Trouvez toutes les réponses à vos questions sur les rançongiciels dans le guide complet du ransomware Ontrack, leader mondial de la récupération de données après ransomware.

Qu’est-ce qu’un ransomware ?

Un ransomware est un type de malware qui empêche les utilisateurs d’accéder à leurs fichiers en les chiffrant, ou par un autre moyen. Lorsque les utilisateurs tentent d’accéder à leurs données, ils reçoivent une notification exigeant le paiement d’une rançon pour obtenir l’accès à celles-ci.

Existant depuis les années 1980, la dernière décennie a vu de nombreux chevaux de Troie de type ransomware faire leur apparition, mais le phénomène s’est surtout accentué depuis l’introduction du Bitcoin. Cette cryptomonnaie permet aux assaillants de collecter les rançons versées par leurs victimes sans passer par les canaux traditionnels.

Une attaque de rançongiciel commence lorsqu'un logiciel malveillant est téléchargé sur un appareil (ordinateurs portables, smartphones, ordinateurs de bureau...). Le logiciel malveillant est habituellement téléchargé suite à une erreur humaine ou à cause de protocoles de sécurité inadéquats.

Qu’est-ce qu’un ransomware ?

Au cours des dernières années, les attaques de phishing sont devenues un moyen répandu de propagation des ransomwares. On parle de phishing lorsqu'un cybercriminel envoie un email contenant une pièce jointe ou un lien infectés, le déguisant en courrier légitime, dans l'espoir que cela incitera le destinataire à l'ouvrir. Une fois ouvert, le rançongiciel s'installe sur l'appareil.

Le "cheval de Troie" est un autre style d’attaque fréquent qui consiste à déguiser les ransomwares en logiciels légitimes, puis à infecter les appareils suite à son installation.

Une fois que le ransomware a infecté un système, il prend le contrôle de ses processus critiques et chiffre toutes les données de l'appareil, effaçant toutes celles qu'il ne parvient pas à chiffrer. Il infecte également tous les périphériques externes branchés à la machine hôte et tous les appareils connectés sur le réseau.

Il existe de nombreuses variantes de ransomwares, dont de nouvelles sont créées en permanence. Vous trouverez ci-dessous les types de ransomwares les plus récurrents et les plus connus :

Phishing

Le système de diffusion de rançongiciel le plus courant est un email de phishing contenant une pièce jointe ou un lien. Lorsque l’utilisateur ouvre la pièce jointe ou clique sur le lien, le ransomware exécute un programme qui verrouille le système et affiche une demande de rançon. Lorsque cela se produit, le seul moyen de déchiffrer les données est en utilisant une clé mathématique que seul l’assaillant connaît.

D’autres cas ont été relevés où un malware affiche un message indiquant que le « Windows » de l’utilisateur est verrouillé. L’utilisateur est alors encouragé à appeler un numéro de téléphone « Microsoft » et à entrer un code à six chiffres pour réactiver le système. Le message affirme que l’appel est gratuit, mais ce n’est pas vrai. Tandis que l’utilisateur est au téléphone avec le faux service Microsoft, celui-ci paye le prix d’une communication longue distance.

Doxware

Un autre type de logiciel malveillant est appelé "leakware" ou "doxware" lorsque le cyber criminel menace de divulguer des données sensibles, stockées sur l'ordinateur de la victime, à moins qu'une rançon ne soit versée. Les emails et les documents Word sont souvent ciblés mais il y a également eu des cas de variantes mobiles où des SMS, messages privés, photos et listes de contacts provenant des smartphones des victimes ont été diffusés.

En terme de gain financier, le doxware est reconnu comme un malware plus efficace que le ransomware. Avec un ransomware, vous pouvez conserver des copies de vos données sur des sauvegardes séparées et hors-ligne, mais avec un doxware, une fois que l'attaquant a récolté les informations que la victime ne veut pas rendre publiques, il n'y a pas grand chose à faire d'autre que payer la rançon demandée.

Anatova

L’une des découvertes de 2019 a été le ransomware Anatova. Cette nouvelle famille de rançongiciel imite l’icône d’un jeu ou d’une application afin de tromper l’utilisateur pour qu’il le télécharge.

Il s’agit d’une sorte de malware extrêmement avancée qui s’adapte rapidement et utilise des techniques de contournement et de diffusion pour empêcher sa découverte. Du fait de sa conception modulaire, il peut intégrer des fonctions supplémentaires lui permettant de contrecarrer les méthodes anti-ransomware. Heureusement, l’équipe McAfee Advanced Threat Research a découvert cette nouvelle famille de rançongiciel début 2019, avant qu’elle ne devienne une menace importante.

Dharma

Le ransomware Dharma, une variante de CrySiS, est présent depuis 2018, mais les cybercriminels continuent de publier de nouvelles variantes impossibles à déchiffrer.

GandCrab

Un rançongiciel malicieux qui utilise le chiffrement AES et place un fichier appelé « GandCrab.exe » sur le système. GandCrab cible consommateurs et entreprises ayant des PC fonctionnant avec Microsoft Windows.

Le 31 mai 2019, les cybercriminels à l’origine de GandCrab ont envoyé un message indiquant qu’ils arrêtaient les attaques ransomware avec GandCrab, affirmant qu’ils avaient reçu plus de 2 milliards de dollars de rançons et qu’ils souhaitaient « profiter d’une retraite bien méritée ».

Emotet

Emotet, un cheval de Troie utilisé pour intercepter les identifiants bancaires, a été découvert en 2014. Plus récemment, les cybercriminels l’utilisent pour la diffusion d’autres chevaux de Troie. Il a introduit plusieurs fonctionnalités avancées au cours des années suivantes du fait de sa structure modulaire, telles qu’un module d’installation, un module bancaire et un module DDoS. Emotet est principalement diffusé par le biais d’emails de phishing à l’aide de différentes techniques d’ingénierie sociale.

Ryuk

Ryuk cible en particulier les organisations de grande taille dont le rendement financier est élevé. D’après CrowdStrike, entre août 2018 et janvier 2019, Ryuk a dégagé un revenu net supérieur à 705,80 bitcoins sur 52 transactions, ce qui représente un total de 3 701 893,98 dollars. Il a commencé à faire parler de lui avec son attaque sur les opérations de Tribune Publishing pendant la période de Noël 2018. La société a d’abord cru à une panne de serveur, mais il est très vite apparu qu’il s’agissait d’une attaque du ransomware Ryuk.

La « chasse au gros gibier » est un autre terme pour désigner ce type de rançongiciel qui cible les grandes entreprises au ROI élevé. Ces attaques à grande échelle impliquent une personnalisation détaillée des campagnes afin d’être le mieux adaptées aux cibles individuelles, augmentant ainsi l’efficacité des attaques. Par conséquent, la « chasse au gros gibier » demande beaucoup plus de travail de la part d’un hacker ; d’autre part, celle-ci est lancée par phases.

Par exemple, la phase un peut être une attaque par phishing ayant pour but d’infecter un réseau d’entreprise avec un malware afin de cartographier le système et d’identifier les actifs majeurs à cibler. Les phases deux et trois seront des attaques en séries avec extorsion et demande de rançon.

Suis-je une cible pour les ransomware ?

Aucun secteur d'activité n'est à l'abri, mais certains sont plus susceptibles que d'autre d'en être victime. Il y a plusieurs raisons à cela : la technologie et la sécurité dont ils disposent, la maturité de leur politique de gestion des identités et des privilèges, et leurs protocoles de cyber sécurité en général.

Si vous suivez les informations, vous aurez remarqué que les cybercriminels ne semblent pas avoir de préférence quant à leurs cibles, qui peuvent aussi bien être un hôpital de province qu'une grande compagnie aérienne internationale.

Pourtant les cybercriminels choisissent habituellement leurs victimes sur la base de deux facteurs :

  • Opportunité : Si une organisation a une petite équipe IT, manque de ressources informatiques et a une base d'utilisateurs qui partagent de nombreux fichiers, comme par exemple une université, alors un attaquant peut considérer cela comme une cible facile,
  • Gain potentiel : Les entreprises ou organismes ayant besoin d'un accès immédiat et permanent à leurs dossiers, par exemple les cabinets d'avocats ou les services publics, peuvent être plus susceptibles de payer une rançon rapidement. Les organisations possédant des données sensibles peuvent également être prêtes à payer pour garder secrète la nouvelle d'une violation de données.

Dois-je payer la rançon ?

On pourrait penser que payer une rançon pour avoir accès à ses données est déjà assez difficile, mais cela peut paraître dérisoire par rapport aux coûts réels des dommages causés par une attaque.

Voici quelques exemples d'implications supplémentaires :

  • Dommages et perte de données,
  • Fort ralentissement de la productivité,
  • Enquête légale,
  • Restauration et suppression des données et des systèmes d'otages,
  • Atteinte à la réputation,
  • Formation des employés en prévention d'une éventuelle nouvelle attaque...

Si l'on tient compte de ce qui précède, il n'est pas étonnant que les dommages causés par les ransomwares s'élèvent à 11,5 milliards de dollars cette année, avec jusqu'à une attaque prévue toutes les 14 secondes d'ici la fin de l'année, contre 40 secondes l'année dernière.

Lorsque vous vous adressez à des experts en cybercriminalité, la plupart d'entre eux déconseillent de payer la rançon, car ce serait contribuer à la création de nouvelles attaques. Cependant, de nombreuses organisations vont à l'encontre de ce conseil en mettant en balance la perte induite par le chiffrement de leurs données et la rançon demandée. C'est pourquoi l'année dernière, 45% des entreprises touchées aux États-Unis ont payé leurs agresseurs.

Bien que refuser de payer une rançon soit une action recommandée dans le monde des affaires, ce n'est pas forcément la meilleure solution pour une entreprise. En effet, lorsqu'il y a un risque de perdre définitivement l'accès à des données vitales, de se voir infliger des amendes par les autorités de régulation ou de faire faillite, les options s'offrant à une entreprise peuvent toutes sembler désastreuses. Le choix entre payer une rançon relativement modeste et rester en activité ou refuser de payer pour aider la communauté au sens large peut alors paraître évident pour de nombreuses entreprises.

La rançon demandée est souvent très avantageuse pour le cyber-criminel, mais la plupart du temps elle est suffisamment basse pour qu'elle reste une option moins couteuse que ce que paierait une victime pour reconstruire ses données perdues. Des réductions sont même parfois proposées si la victime paye rapidement, par exemple dans les 3 jours.

C'est dans cette optique que certaines entreprises, notamment au Royaume-Uni, constituent désormais des réserves de Bitcoin dédiée au paiement de rançons. Selon Gotham Sharma, directeur général d'Exeltek Consulting Group, "Environ un tiers des entreprises britanniques de taille moyenne déclarent avoir un compte Bitcoin disponible pour répondre aux urgences liées aux ransomwares, lorsque toutes les autres options ont été épuisées".

Que faire en cas d'attaque de ransomware ?

S'il arrive que vous soyez un jour infecté par un ransomware, vous devez d'abord découvrir de quel type de logiciel il s'agit avant d'aller plus loin.

Si vous ne parvenez pas à afficher la demande de rançon sur votre écran, c'est qu'il s'agit probablement d'un logiciel de verrouillage d'écran. Si vous pouvez naviguer dans vos applications mais ne pouvez pas ouvrir vos fichiers (photos, films, etc.), vous avez été victime d'un logiciel de chiffrement avec demande de rançon - le pire des deux scénarios. Si vous pouvez naviguer sur votre système et lire tous vos fichiers, alors vous avez probablement affaire à un faux ransomware qui essaie simplement de vous effrayer et vous extorquer de l'argent.

Pour mieux savoir que faire lorsque vous êtes confronté à l'une de ces situations, nous vous recommandons de lire l'article : Qu'est-ce qu'un ransomware et comment s'en protéger ?

Même avec les meilleures précautions et politiques de sécurité en place, il est malgré tout possible d'être victime d'une attaque. Si cela devait se produire, voici quelques conseils :

  • Restez calme : Des décisions hâtives pourraient aggraver la situation. Par exemple, si vous découvrez une infection et décidez de couper soudainement l'alimentation d'un serveur, au lieu de le mettre hors tension correctement, vous pourriez perdre des données en plus des données infectées,
  • Ne payez jamais la rançon, car les cybercriminels pourraient ne pas déverrouiller vos données : Il existe de nombreux exemples où les victimes n'ont pas reçu leurs données après avoir payé la rançon demandée. Plutôt que de courir ce risque, les entreprises devraient travailler avec des experts en récupération de données qui pourraient être en mesure de récupérer l'accès aux données en procédant à une ingénierie inverse du ransomware,
  • Vérifiez vos sauvegardes les plus récentes : Si elles sont intactes et à jour, il sera plus facile de les restaurer sur un autre système,
  • Contactez un expert pour étudier les possibilités de récupération : Un spécialiste de la récupération de données examinera votre scénario et vérifiez si une solution existe déjà. Si ce n'est pas le cas, il devrait pouvoir en élaborer une à temps.
Que faire en cas d'attaque de ransomware ?

Comment prévenir une attaque de ransomware ?

Les variantes de ransomware ciblent différents secteurs d'activité. Les cibles les plus à risque étant les instituts de santé, les institutions financières et les agences gouvernementales qui doivent prendre des précautions afin de réduire le risque et atténuer les effets d'une attaque.

L'une des actions les plus importantes est la mise en place d'un plan de reprise d'activité en cas de sinistre. Si vous n'en avez pas, il y a de fortes chances que les conséquences soient graves. Selon la National Archives and Records Administration, 93 % des entreprises qui subissent une perte de données et un temps d'arrêt d'activité de 10 jours ou plus font faillite dans les 12 mois.

Un plan de reprise d'activité décrit différents scénarios de sinistre, comme une attaque de ransomware, et les actions à prendre pour reprendre rapidement l'activité. Un élément clé du plan de continuité d'une entreprise est le plan de récupération après sinistre qui doit permettre de prévenir suffisamment les effets négatifs d'une perte de données.

Si vous n'en avez pas encore un en place, vous pouvez télécharger notre modèle gratuit de plan de reprise d'activité après sinistre.

Parmi les autres recommandations, citons notamment :

  1. Assurez-vous d'avoir des sauvegardes à jour : si quelque chose se produit, la restauration de vos fichiers depuis une sauvegarde est le moyen le plus rapide de retrouver l'accès à vos données,
  2. Testez régulièrement vos sauvegardes : il est important de connaître précisément les données contenues sur vos sauvegardes, ainsi que leur emplacement, et de s'assurer que les données les plus critiques restent accessibles si jamais un ransomware ciblait vos sauvegardes,
  3. Mettez en place des politiques de sécurité : Utilisez des logiciels antivirus et anti-malware récents et à jour pour éviter les infections,
  4. Élaborez des politiques informatiques limitant les infections sur les autres ressources du réseau : Les entreprises doivent mettre en place des mesures de protection, de sorte que si un appareil est infecté par un ransomware, celui-ci ne pénètre pas dans l'ensemble du réseau,
  5. Formez les utilisateurs pour s'assurer qu'ils peuvent repérer une attaque potentielle : Veillez à ce que les employés connaissent les meilleures pratiques pour éviter de télécharger accidentellement des ransomwares ou d'ouvrir le réseau à des personnes extérieures,
  6. Veillez à ce que vos serveurs de messagerie soient équipés d'un système de surveillance et de filtrage de contenu : Analysez chaque courrier électronique entrant pour détecter les menaces connues et bloquez tout type de pièce jointe susceptible de constituer une menace,
  7. Téléchargez nos principaux conseils de prévention contre les ransomwares,
  8. Regardez notre webinaire "Ransomware : prévention et récupération" (Anglais), réalisé en partenariat avec NetApp.

Réduire votre surface d'exposition

La gestion des données tout au long de leur cycle de vie n'est souvent pas prise en compte dans de nombreuses organisations. Malheureusement, sans une stratégie de gestion du cycle de vie des données, une organisation s'expose à des risques importants en terme de sécurité. Car aujourd'hui, le prix à payer pour une politique de protection de données inefficace est trop élevé.

Les attaques de ransomware ne sont la seule menace dont les entreprises doivent se méfier : violations de données, atteinte à la réputation, perte de clients, temps d'arrêt et amendes importantes sont autant de risques potentiels pour une entreprise qui ne gère pas efficacement le cycle de vie de ses données.

Les organisations prenant le temps d'investir les efforts et les ressources nécessaires dans la gestion du cycle de vie de leurs données peuvent par contre minimiser les risques et le coût de leurs données critiques.

Découvrez comment Ontrack peut vous aider à gérer le cycle de vie de vos données (.pdf, Anglais).

Découvrez comment votre organisation peut protéger ses données tout au long de leur cycle de vie.

Comment Ontrack a déjà aidé des entreprises et établissements publics touchés par des ransomwares

Chez Ontrack, nous surveillons en permanence 271 types de ransomwares différents. Les ransomwares se développent en permanence et nous voulons nous assurer que nous sommes au fait de leurs plus récentes évolutions. Cette veille permanente nous fournit des connaissances supplémentaires, ce qui augmentent la probabilité de récupérer avec succès des données perdues à la suite d'une attaque.

Nous disposons actuellement des capacités de chiffrement de 138 types de ransomwares différents. Une augmentation considérable par rapport aux 6 que nous connaissions il y a quelques années seulement. Depuis, nous avons travaillé sur des centaines de cas, ce qui nous permet désormais de savoir à quoi s'attendre pour chaque type de ransomware.

Lorsqu'il s'agit de données inaccessibles, il est toujours préférable de contacter des spécialistes. C'est pourquoi si vous avez été attaqué par un ransomware, contactez un expert comme Ontrack pour vous aider à accéder à vos données.

Vous trouverez ci-dessous quelques exemples de cas de récupération de données réussis suite à une attaque de ransomware :


icon

Démarrez dès à présent la récupération de vos données touchées par un ransomware avec une consultation gratuite.

Contactez notre équipe d'experts, Ontrack s'adapte à toutes les situations - des établissements publics ou entreprises jusqu'aux particuliers qui ont perdu leurs photos souvenirs.

Etape 1

Type d'appareil
Etape 2

Cause de la perte de données
Etape 3

Détails & Evaluation

Pour quel type d'appareils avez-vous besoin de récupérer des données ?

Quelle est la cause principale de votre perte de données ?

Informations complémentaires ?  Quelles sont vos données les plus critiques ?

* Il est possible que l’évaluation gratuite ne soit pas applicable. Veuillez nous appeler ou saisir vos coordonnées et nous vous contacterons dans les meilleurs délais. Si vous avez besoin d’assistance veuillez composer le: 0800 10 12 13

1. Coordonnées du contact

2. Détails expédition

Si vous souhaitez faire une évaluation gratuite de votre support, sélectionnez "Oui" et saisissez vos coordonnées pour réserver une prise en charge gratuite par DHL. Si vous souhaitez simplement être recontacté par un de nos conseillers, choisissez "Non":
La prise en charge de l'enlèvement n'est pas disponible dans votre pays.