Qu'est-ce qu'un ransomware et comment s'en protéger ?

jeudi 26 mars 2020 par Michael Nuncic

DST_image_970x300_hero-cloud

Ces dernières années, les attaques de ransomware ont augmenté à un rythme alarmant. Malheureusement, l'essor de la technologie s'accompagne d'une augmentation de la cybercriminalité. Mais que savez-vous de l'évolution constante de la menace que représentent les ransomwares ? Savez-vous quelles mesures prendre pour prévenir une attaque ?

Un risque croissant

La cybersécurité doit être une priorité absolue pour les entreprises de toute taille souhaitant se protéger contre une multitude de menaces en constante évolution. Selon une   étude sur l’état de la gestion des risques dans les entreprises en 2020 (State of Enterprise Risk Management 2020) réalisée par l’ISACA, le CMMI et l’Infosecurity Group, 53 % des personnes interrogées ont déclaré avoir constaté un risque accru pour leur organisation au cours des 12 derniers mois. En outre, 29 % des personnes interrogées estiment que la cybersécurité est la catégorie de risque la plus dangereuse à laquelle sont confrontées les entreprises aujourd’hui, et 33 % pensent que le risque lié à la cybersécurité et aux informations sera la catégorie de risque la plus importante à laquelle sera confrontée leur organisation dans les 18 à 24 prochains mois.

Source : « State of Enterprise Risk Management 2020 », ISACA, CMMI et Infosecurity Group

Définition des ransomware 

Les ransomwares sont une forme de logiciel malveillant conçu pour bloquer l'accès à un système informatique ou publier les données d'une victime en ligne. Le pirate demande une rançon à la victime, en promettant (pas toujours avec sincérité) de rétablir l'accès aux données après le paiement.

Ces logiciels malveillants sévissent depuis les années 80, et la dernière décennie a vu apparaître divers chevaux de Troie de type ransomware. Mais les possibilités réelles pour les pirates se sont multipliées depuis l’introduction du Bitcoin. Cette cryptomonnaie permet aux pirates de collecter facilement de l'argent auprès de leurs victimes sans passer par les canaux traditionnels.

Qui se cache derrière les ransomware ?

Les auteurs d’attaques par ransomware sont généralement des escrocs très bien informés, experts en programmation informatique. En général, les ransomwares infectent votre ordinateur via une pièce jointe, un réseau ou un navigateur infecté.

Comment fonctionnent les ransomwares ?

Phishing (ou hameçonnage)

Le système de distribution le plus courant pour les ransomwares est le phishing par courrier indésirable, notamment par l’intermédiaire de pièces jointes arrivant dans le courrier électronique d'une victime et se faisant passer pour un fichier inoffensif. Selon une étude d'une société de logiciels de sécurité, Trend Micro, 91 % des cyberattaques et la violation de données qui en résulte commencent par un e-mail de spear phishing.

Après avoir téléchargé et ouvert la pièce jointe, le logiciel malveillant s’empare de l’ordinateur, cryptant une partie ou la totalité des fichiers. Lorsque cela se produit, la seule façon de décrypter les données est d’utiliser une clé mathématique que seul le pirate connaît.

Dans certains cas, les logiciels malveillants affichent un message indiquant que le système d'exploitation Windows de l'utilisateur est verrouillé. L'utilisateur est ensuite encouragé à appeler un numéro de téléphone « Microsoft » et à entrer un code à six chiffres pour réactiver le système. Le message prétend que l'appel téléphonique est gratuit, mais ce n'est pas vrai. Alors qu’il pense être au téléphone avec « Microsoft », l'utilisateur accumule les frais d'appel longue distance.

Doxware

Les leakwares ou doxwares constituent un autre type de logiciels malveillants. Dans ces attaques, le pirate menace de publier les données sensibles de la victime à moins qu'elle ne paie une rançon. Ciblant souvent le courrier électronique et les documents Word, certains cas concernant des appareils mobiles ont entraîné la diffusion de messages privés, de photos et de listes de contacts extraits des téléphones des utilisateurs.

Les doxwares sont connus pour être plus efficaces que les ransomware, en particulier pour extorquer de l’argent à la victime. Avec les ransomwares, les pirates peuvent créer des sauvegardes distinctes des données qui ne sont plus accessibles. Cependant, avec les doxwares, une fois qu'un pirate possède les informations que la victime ne veut pas rendre publiques, il n'y a pas grand-chose à faire, si ce n'est payer.

Quels dommages peuvent causer les ransomwares ?

On pourrait penser que payer une rançon pour avoir accès à ses données est déjà assez grave, mais cela peut paraître dérisoire en comparaison des coûts réels des dommages causés par une attaque. Les attaques de ransomware peuvent entraîner :

  • Des dommages et la destruction (ou la perte) de données,
  • Une perte de productivité,
  • La perturbation du cours normal de l’activité d'une entreprise,
  • Une enquête judiciaire,
  • La restauration et la suppression des données et systèmes pris en otage,
  • Une atteinte à la réputation,
  • La nécessité de former les employés en réponse directe aux attaques.

Étant donné les dommages qu’elles peuvent causer, il n'est pas étonnant que les attaques de ransomware coûtent en moyenne 36 000 dollars aux entreprises !

Devez-vous payer la rançon ? 

Lorsque vous parlez à des experts en cybercriminalité, la plupart vous demandent instamment de ne pas payer les rançons, car le financement des pirates utilisant des ransomwares ne fera qu’amplifier le problème.

Cependant, de nombreuses organisations vont à l'encontre de ces conseils en évaluant le coût des données cryptées par rapport à la rançon. En 2018, 45 % des entreprises américaines touchées par des ransomwares on versé une rançon aux pirates. Mais pourquoi ?

Il est en général recommandé de ne pas verser de rançon aux pirates utilisant des ransomwares. Toutefois, le refus de payer n’est pas toujours la meilleure solution pour de nombreuses entreprises, surtout lorsqu’il y a un risque que l’entreprise perde définitivement l’accès à des données vitales, se voie infliger des amendes par les autorités de régulation ou fasse carrément faillite. Pour de nombreuses entreprises, le choix entre payer une rançon relativement modeste ou rester en activité est évident.

Dans certains cas impliquant des ransomwares, le pirate fixe la demande de rançon à un niveau qui en vaut la peine, mais il veillera à ce qu'elle soit suffisamment basse pour qu'il soit souvent moins coûteux pour la victime de payer plutôt que de recréer ses données perdues. Les pirates offrent parfois des rabais si leur victime paie dans un délai précis, par exemple trois jours.

Dans cette optique, certaines entreprises constituent des réserves de Bitcoin spécifiquement pour le paiement de rançons ; c’est ce que l’on constate principalement au Royaume-Uni, où les organisations semblent plus enclines à payer des rançons. Selon Gotham Sharma, directeur général d'Exeltek Consulting Group, « Environ un tiers des entreprises britanniques de taille moyenne déclarent avoir des Bitcoins sous la main pour répondre aux urgences liées aux ransomwares lorsque d’autres options ne sont pas immédiatement envisageables ».

Comment arrêter les ransomwares ?

Si vous êtes infecté par un ransomware, vous devez d'abord déterminer de quel type de ransomware il s’agit. Par exemple, si vous ne pouvez pas supprimer un message affiché par le ransomware sur votre écran, cela signifie que vous avez probablement été infectés par logiciel malveillant qui verrouille l'écran. Si vous pouvez accéder à vos applications, mais ne pouvez pas ouvrir vos fichiers ou vos films, par exemple, il est probable qu’un ransomware de cryptage ait infecté votre système. Le pire des deux scénarios. Si vous pouvez accéder à votre réseau et lire tous vos fichiers, vous faites probablement face à un imposteur qui essaie juste de vous faire peur pour vous inciter à lui verser une somme.

Comment prévenir les ransomwares ?

  • Assurez-vous d'avoir une bonne sauvegarde de tous vos fichiers. De cette façon, si une attaque se produit, la restauration de vos fichiers à partir de cette sauvegarde sera le moyen le plus rapide de retrouver l'accès à vos données,
  • Ne fournissez aucun renseignement personnel lorsque vous répondez à des e-mails, des appels téléphoniques non sollicités, des SMS ou des messages instantanés. Les pirates utilisant la méthode du phishing peuvent essayer de tromper les employés pour qu’ils installent des logiciels malveillants ou pour obtenir des renseignements en prétendant être un collègue de votre service informatique,
  • Assurez-vous que vous disposez d’un logiciel antivirus et d’un pare-feu de bonne réputation. Il existe un grand nombre de faux logiciels sur le marché. Votre antivirus et votre pare-feu doivent donc être suffisamment performants pour vous protéger des menaces que représentent les logiciels malveillants,
  • Assurez-vous que vos serveurs de messagerie sont équipés d’un système d’analyse et de filtrage du contenu. Analysez chaque e-mail entrant pour détecter les menaces connues et bloquez tout type de pièce jointe susceptible de constituer une menace,
  • Si vous partez en déplacement professionnel, avertissez auparavant votre service informatique, surtout si vous pensez utiliser des connexions Wi-Fi publiques. Assurez-vous que vous disposez d’un réseau privé virtuel (VPN) fiable lorsque vous accédez à des connexions Wi-Fi publiques,
  • Assurez-vous que tous vos logiciels sont à jour, y compris le système d’exploitation, le navigateur et tous les plug-ins de la barre d’outils que vous utilisez.

Lisez également cet article de notre blog sur la manière de protéger votre entreprise contre la cybercriminalité.

 

Ontrack et les ransomwares

Chez Ontrack, nous suivons continuellement 271 types de ransomwares. Les ransomwares changent et se développent en permanence, c’est pourquoi nous nous devons de surveiller et d’étudier les derniers changements et progrès.

En ce qui concerne les données inaccessibles, il est toujours préférable de contacter un expert en récupération de données comme Ontrack qui peut vous aider à accéder à vos données après une attaque de ransomware.