Qu’est-ce qu’un ransomware ?
Définition de ransomware ou rançongiciel
Un ransomware est un type de malware (logiciel malveillant) qui menace de publier les données présentes sur un ordinateur ou un réseau informatique, ou d’en bloquer l’accès. Pour ce faire, il chiffre les données sur l’appareil ou le réseau ou verrouille totalement l’accès à l’appareil.
On parle de rançongiciel, car l’attaque par ransomware se présente réellement comme une forme de prise d’otage. En effet, afin de pouvoir libérer les “victimes”, c’est-à-dire de débloquer les fichiers ou le système informatique, les pirates informatiques demandent une rançon en échange d’une clé de décryptage. Souvent, ils exigent que la somme soit versée sous forme de monnaie virtuelle afin d’éviter toute trace.
L’AIDS Trojan ou le PC Cyborg en 1989 marque la genèse des ransomwares. Comme son nom l’indique, cet Adam des rançongiciels a été créé dans le contexte d’une inquiétude sur l’apparition du virus du SIDA. Le biologiste américain Joseph L.Popp l’a développé pour l’expédier à travers 90 pays dans plus de 20.000 disquettes dans lesquelles se trouvaient des renseignements introductifs sur le Sida.
Toutefois, en plus de ces renseignements, les disquettes dissimulaient un virus qui allait infecter le système après quelques redémarrage de l’ordinateur. Les données sont alors cryptées et l’AIDS Trojan demande aux utilisateurs de payer une rançon s’élevant à 189 $ pour qu’ils puissent obtenir le logiciel décodeur.
Fonctionnement du ransomware
Les hackers exigent ensuite le paiement d’une rançon pour fournir la clé de déchiffrement ou rendre l’accès à l’appareil. En général, cette demande est assortie d’une échéance. Si la victime ne paie pas la rançon à la date fixée, les hackers menacent de supprimer ou de publier ses données.
Que fait un ransomware ?
Les ransomwares concernent tous les secteurs, y compris les établissements financiers, les établissements publics, les écoles, les hôpitaux et les cabinets juridiques, partout dans le monde. Ils peuvent frapper un lecteur local et se propager à tous les appareils connectés, ou désactiver d’un seul coup des réseaux entiers et des données de sauvegarde. Même s’il est parfois possible de restaurer les données sans payer la rançon, l’opération peut être longue et coûteuse si la victime n’a pas été préparée, ou s’il s’agit d’une attaque ciblée. Enfin, si le hacker décide de publier des données sensibles, l’existence d’une sauvegarde du système ne pourra pas l’en empêcher.
La menace croissante des ransomwares
Ransomware en France
La première attaque de ransomware remonte à 1989. Un médecin avait alors distribué des disquettes censées contenir un questionnaire permettant d’évaluer les patients pendant la crise du SIDA. En fait, le disque contenait un virus, désormais connu sous le nom de AIDS Trojan. Celui-ci chiffrait les données sensibles sur les ordinateurs d’autres médecins pour les forcer à envoyer une rançon à une adresse au Panama, contre une clé permettant de déchiffrer le système infecté.
Aujourd’hui, les attaques de ransomware sont nettement plus sophistiquées et encore plus coûteuses. Récemment, le 2 juillet 2021, un ransomware créé par REvil, un groupe de hackers russes, a infecté plus de 1 500 systèmes. Pour cela, il a exploité une faille dans le logiciel Vector Signal Analysis de la société Kaseya Ltd basée à Miami. Les hackers ont exigé une rançon de 70 millions de dollars pour déchiffrer les données verrouillées.
Des organisations très diverses ont été victimes de cette attaque et ont eu bien du mal à récupérer leurs informations : entre autres, une chaîne de supermarchés suédoise, plusieurs écoles néo-zélandaises et une petite ville du Maryland.
Si le nom de REvil vous semble familier, c’est que ce groupe n’en est pas à son coup d’essai. Il est également à l’origine de l’extorsion d’une rançon de 11 millions de dollars à JBS, géant de l’agroalimentaire et numéro un mondial de la viande, fin mai 2021.
Et REvil n’est pas le seul. Le nombre d'attaques de ransomware ne cesse d’augmenter.
En 2022, plus de 73 % des entreprises françaises ont été attaquées selon le rapport The State of Ransomware Report 2022 de Sophos. Mais les établissements publics ne sont pas non plus épargnés. Rappelons la cyberattaque qu’a subi l’hôpital de Corbeil-Essonnes le 21 août dernier. Des données personnelles de patients de plus de 11 gigaoctets ont été diffusées sur le darknet, une attaque par déni de service a été provoquée pour submerger le serveur de l’hôpital.
Le 12 septembre, un groupe de hackers russes connu sous le nom de Lockbit 3.0 se déclare être à l’origine de cette attaque et demande une rançon qui s’élève à 1 million de dollars. En accord avec la stratégie de l’Etat français, la demande ne sera nullement considérée. Ce qui induit pour l’hôpital des contraintes pour se refaire une santé avant le mois de novembre prochain.
Types de ransomwares
Les ransomwares à doubles extorsion
Durant les premières apparitions des ransomwares, les cybercriminels chiffraient les données pour que leurs propriétaires ne puissent plus y accéder. Ils supprimaient donc toutes les sauvegardes disponibles (cloud, serveur, etc.). Toutefois, afin de limiter au maximum ce type d’attaques, les structures ont innové pour disposer d’une meilleure gestion de backup : backup hors site, offline, en lecture seule, etc. Ce qui a entraîné la discréditation des hackers.
Alors, pour se refaire, ces derniers étaient dans l’obligation d’adjoindre un nouvel élément de coercition : celui de divulguer les données des organisations victimes. L’enjeu est donc de taille, car à défaut de s’acquitter de la somme d’argent exigée par les cybercriminels, ceux-ci menacent la suppression, mais aussi la divulgation des données. C’est ce qu’on appelle ransomware à double extorsion.
Crypto ransomware et locker ransomware
Pour bien se protéger, il faut d’abord bien comprendre ce que sont les ransomwares. Il en existe essentiellement deux types : les ransomwares de chiffrement (dit Crypto), et les ransomwares bloqueurs (dit Locker).
Les ransomwares Crypto chiffrent des fichiers précieux et les rendent inutilisables jusqu’au paiement de la rançon En général, le hacker impose un délai de 24 à 48 heures.
Les ransomwares Locker n’utilisent pas le chiffrement. En revanche, ils bloquent totalement l’accès à l’appareil, ce qui oblige la victime à arrêter son activité.
Exemples de ransomware
Il existe différentes variantes des ransomwares, qui emploient toutes des techniques différentes pour infecter les fichiers ou l’appareil. Bad Rabbit, par exemple, diffuse une fausse mise à jour d’Adobe Flash sur les sites infectés. Locky propage des logiciels malveillants par e-mail, dans des pièces jointes censées contenir une facture.
Qui est à l’origine des ransomwares ?
Ransomware as a service (RaaS)
En général, la motivation des hackers est purement financière. Dans certains cas, un élément politique peut s’y ajouter, mais c’est avant tout le profit qui est recherché.
Blackmatter ransomware
Autrement dit, les hackers ciblent des victimes susceptibles d’avoir des données de valeur sur leurs ordinateurs ou leur réseau. Tout appareil contenant des informations bancaires, les numéros de sécurité sociale de clients ou de salariés ou d’autres données confidentielles constitue une cible de choix.
Et si tous les secteurs peuvent être potentiellement concernés par une attaque de ransomware, le secteur des infrastructures, les établissements de santé, les forces de police et les organismes gouvernementaux sont des cibles privilégiées.
Éviter une attaque de ransomware
L’idée d’une attaque de ransomware terrifie la plupart des dirigeants d’entreprise, mais il est possible de prendre des mesures pour se protéger des attaques les plus dévastatrices.
- Maintenez à jour vos systèmes d’exploitation et vos logiciels. Un réseau d’entreprise à jour est moins vulnérable.
- Installez un logiciel antivirus et un logiciel de liste blanche. Le logiciel de liste blanche bloque l’exécution des applications non autorisées et arrête le ransomware avant qu’il ait pu démarrer.
- Informez vos salariés pour qu’ils n’installent jamais de logiciels inconnus et qu’ils adoptent des pratiques sécurisées de navigation sur Internet. Ne consultez pas de sites non sécurisés, et ne donnez pas de droits d’administration permettant aux salariés d’installer des logiciels.
- Apprenez à vos équipes à surfer en toute sécurité et demandez-leur de ne jamais ouvrir de pièces jointes inconnues ou d’e-mails suspects. Rappelez-leur que ceux-ci peuvent contenir des ransomwares, même s’ils connaissent l’expéditeur. Méfiez-vous des fichiers compressés ou des messages inhabituels.
- Tenez-vous au courant des dernières menaces de ransomware pour savoir que ce que vous devez détecter, qu’il s’agisse d’une fausse mise à jour d’Adobe Flash, d’une campagne d’hameçonnage ou d’un autre type d’arnaque.
- Sauvegardez automatiquement vos fichiers et vos bases de données avec un RPO quasi-nul. Les sauvegardes n’empêchent pas les attaques, mais elles peuvent considérablement accélérer la récupération.
Comment se proteger des ransomware
De nos jours, les informations sont principalement stockées et transférées sur des espaces numériques. Nous n’avons plus besoin de conserver de gros classeurs et des dossiers dans de grandes armoires au bureau, on accède maintenant à ces fichiers en appuyant simplement sur bouton. Mais avec la disparition des registres physiques, le monde de l’entreprise se heurte à un nouveau problème.
Que se passe-t-il lorsque le matériel sur lequel vous conservez toutes les informations sensibles et personnelles de vos clients est endommagé, perdu ou volé ? Et si une erreur logicielle efface définitivement une grande partie des enregistrements indispensables à votre entreprise ?
Que faire en cas d’attaque
En cas d’attaque de ransomware, certaines mesures permettent de limiter les dégâts, à condition d’agir vite. Au premier signe d’une attaque, vous devez isoler l’ordinateur infecté pour éviter qu’il ne diffuse le malware. Déconnectez-le du réseau et déconnectez les éventuels lecteurs. Ensuite, vérifiez si d’autres ordinateurs du réseau ont une activité suspecte. Isolez-les également pour protéger les sauvegardes.
À ce stade, il est préférable de désactiver le Wifi. Désactivez également toutes les connexions sans fil et Bluetooth sur l’ensemble du réseau. Si possible, verrouillez également les partages sur tous vos fichiers. Cela permettra d’interrompre le processus de chiffrement.
Après avoir bloqué la diffusion du ransomware, vous devez évaluer les dégâts. Recherchez les fichiers chiffrés qui ne s’ouvrent pas ou dont le nom vous semble étrange. Établissez ensuite une liste de tous les systèmes touchés, y compris les dispositifs de stockage réseau, les disques durs externes, les ordinateurs portables, les smartphones et le stockage cloud.
Une fois cette liste établie, vous pouvez chercher l’origine de l’infection. Ce peut être le premier appareil dont vous avez remarqué le comportement suspect, mais l’infection peut aussi venir d’ailleurs. N’oubliez pas que les ransomwares travaillent rapidement et qu’il peut être difficile de trouver le patient zéro.
Pour commencer, vérifiez si vos logiciels antivirus ont émis des alertes Ensuite, interrogez vos équipes sur leurs activités en ligne. Quelqu’un a-t-il récemment ouvert un e-mail étrange ? Cliqué sur un pop-up bizarre ? Vous pouvez aussi examiner directement les appareils infectés. Si l’un d’eux compte un nombre anormal de fichiers ouverts, c’est probablement le patient zéro.
Maintenant que vous avez identifié la source, vous pouvez déterminer la souche du ransomware, à l’aide d’un site comme No More Ransom. Il vous suffit d’analyser l’un des fichiers chiffrés, et le site vous aidera à identifier le variant. Dans certains cas, il peut même fournir gratuitement une clé de déchiffrement.
Une fois le variant identifié, vous saurez exactement comment se comporte la souche en question. Vous pouvez alors informer toutes les personnes encore connectées au réseau de ce qu’elles doivent rechercher pour ne pas être infectées à leur tour.
Que faire en cas d'attaque ransomware en France ?
Afin d’éviter d’alimenter le système mafieux, l’État français interdit aux victimes de payer la rançon demandée par les cybercriminels, d’autant plus qu’ils n’auront jamais la garantie de pouvoir récupérer leurs données. Voici ce qui est conseillé :
Débranchez tous vos appareils du réseau informatique ;
Alertez votre département informatique ;
Garder des preuves qui pourront servir d’éléments d’investigation : une copie des messages de la demande de rançon, une copie des postes ou serveurs touchés, les fichiers chiffrés ;
Soumettez un rapport à la police et déposez une plainte avant de réinstaller vos appareils ;
Si des données à caractère personnel ont été infectées, veuillez notifier la CNIL ;
Empêchez les futurs attaques en identifiant la faille de votre système ;
Réalisez une analyse antivirale de vos appareils ;
Essayez de décrypter les fichiers ;
Réinstallez les systèmes touchés.
Après ces opérations, vous pouvez lancer le processus de restauration à partir de la dernière sauvegarde saine ou, si vous avez de la chance, de la clé de déchiffrement. Malheureusement, certains ransomwares ciblent les sauvegardes qui deviennent alors inutilisables. C’est le comble de la malchance. Dans ce cas, il n’y a pas grand-chose à faire. Vos données sont définitivement perdues.
Récupération après une attaque de ransomware
Heureusement, il existe des programmes qui garantissent la sécurité de vos sauvegardes et assurent une récupération instantanée en cas d’attaque.
Rubrik Instant Ransomware Recovery, par exemple, accélère la restauration. Celle-ci se fait en quelques clics, instantanément. Et grâce aux sauvegardes immuables de Rubrik, qui assurent une protection et une résilience totales, vous êtes certains de ne pas être privés de vos données.
Rubrik propose également le logiciel, Radar, qui permet d’identifier rapidement les fichiers infectés par le ransomware. Cela permet d’accélérer considérablement la récupération et d’analyser rapidement l’impact global de l’attaque. Avec Sonar, Rubrik aide à identifier et à suivre les informations personnelles présentes sur votre réseau.
Rubrik permet même de protéger les données sur des environnements multi-cloud. Les services de protection des données proposés par Rubrik incluent les snapshots immuables ainsi que le chiffrement au repos et en transit. En associant ces services, vous pouvez accélérer la restauration, même en cas d’attaque de ransomware.
Ramsomware vs malware
Qu'est ce qu'un malware ?
Un malware, de l’anglais “malicious software”, est un terme générique désignant tous types de logiciel malveillant. Cette définition regroupe donc de nombreuses formes de softwares intrusifs : adwares, virus informatiques, vers informatiques, chevaux de Troie, etc.
Quelle est la différence entre ransomware et malware ?
Les ransomwares sont des types de malwares, mais tous les malwares ne sont pas forcément des ransomwares, car tous ne cryptent pas toujours les fichiers pour exiger une rançon. Certains laissent les programmes indésirables sur votre système pour le rendre inutile par pure malveillance.
Quelles sont les solutions pour se prémunir contre les attaques de type ransomware ?
Voici les solutions que Rubrik propose pour se prémunir contre les attaques de type rançongiciel :
Effectuez régulièrement des sauvegardes de vos données ;
Sensibilisez votre personnel des dangers des cybermenaces (e-mails ou liens suspects) pour qu’ils ne tombent pas dans les pièges de phishing ;
Tenez à jour vos programmes, vos systèmes d’exploitation, vos applications et vos logiciels ;
N’utilisez jamais de périphériques de stockage inconnus (clés USB, disque dur externes, etc.) ;
Filtrez vos courriels et les sites web suspects ;
N’ouvrez jamais les liens, les pièces jointes, les courriels douteux ;
Limitez les privilèges “administrateur” à un certain nombre d’utilisateurs seulement ;
Mettez en place un PCA (Plan de Continuité d’Activité) pour assurer la résilience de votre système.
L'avenir des ransomwares
Les prédications des experts en cybersécurité concernant l’avenir des ransomwares ne sont pas tout à fait favorables. En effet, ces cyber menaces qui planent sur toutes sortes de structures paraissent de plus en plus dangereuses de par leur adaptation aux nouvelles avancées.
Ces dernières semblent donner naissance à des rançongiciels plus sophistiqués. L’IA favorise la personnalisation et l’automatisation des attaques de manière à cibler particulièrement la vulnérabilité des victimes, qui, elles, deviennent également plus variées (objets connectés, véhicules autonomes, infrastructures, etc.).
Sans oublier l’évolution des chiffrements qui conduit davantage vers un anonymat plus complexe à démasquer. La vigilance et l’anticipation sont, ainsi, de mise pour les organisations qui doivent faire face à ce progrès pernicieux.
Conclusion
Les attaques de ransomware, qui causent des millions de pertes chaque année, sont de plus en plus fréquentes. Il est possible d’agir pour tenter de les éviter, mais pour être honnête, le problème ne va pas disparaître de sitôt. Les cybercriminels deviennent de plus en plus forts et leurs attaques, de plus en plus sophistiquées. C’est donc au niveau des données qu’il faut mettre en place une protection contre les ransomwares.
Leader de la gestion et de la protection des données, Rubrik peut assurer la sécurité permanente de vos données. Et en cas d’attaque, nous pouvons accélérer la restauration.
Dans tous les cas, ne laissez pas votre entreprise sans protection. Une attaque de ransomware est toujours coûteuse, et elle peut avoir des conséquences désastreuses. Suivez les conseils ci-dessus pour sécuriser vos données et en cas d’attaque, prévenez immédiatement la police.