Un ransomware : qu'est-ce que c'est ?

Un ransomware est une forme de logiciels malveillants qui empêche les utilisateurs d’accéder à leurs systèmes ou à leurs fichiers personnels. Il ne s’agit pas d’un virus informatique. Un logiciel malveillant est toute forme de logiciel conçu pour nuire à un ordinateur ou à un réseau. Un virus est un logiciel malveillant, mais tous les types de logiciels malveillants ne sont pas des virus. Les ransomwares chiffrent les fichiers, applications et bases de données des utilisateurs, exigeant une rançon pour leur permettre de retrouver l'accès à ces fichiers ou pour empêcher que des informations sensibles ne soient divulguées publiquement ou vendues au plus offrant.

Comment fonctionne une attaque par ransomware ?

Elle chiffre les fichiers et documents les plus importants d’un individu, d’une entreprise ou d’une organisation à l’aide d’un chiffrement asymétrique pour créer une paire de clés publique-privée. La victime d'une attaque par ransomware n'a pas d'autre choix que de payer la rançon pour obtenir la clé privée et déchiffrer ses fichiers. De nos jours, de nombreux cybercriminels déploient une technique de « double extorsion » : ils analysent d’abord les fichiers sensibles avant de les chiffrer. Le gang criminel exigera un paiement pour décrypter les fichiers et empêcher que des informations sensibles ne soient rendues publiques ou vendues.

Bien que la première attaque par ransomware ait eu lieu en 1989, la récente vague d'attaques a commencé en 2017 avec l'apparition de WannaCry. À l’origine, les paiements de rançon étaient effectués par e-mail, mais de nos jours, ils doivent généralement être payés en crypto-monnaie.

Comment puis-je être infecté par un ransomware ?

Un expert en cybersécurité a un jour déclaré : « Lorsqu'il faut choisir entre des pingouins dansants et la cybersécurité, les pingouins dansants l'emportent à chaque fois. » Il faisait allusion à la propension humaine à savourer le spectacle des pingouins dansants, plutôt qu’à se préoccuper de leur origine.

Les cybercriminels accèdent à un réseau ou à un ordinateur en utilisant de telles méthodes. Ils comptent souvent sur le fait que les individus prêtent plus d'attention aux pingouins dansants qu'à la cybersécurité. Voici quelques-unes des méthodes de ransomware les plus courantes :

• Malspam : Un e-mail contenant une pièce jointe malveillante est envoyé au plus grand nombre de personnes possible dans l’espoir que quelqu’un l’ouvre. Les pièces jointes telles que les documents Microsoft Word et les PDF peuvent être piégées pour permettre l’accès.
• Publicité malveillante (malvertising) : Les cybercriminels utilisent la publicité en ligne pour diffuser des logiciels malveillants. Dans ce type de ransomware, les pirates n’ont besoin que de peu ou pas d’interaction de la part d’un utilisateur ciblé. Ils utilisent des iframes infectés ou un élément de page web indétectable. L’utilisateur peut simplement naviguer sur le web et être dirigé vers des sites illégaux sans visiter un site suspect. Une fois que l’ordinateur ou le système d’un utilisateur est affecté, le serveur des cybercriminels sélectionne le logiciel malveillant approprié pour ce système.
• Spear phishing : Il s’agit d'une forme plus ciblée de ransomware où les cybercriminels envoient des e-mails aux employés d'une entreprise leur demandant de remplir un formulaire RH ou de télécharger un message du PDG. Ces criminels ciblent souvent les décideurs seniors d'une entreprise, qui sont moins susceptibles de prêter attention à la sécurité.
• Ingénierie sociale : Toutes les méthodes de ransomware mentionnées ci-dessus contiennent souvent des éléments d’ingénierie sociale. Ils tentent de tromper les utilisateurs en faisant passer le ransomware pour un e-mail d'un ami ou une mise à jour importante de l'entreprise. Avec autant d’informations personnelles disponibles sur Internet de nos jours, il est facile pour les cybercriminels de compiler des informations sur les employés d’une entreprise pour gagner leur confiance. Les cybercriminels sont également connus pour se faire passer pour le FBI ou d’autres organisations gouvernementales.

Types de ransomware

Il existe trois principaux types de ransomware :

• Scarewares : Les cybercriminels utilisent des « scarewares » pour inciter les utilisateurs à télécharger des ransomwares. Cette forme de ransomware cible les individus. Ils reçoivent une fenêtre contextuelle d'une « entreprise de sécurité » affirmant que s'ils ne paient pas la rançon, ils ne retrouveront jamais l'accès à leurs fichiers. Aucune entreprise de cybersécurité légitime n’enverrait jamais un tel message.
• Bloqueurs d’écran : Une fois qu’un écran de verrouillage est téléchargé sur votre ordinateur, vous perdez tout accès à votre appareil. Au démarrage, un message plein écran de ce qui semble être le FBI ou le gouvernement américain apparaît, disant prétendument que les forces de l’ordre ont détecté une activité illégale sur votre ordinateur et que vous devez payer une amende.
• Ransomware de chiffrement : Il s’agit de la pire forme de ransomware. Il chiffre vos fichiers et exige un paiement avant de les restaurer. Une fois vos fichiers chiffrés, aucun logiciel ne peut vous aider à en retrouver l'accès.

Exemples de ransomware

Il existe plusieurs versions bien connues de ransomware :

• Ryuk : Souvent utilisé dans le spear phishing, il ne chiffre que certains types de fichiers, mais n’arrête jamais complètement l’ordinateur. Il exige ensuite une rançon pour accéder aux documents et autres fichiers importants.
• REvil (Sodinokibi) : Ce ransomware est bien connu des grandes entreprises. Utilisé par un gang criminel russe depuis 2019, il est à l’origine de nombreuses violations graves. Il utilise le modèle de double extorsion pour exiger des paiements pouvant atteindre 800 000 $ en cryptomonnaie.
• DearCry : Créé en mars 2021 pour exploiter quatre vulnérabilités du système Microsoft Exchange. Il s’agit d’un cas où Microsoft a publié des correctifs pour le problème, mais lorsque les gens n’ont pas téléchargé ces correctifs, ils se sont rendus vulnérables.
• Lapsus$ : Développé par un groupe criminel sud-américain spécialisé dans les ransomwares, cette organisation pratique l'extorsion en menaçant les entreprises de divulguer des informations sensibles ou de les vendre au plus offrant.

Qui sont les cibles des ransomwares ?

Les premières victimes des ransomwares étaient des utilisateurs individuels d'ordinateurs. Toute personne restée chez elle voyait soudainement une fenêtre contextuelle indiquant qu’elle devait payer une rançon pour retrouver l’accès à ses fichiers. Les cybercriminels se sont vite rendu compte qu’ils pouvaient gagner beaucoup plus d’argent en ciblant les entreprises. Selon une étude réalisée par Veeam en 2022, 76 % des entreprises déclaraient avoir été la cible d’une attaque par rançongiciel, et 60 % d’entre elles avaient été ciblées plus d’une fois.

Les attaques par ransomware ont parfois ciblé des villes entières. En mars 2018, le ransomware SamSam a paralysé plusieurs services municipaux critiques à Atlanta, y compris le système de gestion des dossiers de la police. En fin de compte, cette attaque a coûté à Atlanta $2,6 millions.

Les cybercriminels, souvent basés dans des pays comme la Russie ou la Chine où il est difficile pour les autorités de mettre fin à leurs activités, se concentrent sur les pays occidentaux comme les États-Unis, le Canada, l’Australie ou le Royaume-Uni. Avec l’émergence de nouveaux marchés tels que le Brésil ou l’Inde, les entreprises et les infrastructures de ces pays risquent de devenir des cibles de plus en plus fréquentes des attaques par ransomware.

Comment supprimer un ransomware

En cas d’attaque de ransomware, la règle numéro un est de ne jamais, au grand jamais, payer la rançon.

• Il n’y a aucune garantie que vous récupérerez vos fichiers, même si vous payez.
• Vous vous exposez à un risque en devenant une cible potentielle pour une attaque par ransomware.
• Vous encouragez les cybercriminels à attaquer d’autres entreprises ou individus.

Dans certains cas, vous pourrez supprimer le ransomware à l’aide de décrypteurs, dont beaucoup sont gratuits (consultez le site No More Ransom Project). Choisissez un décrypteur de ransomware avec soin, car il doit correspondre au type de ransomware présent sur votre ordinateur ou réseau, sinon vous risquez de chiffrer davantage vos fichiers. Parfois, vous pouvez utiliser un outil de remédiation informatique pour analyser votre ordinateur. Vous ne pourrez peut-être pas récupérer tous vos fichiers à l’aide de cette méthode, mais vous pouvez supprimer l’infection par le logiciel malveillant.

Parmi les autres étapes on trouve :

• Isolez la machine infectée : Il est essentiel de retirer immédiatement la machine infectée du réseau informatique.
• Si vous éteignez l'ordinateur, vous pourriez perdre des données en mémoire. Laissez-le allumé pour aider à récupérer les fichiers critiques et autres éléments.
• Créez une sauvegarde : C’est le meilleur moyen de vous assurer que vous n’aurez pas à payer la demande d’un ransomware et que vous pourrez restaurer vos fichiers essentiels en quelques heures, voire en quelques minutes.
• Effacez toutes les données de votre ordinateur : Utilisez une sauvegarde propre ou installez un nouveau système d’exploitation pour restaurer votre machine ou votre réseau.

Comment empêcher les attaques par ransomware

« Je m'en occuperai quand j'aurai le temps » est une façon infaillible de faire de votre entreprise une cible pour une attaque par ransomware. Ne remettez pas à demain ce que vous deviez faire hier. Vous devez vous préparer comme si cela allait vous arriver. Les deux étapes importantes sont les suivantes :

• Installez immédiatement un logiciel de cybersécurité. Choisissez-en un qui exige une authentification forte.
• Installez un logiciel de sauvegarde qui effectue des sauvegardes régulières de vos systèmes et  restaure les fichiers et les documents de votre entreprise en quelques heures ou quelques minutes.

Voici d’autres mesures que vous pouvez prendre :

• Maintenez vos systèmes de cybersécurité à jour.
• Sensibilisez vos collaborateurs ou vous-même à reconnaître les signes d’une attaque par ransomware. Montrez comment l’ingénierie sociale peut les tromper ou vous pousser à télécharger un ransomware. C'est l'une des meilleures façons de protéger votre entreprise contre les attaques. Incitez vos employés à créer des mots de passe forts. Dites à vos employés qu’il n’y a pas de mal à faire confiance à leur instinct. Si un site les met mal à l’aise ou semble suspect, il est probablement préférable de l’éviter.
• Tenez-vous au courant de l’évolution de la cybersécurité.
• Tenez-vous informé des correctifs système. Si vous faites fonctionner votre réseau informatique avec des logiciels obsolètes et que vous ne mettez pas à jour régulièrement, c'est comme si vous mettiez un panneau devant votre réseau informatique disant : « Attaquez-moi ! Je ne suis pas protégé. »

Protégez-vous contre les ransomware avec Veeam

Vous jouez un rôle crucial dans la protection de votre entreprise contre une attaque par ransomware. La clé réside dans la vigilance, en restant à l'affût du problème et en trouvant le meilleur logiciel pour protéger votre entreprise. Comme indiqué ci-dessus, créer des sauvegardes de toutes vos données et de tous vos fichiers fait partie des facteurs les plus critiques.

Veeam offre une solution unique, sécurisée et fiable pour vous protéger contre les ransomwares, qui inclut la sauvegarde de vos fichiers les plus importants et vous donne la possibilité de restaurer vos données aussi rapidement que possible. Il teste automatiquement vos fichiers de sauvegarde pour s’assurer qu’ils sont exempts de logiciels malveillants et prêts à être utilisés à tout instant. Votre activité sera rapidement rétablie lorsque vous compterez sur Veeam.