< Back
cyberthreat news

Tags:

Ercom
17 March 2023

Ransomware : qu’est-ce-que c’est et comment s’en protéger ?

Ransomware : qu’est-ce-que c’est et comment s’en protéger ?

Les ransomwares ne cessent d’évoluer. Pour s’en prémunir, il devient essentiel pour les entreprises de se protéger efficacement en mettant en œuvre une politique de sécurité pour son système d’informations. Cette dernière doit être sans cesse suivie et mise à jour en fonction des dernières tendances, afin que les différentes techniques et procédures de protection soient adaptées à l’évolution des attaques...

Quelques chiffres sur l’activité des ransomwares
Un ransomware est un programme malveillant aussi appelé malware, qui utilise le chiffrement pour bloquer l’accès aux fichiers ou aux ordinateurs infectés qui deviennent inutilisables par la victime. Ce programme malveillant est déployé majoritairement par des groupes cybercriminels organisés. Si certains groupes de cybercriminels tels que CONTI ou anciennement REvil disparaissent, d’autres tels que LockBit, BlackCat, Hive ou encore Karakurt font preuve d’une croissance exponentielle et le nombre de leurs victimes ne cesse de croître. On assiste également à l’émergence de nouveaux groupes, tels que BianLian ou Black Basta, qui démontrent un niveau d’impact qui rivalise, voire dépasse celui des groupes plus établis.

1 287 cyberattaques sont détectées chaque seconde dans le monde soit une augmentation de 125 % en un an.  Les ransomwares demeurent une menace toujours plus difficile à contenir. En effet quand 72 minutes suffisent aux hackeurs pour s’infiltrer en profondeur dans un réseau, il faudra 287 jours en moyenne à une entreprise pour se remettre d’une attaque destructrice.

Livrés par des pirates efficaces, les logiciels malveillants peuvent s'exécuter furtivement et automatiquement, se déguisant en un fichier non malveillant en cas de contrôle de sécurité régulier. En moyenne il faudra 7 mois à une entreprise avant de détecter une violation de données, selon l’article La Dépêche sur la sécurité numérique.

D’après le dernier rapport « Threat Landscape Report »  de S21sec, l'attaquant reste présent au sein d'un réseau pour une durée comprise entre 3 et 6 mois. Cette durée varie en fonction de son objectif, car il pourrait rester des années dans un réseau. Sur le dernier semestre 2022, on comptabilisait 44 groupes actifs de Ransomwares, pour 1 487 attaques se concentrant contre les Etats-Unis et l’Europe. L’Ukraine a connu également une multiplication par 3 des attaques au cours de cette période notamment vers les infrastructures critiques, que sont l'énergie, les communications, la logistique, les bases de données militaires et gouvernementales. Plus globalement, les secteurs les plus ciblés, sont l’Industrie, le Retail et la Santé. Car les organisations de ces secteurs possèdent des ressources jugées précieuses et une clientèle plus importante qui sont considérés comme des cibles plus attrayantes pour les hackers. Il est intrinsèquement plus difficile de sécuriser tous les points d’accès des entreprises comptant un grand nombre d’employés et de sous-traitants travaillant dans des lieux distincts. Par exemple, il y a un an, Vasu Jakkal, Directeur Général de la sécurité de la conformité et de l'identité de Microsoft, expliquait que chaque seconde 571 attaques sont liées à des violations d’identité numérique : majoritairement des tentatives pour déchiffrer des mots de passe.

 

Quels sont les principaux types de Ransomwares ?

Certains types de ransomware peuvent s'infiltrer dans des appareils sans manipulation de votre part. D'autres attaques de ransomware reposent sur des méthodes d'infection traditionnelles par des logiciels malveillants. Voici un aperçu du fonctionnement des différents types de ransomware :
 

  • Les Kits d’exploitation : les développeurs malveillants créent des kits d'exploitation qui profitent des vulnérabilités d'applications, de réseaux ou d'appareils spécifiques. Ce type de ransomware peut infecter tout appareil connecté au réseau exécutant un logiciel obsolète.
     
  • Le phishing aussi appelé l’hameçonnage : lors d'une attaque de phishing, les cybercriminels usurpent l'identité de contacts ou d'organisations de confiance et envoient des e-mails qui ressemblent à des pièces jointes ou à des liens légitimes. Ce type d'attaque implique souvent de faux bons de commande, reçus ou factures, qui peuvent être utilisés pour accéder à des informations.  
     
  • Les annonces malveillantes : les pirates peuvent intégrer et propager des logiciels malveillants dans de fausses publicités. Certaines publicités malveillantes peuvent installer des ransomwares sur un appareil que si une personne clique dessus, tandis que d'autres téléchargent des ransomwares dès qu'ils se chargent sur des pages Web sans avoir besoin d’action tierce.
     
  • Le téléchargement furtif : un cybercriminel peut placer un logiciel malveillant sur un site Web afin que, lors d’une visite, le site Web télécharge automatiquement et secrètement le logiciel malveillant sur votre appareil. Les navigateurs et applications plus anciens sont particulièrement vulnérables à cette technique.

Qu’importe la manière utilisée, l’objectif reste le même : accéder à votre réseau, à vos installations, à vos données, les bloquer et demander une rançon en échange. Mais le fait de payer la rançon exigée par le cybercriminel ne garantit jamais de retrouver l'accès aux données et vous risquez d'être victime d'autres extorsions de la part des mêmes attaquants.

Les solutions pour s’en protéger

Pour éviter les ransomwares et la contamination de vos terminaux, nous avons partagé dans notre dernier article de blog 12 gestes simples et concrets pour la sécurisation de vos données à adopter au quotidien via le guide de l’ANSSI. 

L’Incibe recommande d’isoler les ordinateurs infectés par un ransomware et de cloner les disques durs des ordinateurs infectés. Signaler l'incident et modifier tous les mots de passe du réseau et comptes en ligne. Vous pouvez sauvegarder les ordinateurs et récupérer les fichiers chiffrés mais également restaurer les ordinateurs pour poursuivre l'activité.

Pour limiter les attaques la prévention est la méthode la plus efficace. Vous pouvez limiter les risques par une surveillance quotidienne, des audits de vulnérabilité continus, une formation des utilisateurs aux bonnes pratiques et la réalisation de copies de sauvegarde de toutes les informations critiques de l'entreprise. En d’autres termes, il est essentiel de renforcer la formation à la cybersécurité à l'ensemble du personnel, y compris des tiers, et de les sensibiliser sur les risques et solutions des cyberattaques.

Trois choses à retenir, les attaques de ransomware sont en constante évolution. Pour s’en protéger, divers outils et techniques peuvent être appliqués et surtout, la prévention reste l’élément clé pour faire chuter les risques.

 

Sources :

La France au 5ème rang mondial des attaques par ransomware (cybersecurite-solutions.com)

https://www.incibe.es/protege-tu-empresa/herramientas/servicio-antiransomware

https://www.s21sec.com/threat-landscape-report/