Ransomware est une sorte de malware utilisé par les cybercriminels pour empêcher les utilisateurs d’accéder à leurs systèmes ou fichiers ; les cybercriminels menacent alors de divulguer, de détruire ou de retenir des informations sensibles à moins qu’une rançon ne soit payée.
Les attaques de rançongiciels peuvent cibler soit les données détenues sur les systèmes informatiques (appelés rançongiciels de casier) ou les appareils (crypto-ransomware). Dans les deux cas, une fois la rançon payée, les pirates fournissent généralement aux victimes une clé ou un outil de déchiffrement pour déverrouiller leurs données ou leur appareil, bien que cela ne soit pas garanti.
Oliver Pinson-Roxburgh, PDG de Défense.comla plate-forme de cybersécurité tout-en-un, partage dans cet article ses connaissances et ses conseils sur le fonctionnement des ransomwares, leurs dommages et la façon dont votre entreprise peut atténuer les attaques de ransomwares.
Que comprend une attaque de ransomware ?
Il y a trois éléments clés dans une attaque de ransomware :
Accéder
Afin de déployer des logiciels malveillants pour chiffrer des fichiers et prendre le contrôle, les cybercriminels doivent d’abord accéder aux systèmes d’une organisation.
Gâchette
Les attaquants ont le contrôle des données dès que le logiciel malveillant est activé. Les données sont cryptées et ne sont plus accessibles par l’organisation ciblée.
Demande
Les victimes recevront une alerte indiquant que leurs données sont cryptées et inaccessibles tant qu’une rançon n’est pas payée.
Une grosse affaire pour les cybercriminels
Les motivations des cybercriminels qui déploient des logiciels malveillants peuvent varier, mais l’objectif final est généralement celui du gain financier.
Quel est le coût d’être ciblé par un ransomware ?
Le paiement moyen des attaques de ransomwares est passé de 312 000 $/260 000 £ en 2020 à 570 000 $/476 000 £ en 2021, soit une augmentation de 83 %. Un rapport a également montré que 66 % des organisations interrogées ont été victimes d’attaques de ransomwares en 2021, soit près du double de 2020 (37 %). Cela souligne la nécessité pour les entreprises de comprendre les risques et de mettre en place des défenses plus solides pour lutter contre les menaces.
Les ransomwares continuent de figurer parmi les cyberattaques les plus courantes en 2022, en raison de leur nature lucrative et du niveau d’effort relativement faible requis de la part des auteurs. Cette attaque débilitante provoque un temps d’arrêt moyen de 3 semaines et peut avoir des répercussions majeures pour une organisation, pour ses finances, ses opérations et sa réputation.
Parce qu’il n’y a aucune garantie que les cybercriminels divulgueront des données après le paiement d’une rançon, il est crucial de protéger vos données et de conserver des sauvegardes hors ligne de vos fichiers. Il est également très important de surveiller et de protéger de manière proactive les points d’entrée qu’un pirate peut exploiter, afin de réduire la possibilité d’être ciblé en premier lieu.
Qui risque d’être la cible de ransomwares ?
Dans le passé, les cybercriminels ciblaient généralement des organisations de premier plan, de grandes entreprises et des agences gouvernementales avec des ransomwares. Ceci est connu sous le nom de « chasse au gros gibier » et part du principe que ces entreprises sont beaucoup plus susceptibles de payer des rançons plus élevées et d’éviter l’examen indésirable des médias et du public. Certaines organisations, telles que les hôpitaux, sont des cibles de plus grande valeur car elles sont beaucoup plus susceptibles de payer une rançon et de le faire rapidement car elles ont un besoin urgent d’accéder à des données importantes.
Cependant, les groupes de ransomwares se concentrent désormais sur les petites entreprises, en réponse à la pression accrue des forces de l’ordre qui sévissent contre des groupes de ransomwares bien connus tels que REvil et Conti. Les petites entreprises sont considérées comme des cibles faciles qui peuvent manquer de défenses de cybersécurité efficaces pour empêcher une attaque de ransomware, ce qui facilite leur pénétration et leur exploitation.
En fin de compte, les acteurs de la menace sont des opportunistes et considéreront la plupart des organisations comme des cibles, quelle que soit leur taille. Si un cybercriminel remarque une vulnérabilité, l’entreprise est un jeu équitable.
Comment le rançongiciel est-il déployé ?
Attaques de phishing
La méthode de diffusion la plus courante des rançongiciels est l’attaque par hameçonnage. Le phishing est une forme d’ingénierie sociale et une méthode d’attaque efficace car il repose sur la tromperie et crée un sentiment d’urgence. Les acteurs de la menace incitent les employés à ouvrir des pièces jointes suspectes dans les e-mails et cela est souvent réalisé en imitant des employés de niveau supérieur ou d’autres figures d’autorité de confiance.
Publicité malveillante
La publicité malveillante est une autre tactique utilisée par les cybercriminels pour déployer des ransomwares, où l’espace publicitaire est acheté et infecté par des logiciels malveillants qui sont ensuite affichés sur des sites Web fiables et légitimes. Une fois qu’il a cliqué sur l’annonce, ou même dans certains cas, lorsqu’un utilisateur accède à un site Web qui héberge des logiciels malveillants, cet appareil est infecté par des logiciels malveillants qui analysent l’appareil à la recherche de vulnérabilités à exploiter.
Exploitation des systèmes vulnérables
Les ransomwares peuvent également être déployés en exploitant des systèmes non corrigés et obsolètes, comme ce fut le cas en 2017, lorsqu’une vulnérabilité de sécurité dans Microsoft Windows, EternalBlue (MS17-010), a conduit à l’attaque mondiale du ransomware WannaCry qui s’est propagée à plus de 150 pays.
Il s’agissait de la plus grande cyberattaque à avoir frappé le NHS : elle a coûté 92 millions de livres sterling de dommages, plus les coûts supplémentaires de l’assistance informatique pour restaurer les données et les systèmes touchés par l’attaque, et elle a eu un impact direct sur les soins aux patients par le biais de rendez-vous annulés.
Quatre méthodes clés pour défendre votre entreprise contre les ransomwares
Il est essentiel que les entreprises soient conscientes de la manière dont une attaque de ransomware peut affecter leur organisation et comment elles peuvent empêcher les cybercriminels de violer leurs systèmes et de détenir des données sensibles contre rançon. Jusqu’à 61 % des organisations dotées d’équipes de sécurité composées de 11 à 25 employés seraient les plus préoccupées par les attaques de ransomwares.
Le NHS aurait pu éviter d’être touché par l’attaque du ransomware WannaCry en 2017 en tenant compte des avertissements et en s’éloignant des logiciels obsolètes, en s’assurant que des stratégies étaient en place pour renforcer leur posture de sécurité.
Il est essentiel que votre entreprise adopte une approche proactive de la cybersécurité en mettant en œuvre les bons outils pour aider à surveiller, détecter et atténuer les activités suspectes sur votre réseau et votre infrastructure. Cela réduira le nombre et l’impact des violations de données et des cyberattaques.
Défense.com recommandent ces quatre tactiques fondamentales pour aider à prévenir les attaques de ransomwares et garder une longueur d’avance sur les pirates :
1 — Formation
La formation de sensibilisation à la cybersécurité est essentielle pour les entreprises de toutes tailles, car elle aide les employés à repérer les e-mails ou les activités potentiellement malveillants.
Les tactiques d’ingénierie sociale, telles que le phishing et le talonnage, sont courantes et efficaces en raison de l’erreur humaine et du fait que les employés ne détectent pas les risques. Il est essentiel que les employés soient vigilants face aux e-mails contenant des liens suspects ou contenant des demandes inhabituelles de partage de données personnelles, souvent envoyés par une personne se faisant passer pour un cadre supérieur.
La formation à la sécurité encourage également les employés à interroger les visiteurs de vos bureaux pour empêcher les attaques de ransomware par intrusion physique.
La mise en œuvre d’une formation de sensibilisation à la cybersécurité aidera votre entreprise à éduquer et à évaluer régulièrement vos employés sur les pratiques de sécurité fondamentales, créant ainsi une culture de sécurité pour réduire le risque de violation de données et d’incidents de sécurité.
2 — Simulateurs d’hameçonnage
Ces outils de simulation prennent en charge votre formation de sensibilisation à la sécurité en envoyant des e-mails de phishing factices mais réalistes aux employés. Comprendre à quel point votre personnel est susceptible de tomber dans le piège des tactiques d’un véritable cybercriminel vous permet de combler les lacunes de sa formation.
Lorsque vous combinez des simulateurs de phishing avec une formation à la sécurité, votre organisation peut réduire le risque d’être victime d’une attaque par ransomware. La combinaison de la formation et des tests vous place dans une meilleure position pour empêcher les tentatives astucieuses des cybercriminels d’infiltrer vos systèmes informatiques et d’implanter des logiciels malveillants.
3 — Surveillance des menaces
Vous pouvez faire de votre entreprise une cible moins importante pour les cybercriminels en surveillant activement les menaces potentielles. Threat Intelligence est un outil de surveillance des menaces qui rassemble des données provenant de diverses sources, telles que des tests de pénétration et des analyses de vulnérabilité, et utilise ces informations pour vous aider à vous défendre contre les attaques potentielles de logiciels malveillants et de ransomwares. Cet aperçu de votre paysage de menaces montre les zones les plus exposées au risque de cyberattaque ou de violation de données.
Être proactif vous permet de garder une longueur d’avance sur les pirates et en introduisant des outils de surveillance des menaces dans votre organisation, vous vous assurez que tout comportement suspect est détecté tôt pour être corrigé.
4 — Protection des terminaux
La protection des points de terminaison est essentielle pour comprendre lesquels de vos actifs sont vulnérables, pour aider à les protéger et repousser les attaques de logiciels malveillants comme les rançongiciels. Plus qu’un simple logiciel antivirus classique, la protection des terminaux offre des fonctionnalités de sécurité avancées qui protègent votre réseau et les appareils qui s’y trouvent contre les menaces telles que les logiciels malveillants et les campagnes de phishing.
Les fonctionnalités anti-ransomware doivent être incluses dans la protection des terminaux afin qu’elle puisse prévenir efficacement les attaques en surveillant les comportements suspects tels que les modifications de fichiers et le chiffrement des fichiers. La possibilité d’isoler ou de mettre en quarantaine tous les appareils concernés peut également être une fonctionnalité très utile pour arrêter la propagation des logiciels malveillants.
En résumé
Alors que les groupes de rançongiciels recherchent en permanence des vulnérabilités à exploiter, il est important que les entreprises développent des stratégies solides pour prévenir les menaces de rançongiciels : assurez-vous que votre personnel suit régulièrement une formation de sensibilisation à la sécurité, configurez des outils de surveillance des menaces pour détecter et vous alerter des vulnérabilités, et mettez en œuvre une protection des terminaux pour protéger vos appareils sur votre réseau.
Le respect des directives ci-dessus augmentera vos chances de protéger votre entreprise contre les attaques de ransomwares qui pourraient coûter à votre organisation une somme d’argent substantielle et nuire à sa réputation.
Defense.com estime qu’une cyberprotection de classe mondiale devrait être accessible à toutes les entreprises, quelle que soit leur taille. Pour plus d’informations, visitez Défense.com.