Un ransomware est un type de malware (logiciel malveillant) qui menace de publier les données présentes sur un ordinateur ou un réseau informatique, ou d’en bloquer l’accès. Pour ce faire, il chiffre les données sur l’appareil ou le réseau ou verrouille totalement l’accès à l’appareil.
Les hackers exigent ensuite le paiement d’une rançon pour fournir la clé de déchiffrement ou rendre l’accès à l’appareil. En général, cette demande est assortie d’une échéance. Si la victime ne paie pas la rançon à la date fixée, les hackers menacent de supprimer ou de publier ses données.
Les ransomwares concernent tous les secteurs, y compris les établissements financiers, les établissements publics, les écoles, les hôpitaux et les cabinets juridiques, partout dans le monde. Ils peuvent frapper un lecteur local et se propager à tous les appareils connectés, ou désactiver d’un seul coup des réseaux entiers et des données de sauvegarde. Même s’il est parfois possible de restaurer les données sans payer la rançon, l’opération peut être longue et coûteuse si la victime n’a pas été préparée, ou s’il s’agit d’une attaque ciblée. Enfin, si le hacker décide de publier des données sensibles, l’existence d’une sauvegarde du système ne pourra pas l’en empêcher.
La première attaque de ransomware remonte à 1989. Un médecin avait alors distribué des disquettes censées contenir un questionnaire permettant d’évaluer les patients pendant la crise du SIDA. En fait, le disque contenait un virus, désormais connu sous le nom de AIDS Trojan. Celui-ci chiffrait les données sensibles sur les ordinateurs d’autres médecins pour les forcer à envoyer une rançon à une adresse au Panama, contre une clé permettant de déchiffrer le système infecté.
Aujourd’hui, les attaques de ransomware sont nettement plus sophistiquées et encore plus coûteuses. Récemment, le 2 juillet 2021, un ransomware créé par REvil, un groupe de hackers russes, a infecté plus de 1 500 systèmes. Pour cela, il a exploité une faille dans le logiciel Vector Signal Analysis de la société Kaseya Ltd basée à Miami. Les hackers ont exigé une rançon de 70 millions de dollars pour déchiffrer les données verrouillées.
Des organisations très diverses ont été victimes de cette attaque et ont eu bien du mal à récupérer leurs informations : entre autres, une chaîne de supermarchés suédoise, plusieurs écoles néo-zélandaises et une petite ville du Maryland.
Si le nom de REvil vous semble familier, c’est que ce groupe n’en est pas à son coup d’essai. Il est également à l’origine de l’extorsion d’une rançon de 11 millions de dollars à JBS, géant de l’agroalimentaire et numéro un mondial de la viande, fin mai 2021.
Et REvil n’est pas le seul. Le nombre d'attaques de ransomware ne cesse d’augmenter. En 2020, le FBI a reçu 2 500 plaintes concernant des attaques de ransomware, soit 20 % de plus qu’en 2019, pour un montant total de pertes qui a dû atteindre 20 milliards de dollars en 2021 (Cybersecurity Ventures).
La récupération, quand elle est possible, peut prendre des semaines ou des mois. Dans 71 % des cas, les victimes d’une attaque de ransomware ne parviennent pas à restaurer leurs données. De plus, le paiement de la rançon ne garantit pas la fin des soucis. Cinquante pour cent des victimes de ransomware ayant payé une rançon ont quand même perdu certains fichiers, et 13 % n’ont quasiment rien récupéré.
Pour bien se protéger, il faut d’abord bien comprendre ce que sont les ransomwares. Il en existe essentiellement deux types : les ransomwares de chiffrement (dit Crypto), et les ransomwares bloqueurs (dit Locker).
Les ransomwares Crypto chiffrent des fichiers précieux et les rendent inutilisables jusqu’au paiement de la rançon En général, le hacker impose un délai de 24 à 48 heures.
Les ransomwares Locker n’utilisent pas le chiffrement. En revanche, ils bloquent totalement l’accès à l’appareil, ce qui oblige la victime à arrêter son activité.
Il existe différentes variantes des ransomwares, qui emploient toutes des techniques différentes pour infecter les fichiers ou l’appareil. Bad Rabbit, par exemple, diffuse une fausse mise à jour d’Adobe Flash sur les sites infectés. Locky propage des logiciels malveillants par e-mail, dans des pièces jointes censées contenir une facture.
En général, la motivation des hackers est purement financière. Dans certains cas, un élément politique peut s’y ajouter, mais c’est avant tout le profit qui est recherché.
Autrement dit, les hackers ciblent des victimes susceptibles d’avoir des données de valeur sur leurs ordinateurs ou leur réseau. Tout appareil contenant des informations bancaires, les numéros de sécurité sociale de clients ou de salariés ou d’autres données confidentielles constitue une cible de choix.
Et si tous les secteurs peuvent être potentiellement concernés par une attaque de ransomware, le secteur des infrastructures, les établissements de santé, les forces de police et les organismes gouvernementaux sont des cibles privilégiées.
L’idée d’une attaque de ransomware terrifie la plupart des dirigeants d’entreprise, mais il est possible de prendre des mesures pour se protéger des attaques les plus dévastatrices.
De nos jours, les informations sont principalement stockées et transférées sur des espaces numériques. Nous n’avons plus besoin de conserver de gros classeurs et des dossiers dans de grandes armoires au bureau, on accède maintenant à ces fichiers en appuyant simplement sur bouton. Mais avec la disparition des registres physiques, le monde de l’entreprise se heurte à un nouveau problème.
Que se passe-t-il lorsque le matériel sur lequel vous conservez toutes les informations sensibles et personnelles de vos clients est endommagé, perdu ou volé ? Et si une erreur logicielle efface définitivement une grande partie des enregistrements indispensables à votre entreprise ?
En cas d’attaque de ransomware, certaines mesures permettent de limiter les dégâts, à condition d’agir vite. Au premier signe d’une attaque, vous devez isoler l’ordinateur infecté pour éviter qu’il ne diffuse le malware. Déconnectez-le du réseau et déconnectez les éventuels lecteurs. Ensuite, vérifiez si d’autres ordinateurs du réseau ont une activité suspecte. Isolez-les également pour protéger les sauvegardes.
À ce stade, il est préférable de désactiver le Wifi. Désactivez également toutes les connexions sans fil et Bluetooth sur l’ensemble du réseau. Si possible, verrouillez également les partages sur tous vos fichiers. Cela permettra d’interrompre le processus de chiffrement.
Après avoir bloqué la diffusion du ransomware, vous devez évaluer les dégâts. Recherchez les fichiers chiffrés qui ne s’ouvrent pas ou dont le nom vous semble étrange. Établissez ensuite une liste de tous les systèmes touchés, y compris les dispositifs de stockage réseau, les disques durs externes, les ordinateurs portables, les smartphones et le stockage cloud.
Une fois cette liste établie, vous pouvez chercher l’origine de l’infection. Ce peut être le premier appareil dont vous avez remarqué le comportement suspect, mais l’infection peut aussi venir d’ailleurs. N’oubliez pas que les ransomwares travaillent rapidement et qu’il peut être difficile de trouver le patient zéro.
Pour commencer, vérifiez si vos logiciels antivirus ont émis des alertes Ensuite, interrogez vos équipes sur leurs activités en ligne. Quelqu’un a-t-il récemment ouvert un e-mail étrange ? Cliqué sur un pop-up bizarre ? Vous pouvez aussi examiner directement les appareils infectés. Si l’un d’eux compte un nombre anormal de fichiers ouverts, c’est probablement le patient zéro.
Maintenant que vous avez identifié la source, vous pouvez déterminer la souche du ransomware, à l’aide d’un site comme No More Ransom. Il vous suffit d’analyser l’un des fichiers chiffrés, et le site vous aidera à identifier le variant. Dans certains cas, il peut même fournir gratuitement une clé de déchiffrement.
Une fois le variant identifié, vous saurez exactement comment se comporte la souche en question. Vous pouvez alors informer toutes les personnes encore connectées au réseau de ce qu’elles doivent rechercher pour ne pas être infectées à leur tour.
Enfin, vous devez signaler l’attaque aux autorités. Le FBI conseille aux victimes de ne pas payer la rançon. Il est préférable de contacter la police locale et de collaborer avec elle pour que les coupables puissent être traduits en justice. Dans certains cas, les forces de police et les agences gouvernementales peuvent même vous aider à récupérer les données en obtenant la clé de déchiffrement auprès des hackers. On voit se multiplier les attaques sophistiquées ciblant des grandes entreprises. Il est donc important de tenir la police informée pour qu’elle puisse mettre un terme à la propagation des ransomwares.
Après ces opérations, vous pouvez lancer le processus de restauration à partir de la dernière sauvegarde saine ou, si vous avez de la chance, de la clé de déchiffrement. Malheureusement, certains ransomwares ciblent les sauvegardes qui deviennent alors inutilisables. C’est le comble de la malchance. Dans ce cas, il n’y a pas grand-chose à faire. Vos données sont définitivement perdues.
Heureusement, il existe des programmes qui garantissent la sécurité de vos sauvegardes et assurent une récupération instantanée en cas d’attaque.
Rubrik Instant Ransomware Recovery, par exemple, accélère la restauration. Celle-ci se fait en quelques clics, instantanément. Et grâce aux sauvegardes immuables de Rubrik, qui assurent une protection et une résilience totales, vous êtes certains de ne pas être privés de vos données.
Rubrik propose également le logiciel, Radar, qui permet d’identifier rapidement les fichiers infectés par le ransomware. Cela permet d’accélérer considérablement la récupération et d’analyser rapidement l’impact global de l’attaque. Avec Sonar, Rubrik aide à identifier et à suivre les informations personnelles présentes sur votre réseau.
Rubrik permet même de protéger les données sur des environnements multi-cloud. Les services de protection des données proposés par Rubrik incluent les snapshots immuables ainsi que le chiffrement au repos et en transit. En associant ces services, vous pouvez accélérer la restauration, même en cas d’attaque de ransomware.
Les attaques de ransomware, qui causent des millions de pertes chaque année, sont de plus en plus fréquentes. Il est possible d’agir pour tenter de les éviter, mais pour être honnête, le problème ne va pas disparaître de sitôt. Les cybercriminels deviennent de plus en plus forts et leurs attaques, de plus en plus sophistiquées. C’est donc au niveau des données qu’il faut mettre en place une protection contre les ransomwares.
Leader de la gestion et de la protection des données, Rubrik peut assurer la sécurité permanente de vos données. Et en cas d’attaque, nous pouvons accélérer la restauration.
Dans tous les cas, ne laissez pas votre entreprise sans protection. Une attaque de ransomware est toujours coûteuse, et elle peut avoir des conséquences désastreuses. Suivez les conseils ci-dessus pour sécuriser vos données et en cas d’attaque, prévenez immédiatement la police.