vous avez supprimé toutes les traces de logiciels malveillants de votre système), vous pourrez utiliser la clé de décryptage pour déverrouiller vos données. Même si vous avez la chance de trouver un décrypteur, vous n’êtes pas encore au bout de vos peines : vous pouvez encore vous attendre à des heures ou des jours d’indisponibilité pendant que vous travaillez à la remédiation.
  9. Passez à autre chose : Malheureusement, si vous ne disposez d’aucune sauvegarde viable et que vous ne parvenez pas à localiser une clé de décryptage, votre seule option peut être de réduire vos pertes et de repartir de zéro. La reconstruction ne sera pas un processus rapide ou peu coûteux, mais une fois que vous avez épuisé toutes les autres options, c’est le mieux que vous puissiez faire.

Pourquoi ne pas payer la rançon ?

Face à la possibilité de récupérer des semaines ou des mois, il peut être tentant de céder à une demande de rançon. Mais il y a plusieurs raisons pour lesquelles ce n’est pas une bonne idée :

  • Vous risquez de ne jamais obtenir de clé de décryptage. Lorsque vous payez une demande de rançon, vous êtes censé obtenir une clé de décryptage en retour. Mais lorsque vous effectuez une transaction de ransomware, vous dépendez de l’intégrité des criminels. De nombreuses personnes et organisations ont payé la rançon et n’ont rien reçu en retour – il leur en coûte alors des dizaines, des centaines ou des milliers de dollars, et elles doivent encore reconstruire leurs systèmes à partir de zéro.
  • Vous pouvez recevoir des demandes de rançon répétées. Une fois que vous avez payé la rançon, les cybercriminels qui ont déployé le ransomware savent que vous êtes à leur merci. Ils peuvent vous donner une clé fonctionnelle si vous êtes prêt à payer un peu (ou beaucoup) plus.
  • Vous pouvez recevoir une clé de décryptage qui fonctionne, ou pas. Les créateurs de ransomwares ne cherchent pas à récupérer des fichiers, mais à gagner de l’argent. En d’autres termes, le décrypteur que vous recevez peut être juste assez bon pour que les criminels puissent dire qu’ils ont respecté leur part du marché. En outre, il n’est pas rare que le processus de cryptage lui-même corrompe certains fichiers de manière irrémédiable. Dans ce cas, même une bonne clé de décryptage ne pourra pas déverrouiller vos fichiers, qui disparaîtront à jamais.
  • Vous risquez d’avoir une cible dans le dos. Lorsque vous payez une rançon, les criminels savent que vous êtes un bon investissement. Une organisation qui a l’habitude de payer la rançon est une cible plus attrayante qu’une nouvelle cible qui peut ou non payer. Qu’est-ce qui empêchera le même groupe de criminels d’attaquer à nouveau dans un an ou deux, ou de se connecter à un forum et d’annoncer aux autres cybercriminels que vous êtes une cible facile ?
  • Même si tout se termine bien, vous financez une activité criminelle. Dites que vous payez la rançon, que vous recevez une bonne clé de décryptage et que tout fonctionne à nouveau. Ce n’est que le meilleur scénario, le pire (et pas seulement parce que vous avez perdu beaucoup d’argent). Lorsque vous payez la rançon, vous financez des activités criminelles. Abstraction faite des implications morales évidentes, vous renforcez l’idée que le ransomware est un modèle commercial qui fonctionne. (Pensez-y : si personne ne payait jamais la rançon, pensez-vous qu’ils continueraient à produire des ransomwares ?) Forts de leur succès et de leurs gains considérables, ces criminels continueront à faire des ravages dans les entreprises qui ne se doutent de rien et à consacrer du temps et de l’argent au développement de nouvelles souches de ransomwares encore plus malfaisantes, dont l’une d’entre elles pourrait se retrouver sur vos appareils à l’avenir.

Avec Cybercare, vous avez plus qu’une prestation de service; vous avez un partenaire dévoué qui comprend vos besoins et travaille sans relâche pour vous protéger.