Par définition, un ransomware est un type de logiciel malveillant que les cybercriminels utilisent pour gagner de l’argent. Ils s’en servent pour bloquer l’accès à des données ou à des systèmes jusqu’à ce que leur propriétaire paie la somme demandée. Ils menacent également de plus en plus souvent de publier ou d’exposer des données sensibles s’ils ne reçoivent pas l’argent demandé. C’est ce qu’on appelle communément une exfiltration de données ou un schéma de ransomware à double extorsion. Le type de ransomware le plus courant (et le plus dévastateur) est celui où un logiciel malveillant utilise une extorsion cryptovirale pour chiffrer les fichiers. Ceux-ci ne peuvent alors pas être déchiffrés sans la clé mathématique détenue par l’attaquant. Même un expert en sécurité ne pourrait pas les déverrouiller. Les attaquants informent leurs victimes que leurs données sont chiffrées et qu’ils doivent payer une rançon dans une monnaie intraçable telle que le bitcoin. Les stratégies de prévention des ransomwares, de détection des menaces et de récupération des données et systèmes qui améliorent la cyber-résilience d’une entreprise sont de plus en plus populaires, car les experts prévoient qu’une attaque par ransomware touchera une entreprise toutes les 2 secondes d’ici 2031.
Des individus, des groupes et même des états-nations créent et lancent des ransomwares qui ciblent des personnes et des entreprises dans le monde entier. Outre les attaques par ransomware traditionnelles, les cybercriminels lancent également des schémas de ransomware à double extorsion (demande de deux rançons : une pour déchiffrer les données et/ou les sauvegardes, et une seconde pour ne pas divulguer les données volées ou exfiltrées) et de ransomware à triple extorsion (demande d’une double rançon à l’entreprise ciblée, et d’une rançon à ses clients).
Certains des types de ransomware les plus courants tirent leur nom de la manière dont le logiciel malveillant fonctionne, notamment :
Il existe d’autres types d’attaques de logiciels malveillants, notamment les scarewares et les leakwares, que les cybercriminels lancent avec des e-mails d’hameçonnage. Ils incitent un utilisateur ou une entreprise à payer pour ne pas être submergé de pop-ups ou voir ses données sensibles divulguées en ligne.
Les attaques par ransomware sont devenues de plus en plus populaires, sophistiquées et coûteuses à corriger. Les cybercriminels s’attaquent aux données, qui sont à la fois la ressource la plus précieuse et la plus vulnérable d’une entreprise. Les attaquants ont tendance à cibler les entreprises qui ont besoin d’une multitude de données sensibles au quotidien, notamment les entreprises financières, les établissements de santé ou les agences gouvernementales. Le travail à distance est aujourd’hui de plus en plus répandu, donc les menaces de ransomware se multiplient et les attaquants exigent des frais plus élevés pour débloquer les données.
Le champ d’action des ransomwares n’a cessé de s’étendre et leurs dangers se sont accrus :
Une attaque par ransomware réussie est dangereuse, car elle peut coûter extrêmement cher aux entreprises en termes de :
Les entreprises d’aujourd’hui ne peuvent réussir que si elles ont de solides capacités numériques. Les cybercriminels exploitent la dépendance des entreprises aux données en lançant des attaques par ransomware. Ce type de logiciel malveillant est souvent introduit dans les entreprises lors d’attaques de hameçonnage qui incitent les utilisateurs à cliquer sur des liens compromis, et par le biais de vulnérabilités logicielles existantes. Dans chaque cas, le ransomware chiffre ou verrouille les données. Les attaquants exigent ensuite une somme d’argent en échange des clés numériques qui permettent de les déchiffrer ou de les déverrouiller. Cet argent que les entreprises versent, souvent sous forme de crypto-monnaie, s’appelle une rançon. Voilà pourquoi ces logiciels malveillants s’appellent des ransomwares. De plus, les cybercriminels sont inventifs et créent sans cesse de nouveaux types de logiciels malveillants pour pénétrer et chiffrer les systèmes à des fins lucratives. Les cybercriminels cherchent à gagner gros. Ils s’en prennent donc non seulement au système et aux données de production, mais également aux données et à l’infrastructure de sauvegarde.
Voici ce que les entreprises doivent savoir en matière de ransomware :
Peu importe quand a lieu une attaque par ransomware ou qui en est l’auteur, si elle réussit l’entreprise est perdante. Elle sera affectée sur le plan opérationnel et, si rien n’est fait, sa réputation sera rapidement entachée, qu’elle paie la rançon ou non. Les experts conseillent par ailleurs de ne pas payer, car dans bien des cas, les entreprises ne récupèrent de toute façon pas l’intégralité de leurs données.
L’expérience du Sky Lakes Medical Center illustre bien la façon dont fonctionne un ransomware et la manière dont il a été contré.
À l’instar du célèbre cheval de Troie permettant aux soldats de pénétrer dans la forteresse, un ransomware permet aux pirates de prendre le contrôle d’un autre ordinateur, serveur ou appareil. Une fois le ransomware dans un environnement informatique, il peut, comme un virus, se propager rapidement de manière latérale (avec un trafic est-ouest) vers d’autres systèmes.
Les cybercriminels comptent sur le fait que les gens commettent des erreurs. Voilà pourquoi les ransomwares infectent principalement les systèmes par le biais d’attaques d’hameçonnage par e-mail. Les e-mails qui contiennent un ransomware (une forme de logiciel malveillant) contiennent généralement des pièces jointes malveillantes ou un lien vers un site web compromis. Un logiciel infecté se télécharge et s’installe alors sur le système ou l’appareil d’une personne sans son consentement, voire à son insu. Une fois sur un réseau, le ransomware peut se propager par les systèmes exploités, à travers les réseaux, et même vers d’autres entreprises (un mode d’attaque désormais appelé « island hoping », ou «∘saut d’île en île∘»). Dans ce scénario, l’entreprise déjà envahie par un ransomware transmet sans le savoir le logiciel malveillant de ses systèmes internes vers ceux de ses clients ou partenaires, lui permettant ainsi de « sauter » vers une autre entreprise. Cette approche permet aux cyberattaquants de trouver une nouvelle victime sans lancer de nouvelle attaque.
Malheureusement, le mode opératoire des logiciels malveillants évolue très rapidement, si bien que les entreprises ne peuvent pas prévoir où et quand ces attaques vont survenir. Elles ont donc besoin d’une solution de sécurité et de gestion des données moderne et complète pour se défendre contre les ransomwares.
De l’avis général, les ransomwares sont le type de cybercriminalité qui se développe le plus rapidement, avec une croissance exponentielle d’une année sur l’autre. Il y a notamment beaucoup de ransomwares dans les secteurs de la santé et des services financiers, car les données contenues dans les systèmes de ces industries sont sensibles, et donc considérées comme plus précieuses par les acteurs malveillants qui souhaitent les vendre sur le dark web ou ailleurs.
Cybersecurity Ventures prévoit qu’une attaque par ransomware touchera une entreprise, un consommateur ou un appareil toutes les 2 secondes d’ici 2031. Le coût élevé (265 milliards d’euros par an d’ici 2031) des attaques réussies englobe les pertes financières liées aux temps d’arrêt ainsi que les dommages causés à la productivité et à la réputation.
Les entreprises peuvent prendre des mesures proactives pour éviter les attaques par ransomware et empêcher qu’elles ne paralysent leurs opérations.
Plus précisément, les stratégies de prévention des ransomwares associent les principes de sécurité Zero Trust à une détection et des renseignements sur les menaces avancés pour protéger les données contre les cyberattaquants. Il faut à la fois protéger les données et détecter les cybermenaces pour prévenir les attaques par ransomware et éviter de devoir récupérer rapidement les données en cas d’attaque réussie.
Il est désormais largement admis que la question n’est pas de savoir si, mais quand une entreprise va subir une attaque par ransomware. La durée et l’impact d’un tel incident sur l’entreprise dépendent donc fortement de la façon dont ses sauvegardes sont conçues.
Voici quelques stratégies efficaces de prévention des ransomwares :
La détection de ransomware permet d’empêcher les cybercriminels de gagner gros. Les entreprises dotées d’une solution robuste de sécurité et de gestion des données peuvent mieux détecter une attaque par ransomware que celles qui n’en ont pas. Les équipes peuvent détecter une attaque par ransomware en associant une détection d’anomalies en temps quasi réel basée sur l’IA / le ML à des alertes automatisées. Cette technologie est en effet capable de découvrir rapidement les comportements anormaux des données et des systèmes ainsi que les schémas inhabituels, et d’en informer les experts informatiques.
Les entreprises doivent détecter les ransomwares le plus tôt possible pour :
Les entreprises qui ont pris des mesures de prévention contre les ransomwares (notamment en adoptant une infrastructure moderne de sauvegarde et de récupération) peuvent les supprimer, c’est-à-dire se débarrasser du code malveillant conçu pour obtenir le paiement d’une rançon. Les entreprises qui acceptent de payer une rançon peuvent également supprimer le ransomware (même si les entreprises interrogées qui ont été victimes d’une intrusion admettent ne pas avoir récupéré toutes leurs données, même après avoir payé la rançon).
Voici les processus de suppression des ransomwares généralement mis en œuvre :
Oui. Un grand nombre d’entreprises paient la rançon aux attaquants et obtiennent ainsi la « clé » qui leur permettra de déverrouiller leurs données. Mais cette solution est coûteuse et nuit à leur réputation. Les équipes informatiques qui disposent d’une plateforme moderne de sécurité et de gestion des données, intégrant des capacités de protection, de détection et de récupération des ransomwares pour protéger leurs données contre une attaque, peuvent aussi choisir de déjouer les attaquants et de ne pas payer de rançon.
Les équipes peuvent récupérer les données suite à une attaque et supprimer les ransomwares de leurs systèmes grâce à une solution puissante de récupération. Celle-ci comprend des snapshots de sauvegarde en lecture seule inaltérables, qui préservent la sécurité des données en garantissant que les données de sauvegarde ne sont jamais directement accessibles, ni montées pour des applications externes. Les meilleures solutions empêchent les ransomwares d’infecter le snapshot inaltérable. Certains rôles peuvent définir des stratégies DataLock non modifiables sur des tâches sélectionnées grâce aux capacités de sécurité de la sauvegarde de type WORM (write-once-read-many) ou Zero Trust. Chacune d’entre elles possède un paramètre temporel pour assurer une protection des données impossible à supprimer.
Les entreprises qui souhaitent récupérer suite à une attaque par ransomware peuvent utiliser les snapshots inaltérables ou les données isolées d’une solution moderne de sécurité et de gestion des données pour restaurer à grande échelle de gros volumes de données non structurées, des machines virtuelles (VM) et des bases de données, à n’importe quel point dans le temps et à n’importe quel emplacement.
Une stratégie de cyber-résilience doit impérativement inclure une capacité de récupération suite à une attaque par ransomware. C’est en effet ce qui permettra à une entreprise de retrouver rapidement et facilement un accès aux données chiffrées et dérobées par les cyber-attaquants.
Cybersecurity Ventures estime que le coût des ransomwares s’élèvera à 265 milliards d’euros par an d’ici 2031. L’estimation de ce préjudice comprend les pertes financières dues aux temps d’arrêt, notamment les revenus du commerce électronique, ainsi que les pertes de productivité opérationnelle et les atteintes à la réputation. Conscientes du coût élevé d’une attaque, les entreprises utilisent désormais de nouvelles solutions de gestion des données pour empêcher les attaques par ransomware.
Les auteurs de ransomwares créent généralement des logiciels malveillants dotés d’une signature spécifique qui finit par être connue. Voici quelques exemples d’attaques par ransomware : REvil/Sodinokibi, Hades, DoppelPaymer, Ryuk, Egregor, BadRabbit, BitPaymer, Cerber, Cryptolocker, Dharma, GandCrab, Locky, Maze, MeduzaLocker, NetWalker, NotPetya, Petya, SamSam et WannaCry.
La sécurité et la gestion des données de Cohesity renforcent la cyber-résilience des entreprises et leur évitent de payer des rançons.
Les cybercriminels ciblent et exfiltrent de plus en plus les données contenues dans les sauvegardes. Cohesity propose un moyen moderne et multicouches d’empêcher les sauvegardes et les données d’être victimes d’un ransomware. L’architecture inaltérable de Cohesity, qui repose sur les principes du Zero Trust, garantit que les données de sauvegarde ne peuvent être chiffrées, modifiées ou supprimées prématurément. Cohesity utilise les technologies d’IA /de ML pour fournir de la visibilité et surveiller en permanence les anomalies dans les données. En cas de sinistre, Cohesity permet aux équipes de localiser une copie propre de leurs données dans l’ensemble de leur empreinte mondiale (notamment les multi-clouds) pour récupérer instantanément l’accès et minimiser les temps d’arrêt.
Protéger — Combiner des snapshots de sauvegarde inaltérable avec DataLock (WORM), RBAC, l’isolation des données virtuelles, la tolérance aux pannes, et l’authentification multifacteur permet d’éviter que les données de sauvegarde ne deviennent une cible
Détecter — L’intelligence pilotée par l’IA / le ML établit des modèles, puis détecte et signale automatiquement les anomalies
Récupérer rapidement — Les équipes peuvent reprendre leurs activités rapidement grâce à une recherche simple et une récupération à grande échelle instantanée à n’importe quel point dans le temps. La restauration massive instantanée unique de Cohesity permet de récupérer rapidement des volumes de données non structurées, des centaines de machines virtuelles (VM) et de grosses bases de données pour réduire les temps d’arrêt
Téléchargez le guide de préparation aux ransomwares pour en savoir plus.