Qu’est-ce qu’une attaque ransomware ou rançongiciel ? | Zscaler

Les ransomwares sont en plein essor

Les attaques par ransomware ont évolué rapidement ces dernières années, se faisant plus fréquentes, plus évasives et plus coûteuses. Les nouveaux modèles de ransomware-as-a-service (RaaS) offrent des moyens de profit immédiats aux acteurs malveillants en herbe, même les moins expérimentés.

Dans le même temps, les hackers revisitent les anciennes techniques. Certains ont recours à la double extorsion, augmentant la pression sur leurs victimes en combinant chiffrement et vol de données. D’autres ont été les premiers à lancer des attaques « sans chiffrement », en se concentrant entièrement sur la menace d’une fuite.

À mesure qu’apparaissent de nouvelles techniques, les méthodes traditionnelles de récupération et de déchiffrement des fichiers deviennent moins viables. Dans ce contexte de menaces, il est plus important que jamais de privilégier la prévention.

Comment fonctionnent les attaques par ransomware ?

Une séquence typique d’attaque de ransomware se présente comme suit :

Compromission initiale

De nombreuses attaques de ransomware commencent par des e-mails de phishing. Ils peuvent sembler provenir de détaillants, de banques ou d’autres entités concernant des retards de livraison, des transactions frauduleuses, etc. Ces e-mails contiennent des fichiers ou des liens infectés qui, lorsqu’ils sont ouverts, déposent des malwares sur l’appareil de la victime afin de préparer une attaque.

Déplacement latéral

Une fois que le malware a infecté un appareil, l’attaque se propage. Si l’appareil infecté se trouve sur un réseau, le malware tentera de compromettre un contrôleur de domaine ou de dérober des informations d’identification qui lui permettront de se déplacer sur le réseau et d’infecter d’autres appareils.

Exécution

Le malware s’exécute une fois qu’il dispose d’un accès suffisant, et exfiltre et/ou dérobe les données de la victime. Enfin, la victime reçoit une demande de rançon, généralement assortie d’un délai avant que les données ne soient vendues, divulguées ou perdues. Si la victime paie, les hackers qui utilisé une stratégie de chiffrement promettent généralement de fournir une clé de déchiffrement qui déverrouille les données. Ils ne fournissent toutefois pas toujours la clé de déchiffrement, et lorsqu’ils le font, elle ne fonctionne pas toujours.

Comment les attaques par ransomware ont-elles évolué ?

La première attaque de ransomware, largement médiatisée, a eu lieu en 1989. À la suite d’une conférence de l’Organisation mondiale de la santé sur le SIDA, les participants ont reçu des disquettes « Informations sur le SIDA » qui contenaient un virus cheval de Troie. Le cheval de Troie chiffrait les fichiers sur un système infecté, puis demandait à la victime d’envoyer un paiement de 189 dollars à une adresse au Panama pour restaurer l’accès.

Au début des années 1990 est apparu le « scareware », ainsi nommé en raison de son utilisation de l’ingénierie sociale basée sur la peur. Les ordinateurs infectés afficheraient un message d’erreur avec un lien pour acheter et télécharger un logiciel permettant de résoudre le problème. (Le logiciel était, bien entendu, généralement un malware, souvent conçu pour dérober des données.) Le scareware persiste aujourd’hui sous de nombreuses formes, telles que le malspam et les popups de navigateur.

L’essor du partage de fichiers a popularisé une catégorie de ransomware appelée « screen locker ». Au lieu de chiffrer les fichiers, ils verrouillent le système de l’utilisateur et demandent une rançon ou une « amende » (citant fréquemment la police, le FBI, etc.). En réalité, de nombreux lockers limitaient simplement les mouvements de la souris et un redémarrage du système pouvait restaurer les fonctions normales. Néanmoins, la peur a poussé de nombreuses victimes à payer.

Lien entre les ransomwares et les cryptomonnaies

Au début, les demandes de rançon s’élevaient généralement à quelques centaines de dollars de la part d’utilisateurs individuels. De plus, les paiements de rançon étaient généralement effectués avec des cartes de paiement ordinaires, ce qui facilitait grandement le suivi des transactions et l’arrestation des acteurs malveillants.

Aujourd’hui, les innovations en matière de cybercriminalité et de technologie de cryptographie ont contribué à l’explosion de la popularité des ransomwares. En particulier, les cryptomonnaies (des monnaies numériques basées sur l’anonymat et le chiffrement) ont permis aux acteurs malveillants de brouiller les pistes en rendant les transactions presque intraçables.

Ransomware en tant que service (RaaS)

Sous-produit de cette popularité et de ce succès, les outils RaaS sont souvent abordables et disponibles par abonnement, tout comme les offres SaaS légales. Nombre d’entre eux sont facilement disponibles sur le Dark Web et permettent même à des individus ne disposant d’aucune compétence en programmation de lancer une cyberattaque et de percevoir une partie des bénéfices. Certains fournisseurs RaaS proposent même un support technique et des programmes de chasse aux bugs payants.

Ransomware à double extorsion

À terme, de meilleures technologies de sauvegarde et de déchiffrement des données ont commencé à faire évoluer les choses en faveur des victimes. En réponse, en 2019, un groupe criminel appelé TA2102 a perpétré la première attaque de ransomware à double extorsion de grande envergure, chiffrant et exfiltrant les données de la victime avant de menacer de les divulguer si elle ne payait pas 2,3 millions de dollars américains en bitcoins. Ainsi, même si la victime parvenait à restaurer ses données, elle serait victime d’une grave violation de données si elle ne payait pas.

Ransomware sans chiffrement

En 2022 et 2023, une tendance insidieuse est apparue qui a réinventé le fonctionnement même des ransomwares. À la fois une évolution et une sorte de régression, les attaques de ransomware sans chiffrement ne chiffrent pas les fichiers des victimes. Au lieu de cela, les hackers se sont concentrés uniquement sur l’exfiltration de données sensibles comme moyen d’extorsion.

Les victimes de ces attaques se trouvent généralement dans des secteurs qui traitent des informations personnelles hautement sensibles, tels que les secteurs juridique et de la santé. Leur principale préoccupation étant d’empêcher les fuites de leurs données sensibles, beaucoup paieront la rançon que les données soient chiffrées ou non. En outre, les victimes peuvent récupérer plus rapidement et plus facilement les données non chiffrées, ce qui se solde souvent par un paiement plus rapide de la rançon.

Types/exemples d’attaques par ransomware

Parmi la myriade de types de ransomware et de groupes de ransomware, voici quelques-uns des plus courants et des plus connus :

• CryptoLocker : caractérisé par son chiffrement puissant et son énorme botnet, ce ransomware a connu un tel succès en 2013 et 2014 qu’il continue d’inspirer des attaques similaires.
• WannaCry : un ransomware cryptoworm qui cible le système d’exploitation Windows, il a touché plus de 300 000 systèmes (et ce n’est pas fini) dans le monde depuis sa sortie en 2017. En raison de son ampleur et de sa portée mondiale, elle reste l’une des plus grandes attaques de ransomware de l’histoire.
• PasPetya : apparu peu de temps après WannaCry, NotPetya a d’abord semblé être une nouvelle version du ransomware Petya de 2016. Cependant, il n’y avait aucun moyen de récupérer les données chiffrées. L’attaque était en réalité un « destructionware » virulent attribué au groupe de hackers russes Sandworm.
• Ryuk : cette souche de ransomware a été liée à un certain nombre de groupes qui ont eu un impact sur les secteurs de la santé, le secteur public et l’éducation, en particulier les systèmes scolaires américains.
• REvil : connu pour ses violations dans les secteurs juridique, du divertissement et public, REvil a lancé un barrage d’attaques entre mai 2020 et octobre 2021, et notamment l’attaque Kaseya VSA.
• DarkSide : cette variante de ransomware est responsable de l’attaque de 2021 contre le Colonial Pipeline, l’une des plus célèbres attaques de double extorsion. DarkSide est une variante courante « en tant que service », dont les titulaires de licence partagent les bénéfices.
• GandCrab : le rapport 2021 Ransomware in a Global Context de VirusTotal cite GandCrab comme l’attaque de ransomware la plus répandue de cette année-là, représentant 78,5 % des échantillons prélevés pour le rapport.
• LockBit : un outil de création pour ce ransomware sophistiqué a fuité fin 2022. Aux mains d’innombrables nouveaux hackers, il s’agissait de la variante la plus prolifique de 2023, avec plus de 800 victimes connues de fuites de données.

Comment un ransomware peut-il être diffusé ?

Les hackers inventent sans cesse de nouveaux moyens de diffuser leurs ransomwares, mais plusieurs d’entre eux se distinguent par leur popularité et leur efficacité. Voici les principaux vecteurs d’attaque des ransomwares :

• Phishing : des e-mails trompeurs ou des messages similaires, généralement accompagnés de liens ou de pièces jointes infectés, trompent les utilisateurs qui laissent un ransomware s’installer sur leur système.
• Téléchargements intempestifs : les hackers exploitent les vulnérabilités des logiciels, des systèmes d’exploitation ou des navigateurs pour faciliter des téléchargements furtifs de ransomwares lorsque les victimes interagissent avec des sites Web ou des liens compromis.
• Vulnérabilités logicielles : les hackers exploitent les faiblesses des applications ou des systèmes, ce qui leur procure des points d’entrée dans un réseau, où ils peuvent déployer directement un ransomware.
• Sites Web malveillants : les hackers créent des sites frauduleux qui hébergent des ransomwares, puis convainquent les visiteurs de les télécharger sous de faux prétextes.
• Attaques de type Watering Hole : les hackers compromettent les sites Web légitimes utilisés par leurs victimes, puis utilisent l’ingénierie sociale pour inciter les visiteurs à télécharger un ransomware.
• Attaques RDP (Remote Desktop Protocol) : les hackers obtiennent un accès illicite aux connexions RDP, généralement via le cassage ou le vol des informations de connexion, pour déployer un ransomware directement sur un réseau cible.
• Malvertising (publicité malveillante) : les hackers placent des publicités infectées sur des sites Web par ailleurs légitimes, qui infectent les systèmes avec un ransomware lorsque les victimes interagissent avec la publicité.

Devriez-vous payer la rançon ?

Pour de nombreuses victimes de ransomware, la question la plus difficile est : « Payer ou ne pas payer ? »

De nombreuses entreprises sont prêtes à payer pour protéger leurs données, mais est-ce la bonne décision ? Plusieurs rapports publiés depuis 2021 ont révélé qu’environ 80 % des entreprises qui paient subissent encore des attaquesde manière répétée. Au-delà de cela, comme l’a souligné le RSSI, Brad Moldenhauer, « … le paiement de rançons numériques pourrait aider et encourager le terrorisme et c’est certainement le cas pour la cybercriminalité ».

Considérez également ces autres aspects :

• La récupération de vos données n’est pas garantie, en supposant que telle était l’intention du hacker au départ (en savoir plus sur NotPetya).
• Dans certaines circonstances et juridictions, payer une rançon est illégal. En savoir plus.
• Dans le cas d’une double extorsion, même si vous récupérez vos données, les hackers disposent toujours de copies qu’ils peuvent diffuser si vous ne payez pas.

Le choix dépend souvent de votre situation particulière. Vous devrez considérer l’impact d’une violation et d’une éventuelle perte de données sur vos opérations, vos utilisateurs et vos clients.

Quels sont les conséquences des ransomwares sur les entreprises ?

Les ransomwares touchent des entreprises de tous types dans le monde entier, et les attaques sont de plus en plus nombreuses chaque année. Ils peuvent avoir des effets néfastes sur le chiffre d’affaires, l’opinion publique, etc.

Perte de capital et/ou de données

Faire le choix entre perdre des données ou perdre de l’argent est un dilemme dangereux, en particulier dans les secteurs qui traitent des données sensibles. Si vous ignorez les demandes de rançon, vous courez le risque d’une fuite de données. Cependant, même si vous payez, rien ne garantit que vous récupérerez vos données.

Atteinte à la réputation

Que vous payiez ou non, vous êtes obligé de signaler le délit, ce qui peut entraîner des retombées médiatiques. Si cela se produit, votre entreprise peut perdre des contrats, la confiance de ses clients, voire les deux, même si vous n’avez vraisemblablement rien à vous reprocher.

Répercussions juridiques

Dans un nombre croissant d’États américains, payer une rançon est illégal dans la plupart des cas. D’autres juridictions à travers le monde envisagent également d’adopter des lois similaires. En outre, une violation peut entraîner un examen réglementaire plus approfondi, qui peut entraîner des amendes et d’autres frais juridiques.

Comment supprimer un ransomware

Si vous soupçonnez une infection par un ransomware, vous devez immédiatement prendre quelques mesures essentielles pour empêcher sa propagation. Ensuite, dans certains cas, vous pouvez supprimer l’infection. Commencez par :

Étape 1 : Isoler les appareils infectés. Déconnectez-les de toute connexion filaire ou sans fil, et même de l’alimentation secteur si nécessaire, pour empêcher la propagation de l’infection. Si vous découvrez un ransomware avant qu’il ne s’exécute, vous pourrez peut-être le supprimer avant que le hacker ne puisse demander une rançon.

Étape 2 : Déterminer ce à quoi vous êtes confronté. Consultez votre équipe informatique ou de sécurité pour vous aider à identifier l’infection et à déterminer les étapes suivantes. Vous pouvez trouver des outils de déchiffrement pour certaines variantes, mais il est important de ne pas compter dessus. Les outils de déchiffrement sont souvent inefficaces contre les ransomwares sophistiqués, et ne seront pas d’une grande utilité en cas de double extorsion.

Étape  3 : Récupérer vos données perdues. Habituellement, vous le ferez en les restaurant à partir d’une sauvegarde. Effectuer des sauvegardes régulières est le seul moyen de garantir que vous pourrez récupérer toutes vos données. Si vous ne parvenez pas à récupérer vos données, réfléchissez bien aux conséquences juridiques et financières potentielles avant de payer une rançon.

Étape 4 : Supprimer le ransomware Pour cela, vous aurez généralement besoin de l’aide d’un professionnel de la sécurité. Dans certains cas, vous devrez également alerter les forces de l’ordre, comme le FBI. Votre assistance doit enquêter sur la cause profonde de l’infection afin de cerner la vulnérabilité qui a favorisé l’attaque.

Étape 5 : Évaluer et traiter la cause profonde. Renforcez vos défenses là où elles ont échoué, qu’il s’agisse d’un exploit de porte dérobée, d’une faille dans votre filtrage de courrier électronique, d’un manque de formation des utilisateurs ou de toute autre chose. Des attaques récurrentes peuvent se produire et se produisent réellement, et vous pouvez mieux vous y préparer.

La prévention contre les ransomwares est essentielle

Le fait est qu’une fois que les hackers ont chiffré ou exfiltré vos données, d’une manière ou d’une autre, vous êtes perdant. C’est pourquoi la prévention des infections par ransomware est la véritable clé de votre défense à leur encontre.

Il est probablement impossible d’arrêter toutes les attaques dont vous êtes la cible, mais avec une diligence raisonnable, une formation de sensibilisation à la sécurité et la bonne technologie, vous pouvez minimiser les risques. Vous avez besoin d’une stratégie efficace de lutte contre les ransomware, qui comprend des principes et des outils qui :

• Utiliser un sandbox piloté par l’IA pour mettre en quarantaine et inspecter le contenu suspect
• Inspecter tout le trafic chiffré TLS/SSL
• Mettre en œuvre une protection permanente en suivant les connexions hors réseau

Associer des solutions modernes à une approche défensive proactive est le modèle de protection contre les ransomware le plus efficace de la cybersécurité actuelle.

Comment Zscaler peut vous aider

Zscaler propose une protection cloud native contre les ransomwares pour défendre vos données tout au long du cycle de vie de l’attaque. Notre architecture Zero Trust, éprouvée à l’échelle mondiale et fournie dans le cloud, vous permet de :

Éliminer la surface d’attaque
Rendez tous les points d’entrée invisibles aux attaquants. L’architecture Zero Trust n’expose jamais les utilisateurs, les réseaux ni les applications sur Internet.

Prévenir la compromission initiale
Inspectez l’intégralité des connexions entrantes et sortantes. Les menaces sont bloquées avant qu’elles ne puissent causer des dégâts.

Arrêter le déplacement latéral
Négociez des connexions directes et individuelles entre les utilisateurs, les workloads et les applications. Le réseau reste invisible aux yeux des hackers.

Bloquer l’exfiltration de données
Inspectez l’ensemble du trafic en temps réel et à l’échelle du cloud. Les données sensibles ne quittent jamais le réseau par le biais d’une connexion non fiable.