Les rançongiciels sont une forme avancée de cyberattaque, et l'une des plus grandes cybermenaces auxquelles les organisations du monde entier sont confrontées aujourd'hui.
Depuis le début de la pandémie, on observe une recrudescence mondiale des attaques. Au premier semestre 2021, 304,7 millions d' attaques par ransomware ont été enregistrées dans le monde, dépassant le total de l'année 2020 (304,6 millions).
Les entreprises manufacturières ont été les plus durement touchées par lesrançongiciels, avec près de 25 % de toutes les attaques, suivies par les services professionnels (17 %) et les organisations gouvernementales (13 %). Les écoles et les universités ont également été durement touchées en raison du passage aux classes virtuelles ou hybrides pendant le Covid-19.
Le chaos et les perturbations causés par l'épidémie ont créé l'environnement idéal pour que ces types d'attaques se développent, et les leurres d'hameçonnage à thème Covid-19 se sont avérés un moyen très efficace de diffuser des liens malveillants.
De nombreuses organisations ne prennent pas les ransomwares au sérieux, et ce n'est que lorsqu'elles sont victimes d'une attaque dévastatrice qu'elles investissent le temps et les ressources nécessaires pour améliorer leurs défenses de cybersécurité. Toutefois, à ce stade, il est souvent trop tard, car le mal est déjà fait.
Qu’est-ce qu’un ransomware ?
Un ransomware est un type de logiciel malveillant qui empêche les utilisateurs d'accéder à leur système en chiffrant les fichiers et en exigeant le paiement d'une rançon pour que le système soit déverrouillé. Le paiement de la rançon est généralement demandé en bitcoin ou dans d'autres crypto-monnaies difficiles à tracer. Les cybercriminels fixent généralement un délai pour le paiement de la rançon, et si ce délai est dépassé, le paiement de la rançon sera doublé, ou les fichiers définitivement verrouillés.
Certaines variantes de ransomware sont conçues pour se propager rapidement à d’autres machines sur un réseau. C’est exactement ce qui s’est passé lors de l'attaque WannaCry de 2017, lorsque le ransomware a chiffré des centaines de milliers d’ordinateurs dans plus de 150 pays. En l’espace de quelques heures, le ransomware a fait des ravages dans le monde entier, paralysant un tiers des services britanniques du NHS.
Au cours de l'année dernière, la souche de ransomware qui a été observée le plus fréquemment est Sodinokibi (également connu sous le nom de REvil). Ce modèle d'attaque Ransomware-as-a-Service (RaaS) est apparu pour la première fois en 2019, mais il a rapidement évolué en capitalisant sur les attaques mixtes de ransomware et d'extorsion. Il s'est avéré être un modèle d'attaque extrêmement lucratif, les développeurs affirmant avoir gagné plus de 100 millions de dollars au cours de la seule année dernière.
Comment les ransomwares sont-ils déployés ?
Les ransomwares peuvent infecter votre ordinateur de plusieurs façons. Le moyen le plus courant est l'envoi d'e-mails de phishing contenant des liens ou des pièces jointes malveillants. Ces courriels semblent provenir d'une source fiable et, une fois le lien cliqué ou la pièce jointe ouverte, le logiciel malveillant s'installe sur le système et commence à crypter les fichiers.
Les rançongiciels peuvent également être diffusés via des sites web malveillants, des supports amovibles infectés, des applications de messagerie sur les médias sociaux et, dans certains cas, les attaquants ont pu accéder à des réseaux en utilisant une attaque par force brute sur un dispositif réseau vulnérable.
5 façons de protéger votre organisation contre les attaques par ransomware
1. Maintenez les logiciels et les systèmes d'exploitation à jour
Les pirates exploitent fréquemment les vulnérabilités des systèmes d'exploitation et des applications courantes pour déployer des ransomwares. Les fournisseurs de réseaux publient régulièrement des correctifs pour remédier aux failles de sécurité. Il est donc essentiel de les appliquer dès qu'ils sont disponibles. On estime que les correctifs permettent d'éviter jusqu'à 85 % des cyberattaques en maintenant les systèmes à jour, stables et à l'abri des logiciels malveillants et autres menaces.
2. Technologies de prévention et de détection des intrusions
Les technologies de détection des intrusions peuvent donner un aperçu détaillé du trafic sur votre réseau. Elles fournissent une vue en temps réel de votre réseau et identifient toute anomalie qui pourrait suggérer que votre organisation fait l'objet d'une violation. Si un comportement suspect est détecté, vous serez immédiatement alerté, ce qui permettra une détection et une réponse plus rapides aux menaces.
3. Sauvegarde des données
Les sauvegardes doivent être effectuées régulièrement afin que le minimum de données soit perdu en cas d'attaque par ransomware. La règle 3-2-1 est une approche des meilleures pratiques en matière de sauvegarde et de récupération. Selon cette règle, vous devriez avoir trois copies de vos données dans deux formats de stockage différents, avec au moins une copie située hors site. Les sauvegardes doivent être testées régulièrement pour s'assurer qu'elles fonctionnent comme prévu. En cas d'attaque, cela vous permettra de récupérer rapidement vos données sans subir de chantage au paiement d'une rançon.
4. Activer l'authentification multi-facteurs
Les cybercriminels utilisent souvent des informations d'identification volées aux employés pour s'introduire dans les réseaux et déployer des logiciels rançonneurs. Les informations d'identification sont souvent obtenues par hameçonnage ou lors de l'une des nombreuses violations de données. L'activation de l'authentification multifactorielle signifie que même si les pirates disposent des informations d'identification d'un utilisateur, ils ne pourront pas accéder au réseau sans un autre facteur d'authentification tel qu'un code, un jeton ou des données biométriques.
5. Formation de sensibilisation à la cybersécurité
Les attaques de ransomware reposent en grande partie sur l'ouverture d'un courriel de phishing par un utilisateur. Pour que les employés puissent reconnaître efficacement ces menaces, il est essentiel qu'ils reçoivent régulièrement une formation de sensibilisation à la cybersécurité. Cette formation doit comporter plusieurs niveaux et inclure des tests de simulation de phishing pour apprendre au personnel à quoi ressemblent les e-mails de phishing et comment les éviter. Des tests de phishing réguliers permettront d'accroître la sensibilisation et d'identifier les membres du personnel vulnérables qui nécessitent une formation supplémentaire.
