Ransomware : comment les hackers prennent vos données en otage
2020, année de l’explosion des ransomwares ! Preuve en est, l’ANSSI a enregistré une augmentation de 255% des signalements d’attaque par rançongiciels par rapport à 2019. Mais comment les hackers s’y prennent-ils pour capturer vos données ?
Plus que jamais, la cybersécurité est un enjeu pour les chefs d’entreprise. Alors que les cyberattaquants ont profité du confinement pour lancer de nouvelles attaques, la première menace concerne aujourd’hui les attaques par ransomware suivi par le phishing.
Qu’est-ce qu’un ransomware ?
Les ransomwares ou rançongiciels sont des logiciels malveillants (ou malwares). Ils infectent un ordinateur et empêchent la victime d’accéder à ses données. Soit en bloquant l’accès à l’ordinateur (ransomware Locker), soit en chiffrant les données (ransomware Crypto). Ce code malveillant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner, mais de manière réversible. Les auteurs de l’attaque réclament ensuite une rançon en échange de l’accès aux données capturées ou au système d’information. Ils ne rendent accès aux fichiers subtilisés qu’après le paiement de cette rançon… Mais sans aucune garantie ! C’est pour cela que les experts préconisent de ne pas payer la rançon demandée.
Lire aussi Covid-19 et cybersécurité, les chiffres clés de l’année 2020
Trois types d’attaques par ransomware
Les campagnes d’attaques non ciblées
Ces attaques se caractérisent par leur faible coût et leur faible sophistication. Il s’agit d’attaques opportunistes qui profitent du faible niveau de maturité en sécurité numérique de leurs victimes. L’attaquant lance une campagne massive, tous azimuts, avec l’espoir qu’une attaque débouchera sur une infection. Les entreprises ou organismes qui manquent de protection numérique peuvent alors se faire piéger.
Les campagnes massives automatiques
Il s’agit d’un ransomware auto-réplicant, très sophistiqué et capable de se propager à grande vitesse. Exemple : le ransomware WannaCry qui, en 2017, a infecté plus de 300 000 ordinateurs dans 150 pays. Ce qui en fait la plus grande attaque par ransomware. Une attaque persistante d’ailleurs. Plus de deux ans après sa découverte, Wannacry était toujours actif, quoique moins dangereux, et se déclinait en 12 000 variantes. « WannaCry est aujourd’hui considéré comme l’une des attaques de maliciel la plus importante et la plus dévastatrice de l’histoire », souligne ainsi la Cellule Accompagnement Cybersécurité des Structures de Santé.
Les attaques ciblées dites « Big Game Hunting »
C’est le niveau supérieur de l’attaque par ransomware. Les attaques ciblées de ce type visent à se propager au sein du réseau ciblé de manière furtive. Objectif : fureter pour identifier et chiffrer les ressources essentielles de la cible et de son activité. Avec à la clé des demandes de rançons souvent plus importantes. Ces attaques sont en recrudescence depuis 2018.
Lire aussi Cybersécurité : 7 bonnes pratiques dans la gestion du cloud
Trois tendances à surveiller
Des cibles de plus en plus variées
Les cybercriminels ciblent de plus en plus des entreprises et des institutions particulières dans leurs attaques par rançongiciel. La multiplication ces derniers mois des attaques visant les collectivités locales, les hôpitaux ou des industriels confirme que personne n’est à l’abri.
L’essor du Ransomware-as-a-service (RaaS)
Les ransomwares sont devenus… un vrai business ! De plus en plus de logiciels malveillants de type ransomwares sont disponibles sur les marchés cybercriminels. Ils sont utilisés à la fois de façon ciblée et lors de campagnes massives. Un phénomène en plein essor. « La majorité des signalements remontés à l’ANSSI en 2020 ont concerné des rançongiciels fonctionnant selon le modèle économique du RaaS », note ainsi l’Agence nationale de la sécurité des systèmes d’information dans son État de la menace rançongiciel publié en mars 2021.
La double extorsion
« Cette tendance consiste à faire pression sur la victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet afin qu’elle paye la rançon », souligne encore l’ANSSI. De plus en plus souvent, les données sont d’abord sorties du système d’information de la victime avant d’être chiffrées et stockées ailleurs… voire menacées de destruction.
Lire aussi PME et ransomwares : Quels risques ? Comment se protéger ?
Comment se protéger d’un ransomware ?
Comme tout logiciel malveillant, un ransomware a besoin d’une porte d’entrée pour s’infiltrer dans le système d’information. Il peut ainsi passer via un mail frauduleux (phishing) le téléchargement d’une pièce jointe corrompue, la connexion d’une clé USB infectée… ou exploiter une faille zero day. Et avec la convergence entre l’OT et l’IT dans l’industrie, la surface d’attaque augmente encore. Entre nouveaux concepts de cybersécurité et approche Zero Trust, voici quelques bonnes pratiques à garder en tête :
- - Réaliser des sauvegardes régulières de ses données
- - Maintenir à jour les logiciels et les systèmes, avec l’application des correctifs de sécurité et la mise à jour des signatures antivirus (pour traquer les virus)
- - Cloisonner son système d’information, avec la mise en oeuvre d’une politique de filtrage sur les postes de travail et les appareils utilisés
- - Limiter les privilèges accordés aux utilisateurs
- - Maîtriser les accès à Internet
- - Sensibiliser les utilisateurs aux risques
- - Enfin, penser à se doter d’un plan de reprise d’activité (PRA), pour mieux rebondir en cas d’attaque
-
Questions fréquentes
Comment fonctionne un ransomware ?
Les ransomware sont des logiciels malveillants qui bloquent l’accès à un ordinateur (ransomware Locker) ou chiffrent les données (ransomware Crypto) pour empêcher leur victime d’y avoir accès. Les auteurs de l’attaque réclament ensuite une rançon en échange de la restitution des données capturées.
Qu’est-ce qu’une attaque de type ransomware ?
C’est une cyberattaque qui vise à extorquer de l’argent aux victimes. Les attaques par ransomware sont de différentes natures, avec différents degrés de sophistication. La plupart sont des attaques non-ciblées et massives. Mais il existe des ransomwares plus sophistiqués capables de chiffrer et d’exfiltrer les données capturées.
Comment se propage un ransomware ?
Il peut passer via un mail frauduleux, le téléchargement d’une pièce jointe corrompue, la connexion d’une clé USB infectée… ou exploiter une faille zero day.
Qu’est-ce que le ransomware Wannacry ?
Wannacry est un ransomware auto-réplicant. En 2017, il a infecté plus de 300 000 ordinateurs dans 150 pays. WannaCry est aujourd’hui considéré comme l’une des attaques de malware la plus importante et la plus dévastatrice de l’histoire.
Comment se protéger d’un ransomware ?
Il existe une série de bonnes pratiques à mettre en œuvre, comme : réaliser des sauvegardes régulières de ses données, maintenir à jour les logiciels et les systèmes, appliquer des correctifs de sécurité et mettre à jour des signatures antivirus. Mais aussi cloisonner son système d’information et limiter les privilèges accordés aux utilisateurs
Maîtriser les accès à Internet
Sensibiliser les utilisateurs aux risques