Protection & Sécurité

Quelles sont les dernières tendances du côté des ransomwares ?

Temps de lecture: 14 minutes

Les ransomwares sont l’une des cybermenaces les plus courantes pour les petites et moyennes entreprises. Bien que vous soyez déjà conscient des dégâts que peuvent causer les ransomwares, les cybercriminels à l’origine de ces attaques s’efforcent de découvrir la moindre faiblesse dans vos défenses. Les attaques contre les bases de données, les serveurs web et les smartphones sont en hausse.


Quelles réponses trouverez-vous dans cet article  ?
  • Combien peut coûter un ransomware à votre entreprise ?
  • Comment les techniques des ransomwares ont-elles évolué au fil du temps ?
  • Quels sont les dommages courants causés par les attaques de ransomwares ?
  • Quelles sont les mesures qu’un administrateur informatique peut prendre pour éviter les ransomwares ?

Ebook gratuit sur les Ransomwares - Nos conseils pour les PME


Même si vous avez déjà amélioré la protection de vos données, votre entreprise devra peut-être recourir à d’autres mesures de sécurité pour faire face aux nouvelles variantes de ransomwares qui tentent de vous atteindre chaque jour. Une PME sur cinq a été victime d’une attaque de ransomware en 2019, et de nouveaux types d’attaques sont également apparus pendant la pandémie de COVID-19. Selon le rapport Cybersecurity Ventures sur les coûts des dommages causés par les ransomwares, des attaques de ransomwares ont visé des entreprises toutes les 11 secondes en 2020.

Malgré la protection de vos appareils contre ces attaques, vous risquez encore de perdre le combat face à d’autres vecteurs, tels que les vulnérabilités que vous n’avez pas réussi à corriger jusqu’à présent et qui peuvent être exploitées par des malwares. Le protocole d’accès à distance RDP mal sécurisé, un trop grand nombre de services en ligne ouverts en même temps, des systèmes d’exploitation non corrigés ou des versions obsolètes des solutions de sécurité : autant de facteurs de risque qui doivent être traités dès aujourd’hui.

Les entreprises utilisent souvent des solutions de sécurité obsolètes, auxquelles il manque parfois certaines des couches de protection essentielles pour repousser les ransomwares.

Pour vous assurer d’avoir fait tout ce que vous pouviez, vous devez choisir une solution qui soit à la fois puissante et qui vous protège par de multiples couches. Les solutions de sécurité informatique efficaces nécessitent également des investissements. Si vous n’avez toujours pas réussi à convaincre votre conseil d’administration d’augmenter votre budget de sécurité informatique, voici quelques raisons de prendre les ransomwares plus au sérieux. N’hésitez pas à les communiquer à votre direction.

Le coût des ransomwares augmente

Nous voyons presque quotidiennement des exemples d’attaques de ransomwares. Celles-ci manquent souvent d’éthique et de compassion. Cela a été particulièrement évident dans le cas des hôpitaux qui ont été paralysés par des attaques de ransomwares pendant des semaines lors de la pandémie de coronavirus.

Au cours des deux dernières années, le coût des dommages causés par les ransomwares a augmenté de façon spectaculaire. En 2017, le ransomware WannaCry a réussi à infecter plus de 200 000 machines à travers le monde. Une autre épidémie de grande ampleur menée par le groupe TeleBots a frappé quelques semaines plus tard, diffusant un logiciel de destruction de données de type ransomware appelé NotPetya. Cet incident a débuté en Ukraine et a touché de grandes banques, des services publics et des services de télécommunications, et il s’est également propagé sur des réseaux d’entreprises mondiales, détruisant irrémédiablement des données. Dans ce cas, même le paiement de la rançon n’a pas résolu la situation, en raison d’une faille dans le mécanisme de déchiffrement. À ce jour, NotPetya est décrit comme étant la cyberattaque la plus dévastatrice de l’histoire, causant plus de 10 milliards de dollars de dommages.

La forme la plus répandue des ransomwares, les cryptoransomwares, chiffrent les fichiers des utilisateurs stockés sur les disques et les dossiers réseau partagés. Vous devez savoir qu’aucune entreprise n’est trop petite pour ce type de cyberattaque. Une enquête menée par Infrascale auprès de plus de 500 dirigeants de PME a révélé que 46 % des personnes interrogées avaient déjà été touchés par des attaques de ransomware. Parmi celles-ci, 73 % ont admis avoir payé la rançon afin de récupérer leurs données.

Ces menaces causent tout simplement de gros dégâts aux économies et aux entreprises. Par exemple, prenons le cas de l’administration de la ville de Baltimore aux États-Unis, qui a été frappée par un ransomware, et qui s’est soldé par un paiement de 10 millions de dollars pour la récupération des données et de 8 millions de dollars supplémentaires pour la perte de revenus. 

Les municipalités, les universités, les aéroports et les hôpitaux sont souvent touchés par des ransomwares, car ils sont faciles à cibler et utilisent souvent des systèmes vulnérables et mal configurés. Les paiements demandés dans de tels cas se chiffrent souvent en centaines de milliers, voire en millions de dollars.

Mais toutes les entreprises ne signalent pas une attaque de ransomware afin d’éviter les sanctions des autorités et les dommages potentiels pour leur réputation. Elles sont souvent par ailleurs peu disposées à admettre que leur sécurité était défectueuse.

Malheureusement pour ces entreprises, les gangs de ransomwares publient souvent les noms de leurs victimes et publient même leurs données sur des sites du dark web. Cela oblige la plupart des entreprises à reconnaître l’incident et négocier avec les attaquants. Avec les ransomwares, comme avec tout autre malware, la prévention est la meilleure défense, et aussi l’une des principales exigences des autorités.

Les attaquants deviennent de plus en plus agressifs

Comment les méthodes des attaquants ont-elles évolué au cours des dernières années ?  

Les cybercriminels ont introduit un certain nombre d’innovations.

Avant que les ransomwares ne commencent à cibler les entreprises, les pirates utilisaient le spam comme principal canal de diffusion, frappant les boîtes de messagerie lors de campagnes à grande échelle. Lorsque des victimes étaient compromises, il leur était généralement demandé de payer quelques centaines de dollars pour le déchiffrement de leurs données, ce qui parfois n’arrivait pas.

Ce « modèle économique » n’était cependant pas très rentable et les attaquants ont dû modifier leur stratégie. Aujourd’hui, ces bandes très organisées ciblent surtout les services mal configurés et l’accès à distance de leurs victimes. Les criminels ont également commencé à négocier des rançons individuelles. Chaque entreprise est ainsi invitée à payer un prix différent. Ces gangs ont également commencé à utiliser des botnets, qui constituent une méthode de diffusion plus efficace des malwares.

Les notes de rançon ont également changé. Il s’agissait auparavant d’un court message contenant des informations générales, indiquant que vous deviez verser 300 dollars à un portefeuille de bitcoins. Les attaquants laissent maintenant de simples fichiers texte sur votre ordinateur, qui conduisent à une page d’atterrissage ou une adresse email pour y négocier le prix du déchiffrement. Pour préserver l’anonymat de leurs opérateurs, la plupart de ces pages d’atterrissage ne sont disponibles que sur le dark web.

Une autre grande tendance est apparue en novembre 2019 lorsque le gang de ransomwares Maze a commencé à « doxer » ses victimes en plus de chiffrer leurs données. Le « doxing » est une technique par laquelle des criminels volent des informations sensibles et menacent de les publier. Les attaquants disposent ainsi d’un levier, car les amendes possibles en vertu de la législation sur la protection des données telles que le RGPD en Europe, peuvent être énormes, sans parler de l’atteinte à la réputation ou de la fuite éventuelle de savoir-faire.

Cette technique est si efficace que de nombreux autres gangs de ransomwares ont suivi sans surprise le mouvement et l’utilisent aujourd’hui.

Les tendances des ransomwares qui ont façonné le paysage de la cybersécurité en 2020

Sans surprise, les ports ouverts, en particulier le protocole d’accès à distance RDP, ont été un vecteur clé des attaques de ransomwares. Les pirates ont activement mené des attaques par force brute contre RDP, mais ils ont également utilisé d’autres vulnérabilités dans différentes solutions, notamment Pulse Secure et Citrix VPN, pour pénétrer dans les réseaux d’entreprise.
Les attaques de ransomwares sont devenues plus exigeantes. Outre le chiffrement et le vol de vos données, les attaquants peuvent désormais lancer une attaque DDoS contre votre site web, afin d’accroître la pression pour le paiement.
Les gangs de ransomwares ne laisseront pas les entreprises dissimuler la faille de sécurité pour sauver leur réputation. Au contraire, pour rendre la honte aussi publique que possible, les noms des victimes apparaitront sur un site du dark web, avec les données volées si elles refusent de coopérer.
TPour augmenter la pression, certains groupes de ransomwares bombardent leurs victimes d’impressions, en forçant toutes les imprimantes disponibles sur le réseau de l’entreprise à imprimer la demande de rançon.
Depuis août 2020, les gangs de ransomwares appellent les victimes qui tentent d’éviter le paiement par téléphone. Ces appels sont le plus souvent effectués par un centre d’appels externalisé. Certaines entreprises de cybersécurité estiment que les gangs de ransomwares utilisent probablement le même centre d’appels.

Les pertes causées par les ransomwares peuvent détruire votre entreprise 

Le coût des ransomwares ne s’arrête pas au paiement de la rançon. Des coûts supplémentaires apparaissent lorsque l’entreprise touchée subit une perte de productivité ou un temps d’arrêt menaçant son activité. Les perturbations et les pertes financières qui en résultent peuvent être écrasantes pour votre entreprise.

Une fois que le ransomware a frappé, il peut être très difficile de remettre en état vos systèmes informatiques et rétablir la bonne réputation de votre marque. Vous pouvez dépenser des millions de dollars et des milliers d’heures de travail sur la remise en état, et ne pas vous remettre complètement des pertes subies. Tous vos projets sont suspendus jusqu’à ce que vous puissiez sécuriser vos systèmes et accéder de nouveau aux fichiers dont vous avez besoin.

La combinaison du chiffrement des données avec leur exfiltration est une nouvelle tendance qui rend les incidents de ransomwares encore plus dangereux. Non seulement les attaquants chiffrent et empêchent ainsi l’accès, par exemple, aux prototypes, aux brevets ou aux études de votre entreprise, mais ils peuvent également exfiltrer et vendre ces informations sur les places de marché du dark web. Outre le fait que vos données soient compromises, votre entreprise peut se voir infliger une amende pour n’avoir pas protégé les données sensibles de ses salariés et de ses clients.

Quant à l’ampleur des revenus générés par les cybercriminels : dans une interview accordée à un blog technologique russe OSINT, les développeurs du ransomware Sodinokibi ont affirmé avoir gagné plus de 100 millions de dollars en un an. Les opérateurs du ransomware Ryuk ont gagné encore plus d’argent. On estime que les entreprises à travers le monde qui ont suivi les instructions et payé la rançon ont permis au gang de Ryuk de gagner environ 150 millions de dollars en bitcoins.

Que pouvez-vous faire en tant qu’administrateur informatique pour stopper les ransomwares ?

N’attendez pas qu’une note de rançon s’affiche sur votre écran. Protégez plutôt votre connexion RDP avec un mot de passe fort et une authentification multifacteur.

Sauvegardez régulièrement vos données et vos systèmes d’exploitation, et conservez au moins une sauvegarde complète de vos données les plus précieuses hors ligne . 

Maintenez tous les logiciels et toutes les applications, y compris les systèmes d’exploitation, à jour. Pour une protection optimale contre les ransomwares, utilisez une solution de sécurité fiable, multicouche, avec des correctifs et configurée correctement

Pour réduire la probabilité d’attaque aussi proche de zéro que possible, ajoutez une autre couche défensive : une solution de sandboxing dans le Cloud. Cette technologie analyse les fichiers suspects dans un environnement contrôlé, à l’extérieur de votre réseau.
Enfin, formez vos collaborateurs afin qu’ils reconnaissent et comprennent les cybermenaces qu’ils peuvent rencontrer .