Le ransomware est une forme avancée de cyberattaque et l’une des plus grandes menaces cybernétiques auxquelles sont confrontées les organisations du monde entier aujourd’hui.

Depuis le début de la pandémie, les attaques se sont multipliées à l’échelle mondiale. Au premier semestre 2021, 304,7 millions d’ attaques de ransomware ont été enregistrées dans le monde, dépassant le total de l’année 2020 (304,6 millions).

Les rançongiciels ont frappé le plus durement les entreprises manufacturières, avec près de 25 % de toutes les attaques, suivies par les services professionnels (17 %) et les organisations gouvernementales (13 %). Les écoles et les universités ont également été durement touchées en raison du passage à des classes virtuelles ou hybrides pendant la période du Covid-19.

Le chaos et les perturbations provoqués par l’épidémie ont créé l’environnement idéal pour que ce type d’attaques se développe, et les leurres d’hameçonnage sur le thème de Covid-19 se sont révélés être un moyen très efficace de diffuser des liens malveillants.

De nombreuses organisations ne prennent pas les ransomwares au sérieux et ce n’est que lorsqu’elles sont victimes d’une attaque paralysante qu’elles consacrent le temps et les ressources nécessaires à l’amélioration de leurs défenses en matière de cybersécurité. Toutefois, à ce stade, il est souvent trop tard car le mal est déjà fait.

Qu’est-ce qu’un rançongiciel ?

Ransomware

Les ransomwares sont des logiciels malveillants qui empêchent les utilisateurs d’accéder à leur système en chiffrant les fichiers et en exigeant le paiement d’une rançon pour déverrouiller le système. Le paiement de la rançon est généralement demandé en bitcoins ou dans d’autres crypto-monnaies difficiles à tracer. Les cybercriminels fixent généralement une date limite pour le paiement de la rançon et, si cette date est dépassée, le montant de la rançon est doublé ou les fichiers sont définitivement verrouillés.

Certaines variantes de ransomware sont conçues pour se propager rapidement à d’autres machines sur un réseau. C’est exactement ce qui s’est passé lors de l’attaque WannaCry de 2017, lorsque le ransomware a chiffré des centaines de milliers d’ordinateurs dans plus de 150 pays. En l’espace de quelques heures, le ransomware a fait des ravages dans le monde entier, entraînant la quasi-paralysie d’un tiers des services du NHS au Royaume-Uni.

Au cours de l’année écoulée, la souche de ransomware la plus fréquemment observée est Sodinokibi (également connue sous le nom de REvil). Ce modèle d’attaque de type « Ransomware-as-a-Service » (RaaS) est apparu pour la première fois en 2019, mais il a rapidement évolué en capitalisant sur les attaques mixtes de ransomware et d’extorsion. Il s’est avéré être un modèle d’attaque extrêmement lucratif, les développeurs affirmant avoir gagné plus de 100 millions de dollars au cours de la seule année dernière.

Comment les rançongiciels sont-ils déployés ?

Ransomware

Les ransomwares peuvent infecter votre ordinateur de différentes manières. La méthode la plus courante consiste à envoyer des courriels d’hameçonnage contenant des liens ou des pièces jointes malveillants. Ces courriels semblent provenir d’une source fiable et une fois que vous avez cliqué sur le lien ou ouvert la pièce jointe, le logiciel malveillant s’installe sur le système et commence à crypter les fichiers.

Les ransomwares peuvent également être diffusés via des sites web malveillants, des supports amovibles infectés, des applications de messagerie des médias sociaux et, dans certains cas, les attaquants ont pu accéder à des réseaux en utilisant une attaque par force brute sur un périphérique réseau vulnérable.

5 façons de protéger votre organisation contre les attaques de ransomware

1. Maintenir les logiciels et les systèmes d’exploitation à jour

Les pirates exploitent fréquemment les vulnérabilités des systèmes d’exploitation et des applications courantes pour déployer des ransomwares. Les fournisseurs de réseaux publient régulièrement des correctifs pour remédier aux failles de sécurité ; il est donc essentiel que vous les appliquiez dès qu’ils sont disponibles. On estime que les correctifs permettent de prévenir jusqu’à 85 % des cyberattaques en maintenant les systèmes à jour, stables et à l’abri des logiciels malveillants et autres menaces.

2. Technologies de prévention et de détection des intrusions 

Les technologies de détection des intrusions peuvent donner un aperçu détaillé du trafic sur votre réseau. Elles fournissent une vue en temps réel de votre réseau et identifient toute anomalie qui pourrait suggérer que votre organisation est en train d’être violée. Si un comportement suspect est détecté, vous serez immédiatement alerté, ce qui permettra de détecter les menaces et de réagir plus rapidement.

3. Sauvegarde des données

Des sauvegardes doivent être effectuées régulièrement afin de minimiser la perte de données en cas d’attaque par un ransomware. La règle 3-2-1 est une approche de meilleure pratique pour la sauvegarde et la récupération. Selon cette règle, vous devez disposer de trois copies de vos données dans deux formats de stockage différents, dont au moins une copie hors site. Les sauvegardes doivent être testées régulièrement pour s’assurer qu’elles fonctionnent comme prévu. En cas d’attaque, cela vous permettra de récupérer rapidement vos données sans être soumis à un chantage au paiement d’une rançon.

4. Activez l’authentification multifactorielle

Les cybercriminels utilisent fréquemment les informations d’identification volées aux employés pour pénétrer dans les réseaux et déployer des ransomwares. Les informations d’identification sont souvent obtenues à la suite d’attaques de phishing ou de l’une des nombreuses violations de données. L’activation de l’authentification multifactorielle signifie que même si les pirates ont les informations d’identification d’un utilisateur, ils ne pourront pas accéder au réseau sans un autre facteur d’authentification tel qu’un code, un jeton ou des données biométriques.

5. Formation de sensibilisation à la cybersécurité

Les attaques par ransomware reposent en grande partie sur l’ouverture par l’utilisateur d’un courriel d’hameçonnage. Pour que les employés puissent reconnaître efficacement ces menaces, il est essentiel qu’ils reçoivent régulièrement une formation de sensibilisation à la cybersécurité. Cette formation doit comporter plusieurs niveaux et inclure des tests de simulation d’hameçonnage afin de montrer au personnel à quoi ressemblent les courriels d’hameçonnage et comment les éviter. Des tests d’hameçonnage réguliers permettront d’accroître la sensibilisation et d’identifier les membres du personnel vulnérables qui ont besoin d’une formation supplémentaire.

Le guide ultime de l'hameçonnage