Les ransomwares sont l’une des plus grandes menaces pour les entreprises aujourd’hui, et avec de nouvelles attaques qui font la une des actualités tous les jours, le risque peut sembler insurmontable. Mais qu’est-ce qu’un ransomware et comment les entreprises peuvent-elles s’en protéger ? Dans cette série, nous examinons les ransomwares en détail, en soulignant des méthodes d’attaque spécifiques telles que l’usurpation de la messagerie, les vulnérabilités et le protocole d’accès à distance RDP, en nous penchant sur les attaques contre des chaînes d’approvisionnement, et en fournissant des conseils pour aider les entreprises à atténuer ces risques.
Lisez les autres articles de la série :
PARTIE 2 : Ransomwares : Les nombreux dangers du protocole d’accès à distance RDP
PARTIE 3 : Ransomwares : Comment fournir une précieuse couche de protection à la messagerie
PARTIE 4 : Ransomwares : La nécessité de protéger le maillon le plus faible
PARTIE 5 : Ransomwares : Le jeu du chat et de la souris
PARTIE 6 : Ransomwares : Comment protéger votre entreprise contre les attaques
Qu’est-ce qu’un ransomware ?
Les ransomwares sont un type de cyberattaque qui a pour objectif de chiffrer, interdire ou restreindre fortement l’accès aux données, aux appareils ou à la totalité des systèmes de la victime, jusqu’à ce que la demande de rançon soit satisfaite et que les données de l’utilisateur soient restituées. Les dommages causés peuvent être graves et étendus. La plus grande attaque de ransomware à ce jour, WannaCry, a touché plus de 230 000 ordinateurs dans 150 pays différents en 2017.
Les ransomwares sont aujourd’hui légion, et cela ne fait qu’empirer en raison de la tendance actuelle au travail hybride. Entre janvier 2020 et juin 2021, un nombre impressionnant de 71 milliards d’attaques de ransomwares se sont produites dans le monde. Si personne n’est à l’abri, les PME sont devenues des cibles de plus en plus attrayantes, car bien qu’elles détiennent de nombreuses données précieuses sur les clients et les finances, elles ne disposent souvent pas des mesures de sécurité robustes employées par les grandes entreprises. Pour aggraver encore plus la situation, elles ne se considèrent pas comme des cibles potentielles et sont donc moins enclines à sauvegarder leurs données.
Plusieurs variants de ransomwares ont vu le jour depuis leur apparition en 1989, mais on peut généralement les classer en quatre grands types :
- Le verrouilleur d’écran qui bloque l’accès à votre appareil par le biais d’un verrouillage d’écran
- Le bloqueur PIN qui modifie le code PIN de votre appareil, rendant son contenu et ses fonctionnalités inaccessibles
- Le diskcoder qui chiffre le MBR (zone d’amorçage) et/ou les structures critiques du système de fichiers, vous empêchant d’accéder à votre système d’exploitation
- Le chiffreur qui chiffre les fichiers sur votre disque
Comment fonctionnent-ils techniquement ?
Avec les collaborateurs travaillant de plus en plus à domicile et accédant aux systèmes et aux services internes de l’entreprise via le protocole RDP (accès à distance), et la tendance à l’augmentation du nombre de collaborateurs utilisant leurs appareils personnels pour travailler (BYOD – Acronyme pour Bring Your Own Device), les cybercriminels exploitent ce vecteur pour diffuser des ransomwares parmi d’autres menaces malveillantes. Ce n’est cependant pas le seul vecteur utilisé. Les campagnes de spam malveillant et d’hameçonnage diffusant des documents douteux, des macros malveillantes, des liens hypertextes nuisibles et des exécutables de botnets restent également populaires.
Certains cybercriminels utilisent même des ransomwares proposés sous forme de services (RaaS) pour accéder à une machine via des vulnérabilités connues, puis se déplacer latéralement dans le réseau avant de décider quoi chiffrer. D’autres mènent des attaques contre des chaînes d’approvisionnement afin d’accéder à des écosystèmes informatiques entiers. En prenant le contrôle des plateformes de prestataires de services managés (MSP) et des outils de productivité les plus populaires, les cybercriminels peuvent diffuser des ransomwares sur plusieurs réseaux à grande échelle.
Comment fonctionnent-ils psychologiquement ?
Les ransomwares exercent une pression sur leurs cibles. Il peut s’agir de porter atteinte à la réputation, interrompre les activités, voire sanctionner juridiquement et financièrement. Leur efficacité a permis de garnir les comptes des cybercriminels de centaines de millions de dollars. Les 70 millions de dollars de rançon demandés par Sodinokibi lors de l’attaque de Kaseya ou les 40 millions de dollars versés par CNA, confirment l’ampleur du problème en 2021.
Malheureusement, cela a conduit à un cercle vicieux. Les sommes importantes qui entrent dans les coffres des gangs de ransomwares leur permettent de développer leur modèle commercial RaaS et de s’adjoindre de nombreux nouveaux affiliés.
Ne devenez pas une statistique
Les ransomwares peuvent transformer un incident malencontreux en une guerre psychologique visant à forcer les victimes à agir contre leur propre volonté et dans leur meilleur intérêt. Il ne faut pas longtemps pour réaliser que vous êtes devenu une victime. Les ransomwares vous informent généralement de leur présence peu après avoir infecté vos appareils, en affichant une note de rançon sur votre écran, en ajoutant un fichier texte aux dossiers touchés ou en modifiant l’extension des fichiers chiffrés. Les opérateurs restent rarement longtemps dans l’ombre.
Assurez-vous de ne pas devenir une statistique. Comme pour beaucoup de choses dans la vie, il vaut mieux prévenir que guérir. Pour minimiser les risques des ransomwares, ne cherchez pas à faire des économies et mettez en place une solution de sécurité complète.
