8 septembre 2022 • Cyber-risques
Qu'est-ce qu'un ransomware ?
Le ransomware peut causer des dommages financiers importants, mais aussi perturber votre infrastructure informatique. Dans cet article, vous découvrirez tout sur le ransomware et comment prémunir votre entreprise contre cette menace.
Vous entendez souvent ce mot dans les films et les séries où un enlèvement ou un détournement a lieu. Vous récupérez quelque chose ou quelqu'un en échange d'argent. Dans le cas d'un rançongiciel, il s'agit d'un scénario numérique. Lorsque le réseau de votre entreprise est touché par un rançongiciel, les systèmes informatiques de votre entreprise sont pris en otage par des hackers. Pour rendre vos fichiers à nouveau accessibles, les hackers vous demandent de payer une rançon. Un autre mot pour rançongiciel est rançongiciel.
Le ransomware est un type de malware. Un malware est un logiciel malveillant qui tente d'interférer avec un appareil numérique. Par exemple, il tente de s'emparer d'informations sensibles en arrière-plan ou d'ouvrir un port sur l'appareil. Lorsque ce port est ouvert, les cybercriminels peuvent accéder à votre appareil à votre insu. Les malwares se propagent via le réseau. Ce malware peut perturber l'ensemble de votre processus métier.
Vous devez être bien préparé à une situation imminente, telle qu'une attaque par ransomware. Les employés doivent être conscients de leurs responsabilités afin de pouvoir prendre les mesures appropriées si l'entreprise est victime d'un ransomware. De plus, il se peut que vous ayez souscrit une assurance au cas où vous seriez victime, ou que vous ayez conclu des accords clairs avec un partenaire informatique.
Êtes-vous ou votre organisation est-elle une cible pour les rançongiciels ?
Presque n'importe quel système peut être infecté par un ransomware. Il est donc important que le logiciel sur un appareil soit à jour. Lorsque vous ou votre organisation utilisez une version obsolète de Windows ou d'un logiciel antivirus, vous êtes une cible facile pour un hacker. Ceci est dû au fait que les ransomwares exploitent les vulnérabilités de sécurité.
Les grandes comme les petites entreprises peuvent être victimes de rançongiciels. Les grandes entreprises sont souvent la cible car les gains potentiels sont importants. Ces dernières années, nous avons observé un net glissement vers les petites entreprises, qui disposent souvent d'une infrastructure informatique moins bien organisée. De manière générale, de plus en plus de grandes entreprises ont renforcé leur sécurité, emploient un CISO (Chief Information Security Officer) et ont mis en place un département entier dédié à la cybersécurité.
Qui est la cible ?
Idéalement, les créateurs d'un rançongiciel souhaitent que le virus atteigne des entreprises où d'importantes sommes d'argent peuvent être extorquées. Contrairement aux particuliers, les entreprises ont souvent plus à offrir, mais les organismes gouvernementaux ou les établissements de santé sont également des victimes recherchées. Cela inclut de grandes quantités de données personnelles ou de rapports financiers. Les particuliers peuvent également être précieux pour les cybercriminels. Par exemple, vos appareils peuvent contenir des photos ou des vidéos qui ne devraient pas tomber entre de mauvaises mains.
Quelle est l'ampleur de la menace des ransomwares ?
Le ransomware peut causer des dommages considérables. En chiffrant les données sur différents appareils, il peut paralyser l'ensemble de l'activité. Par exemple, l'accès aux factures importantes ou à la masse salariale devient impossible. Il en résulte des retards de paiement et l'impossibilité de rémunérer les employés.
Si vous avez une boutique en ligne, plus aucune commande ne peut être passée. De plus, les clients et partenaires peuvent perdre confiance en votre entreprise, craignant que leurs données aient également été volées. Ou que dire d'une entreprise de logistique qui ne sait plus quel est le planning des camions à conduire ce matin-là ? Sans oublier les dommages à votre réputation. Le drame guette rapidement.
Comment êtes-vous affecté par les ransomwares ?
Le ransomware peut infecter un appareil de plusieurs manières. Les cybercriminels sont de plus en plus astucieux, collaborent mieux et trouvent de nouvelles méthodes pour propager ce malware.
Ces points d'entrée étant bien connus, la plupart des infections par ransomware peuvent être évitées. Pour les bloquer, il faut à la fois mettre en place des mesures techniques et s'appuyer sur des collaborateurs capables de détecter une attaque avant même qu'elle ne se produise. Notre guide explique étape par étape comment prévenir les ransomwares, de la gestion des correctifs à l'authentification multifactorielle (MFA), en passant par les formations de sensibilisation à la sécurité.
Les moyens les plus courants de propagation des ransomwares :
- Distribution via un fichier.
- Distribution via des fuites logicielles.
- Diffusion via des publicités ou des liens sur un site web.
Lorsqu'un système est infecté, il contribue à propager le rançongiciel. Par exemple, des messages contenant des fichiers malveillants sont envoyés depuis votre adresse e-mail, à votre insu. Le rançongiciel peut également se propager au sein de votre réseau interne.
Ingénierie sociale
La propagation de rançongiciels par e-mail ou les réseaux sociaux est ce que nous appelons l'ingénierie sociale. Par exemple, lorsqu'une entreprise est infectée par un rançongiciel, des e-mails sont envoyés aux clients contenant des fichiers malveillants appelés, par exemple, « facture » ou « preuve de paiement ». Comme vous l'avez peut-être deviné, ce sont des pseudonymes. Sans vous en rendre compte, vous avez ouvert le mauvais fichier et téléchargé un rançongiciel. C'est un mode de distribution insidieux car il éveille la curiosité des clients. Par exemple, ils craignent que quelqu'un ait piraté leur compte, ils souhaitent donc savoir ce que contient exactement le fichier.
Malvertising
Une autre méthode de propagation est le malvertising. Dans ce cas, le ransomware atteint votre appareil via des publicités malveillantes. Il peut s'agir de pop-ups sur des sites web érotiques, mais aussi de publicités sur YouTube, par exemple.
Exploit Kits
Un appareil peut également être infecté par des logiciels précédemment installés. Cela inclut les téléchargements illégaux de films et de séries. Certains sites web exploitent les navigateurs web et logiciels obsolètes. Lorsque vous êtes actif sur ces sites, le logiciel est téléchargé et installé à votre insu.
Nous sommes toujours là pour vous, promis !
Inscrivez-vous gratuitement dès maintenant et ne vous souciez plus jamais de la cybercriminalité.
14 jours d'essai gratuitQuelles sont les caractéristiques des ransomwares ?
Le ransomware est facilement identifiable.
Caractéristiques du ransomware en un coup d'œil :
- Le virus verrouille vos fichiers, les rendant inaccessibles.
- Pour déverrouiller vos fichiers, une cryptomonnaie (par exemple, du Bitcoin) ou une rançon est souvent exigée.
- Des fenêtres pop-up apparaissent sur votre écran, menaçant de supprimer vos fichiers
- Un minuteur apparaîtra sur votre écran pour augmenter la pression.
- L'ordinateur est inutilisable
- L'ordinateur est infecté via des téléchargements, des sites web ou des applications.
Pourquoi est-ce si populaire auprès des cybercriminels ?
Le ransomware permet aux criminels de gagner de l'argent facilement. Cela demande peu de temps et de travail, et les chances qu'ils soient appréhendés sont minces. Ceci s'explique par le fait que ces cybercriminels font souvent partie de gangs organisés originaires de Chine ou de Russie. Ils ne propagent le malware qu'en Occident et n'attaquent pas leur propre pays.
Lorsque la police détecte un cybercriminel qui propage des rançongiciels, il est souvent difficile d'appréhender cette personne. Ceci est dû au fait qu'ils opèrent depuis l'ouest. Les gouvernements locaux de ces pays n'agissent souvent pas contre ces gangs.
Ransomware qui a eu un impact majeur
Pour vous donner une meilleure idée des dommages que les ransomwares peuvent causer, nous expliquons un certain nombre d'attaques majeures.
WannaCry
WannaCry a fait de nombreuses victimes. Ce rançongiciel a causé des dommages à plus de 10 000 entreprises et plus de 200 000 particuliers dans 150 pays. Le rançongiciel infecte les ordinateurs via une faille dans Windows. Lorsque le rançongiciel a été vaincu, il y avait plus d'un million de victimes.
Petya
Petya était actif en Ukraine. C'est là qu'il a fait 90 % de ses victimes. En plus de l'Ukraine, le malware a également été actif aux États-Unis, en Lituanie, au Brésil, en Belgique, en Russie et en Biélorussie.
Locky
Le nom Locky peut sembler mignon, mais le malware ne l'était certainement pas. Locky s'est propagé dans le monde entier via e-mail. Les victimes recevaient un message concernant une commande ou une facture. Après avoir téléchargé un document Word, il leur était demandé d'activer les macros. À ce stade, le malware était installé.
Cerber
Cerber est une boîte à outils, ou « toolkit », qui peut être téléchargée et distribuée par n'importe qui. Les utilisateurs peuvent envoyer des e-mails avec des fichiers pour faire des victimes. Le malware fonctionne même lorsque quelqu'un est hors ligne. Cerber peut bloquer et ainsi prendre en otage plus de 400 types de fichiers différents.
Ransomware Covid-19
Les criminels ont profité de la panique lors de l'épidémie de Covid-19. Par exemple, la peur a été exploitée par la diffusion d'e-mails dangereux concernant la santé. Pensez par exemple aux informations sur les vaccinations. Les hôpitaux ont également été infectés, la pression sur les soins en a fait des victimes faciles.
Comment fonctionne l'extorsion par rançongiciel ?
L'extorsion par ransomware se décline en 4 niveaux. Ces niveaux peuvent considérablement augmenter la pression sur la victime.
Niveau 1 | Extorsion simple
À ce niveau, les données et les fichiers sont verrouillés. Vous devez effectuer un paiement pour retrouver l'accès.
Niveau 2 | double extorsion
Ce niveau est beaucoup plus problématique. En plus de chiffrer les données et les fichiers, les cybercriminels menacent également de rendre les données publiques si vous ne payez pas. Cela peut avoir des conséquences majeures pour votre entreprise.
Niveau 3 | triple attaque
À ce niveau, en plus de prendre les données en otage et de menacer de les rendre publiques, une attaque DDoS est également menée. Par exemple, les serveurs de votre entreprise ou de votre site web sont inaccessibles pour les employés et les clients.
Niveau 4 | quadruple attaque
Lors d'une quadruple attaque de ransomware, les données sont prises en otage et les clients et partenaires sont informés. Les hackers informent les clients et partenaires que leurs données seront rendues publiques s'ils ne paient pas le montant demandé. Cela exerce une pression énorme sur votre entreprise.
C'est ainsi que les cybercriminels opèrent avec les attaques par rançongiciel.
Les cybercriminels mènent des attaques ciblées et non ciblées. Dans les attaques non ciblées, l'ingénierie sociale ou le malvertising sont souvent utilisés. Des publicités dangereuses sont placées sur des sites web, ou des e-mails sont envoyés avec une pièce jointe dangereuse. Ils obtiennent souvent ces adresses e-mail via une fuite de données.
Les attaques ciblées sont souvent menées par des groupes très organisés. Par exemple, ils examinent le chiffre d'affaires d'une entreprise pour évaluer ses capacités financières. Ils envoient ensuite des e-mails aux employés de l'entreprise, ces e-mails contenant une pièce jointe qui dissimule le rançongiciel.
Une attaque par ransomware décrite étape par étape :
- Les cybercriminels accèdent au réseau via le phishing, une sécurité faible ou une fuite dans le réseau.
- Ils explorent le réseau et tentent d'obtenir de plus en plus de privilèges.
- Les criminels infectent le système avec des rançongiciels et d'autres types de malwares. Ils tentent de mettre la main sur des informations sensibles et des sauvegardes.
- Lorsqu'ils disposent de suffisamment d'informations, ils frappent et mettent le réseau hors service. Ce processus peut parfois prendre des semaines, voire des mois.
- Des négociations avec l'entreprise sont entamées, les données redeviendront accessibles après le paiement en cryptomonnaies.
Limitez les dégâts grâce à une sauvegarde
Les cybercriminels adorent les sauvegardes en ligne. Lorsque vous êtes victime d'un ransomware, cette sauvegarde est également prise en otage. Il est donc judicieux de conserver ces sauvegardes hors ligne, ou via un autre réseau. De cette manière, il devient plus difficile pour les cybercriminels de détourner ces données. De plus, il est judicieux de stocker toutes les données sur un disque dur externe.
Déconnectez-vous du réseau pour protéger les autres ordinateurs. Les ransomwares se propagent souvent sur l'ensemble du réseau interne. Vous pouvez protéger les autres ordinateurs du réseau en désactivant la connexion réseau. Vous pouvez le faire via l'ordinateur lui-même, ou en retirant le câble réseau, par exemple.
Restaurer des fichiers
Pour récupérer les fichiers de votre entreprise, l'option la plus simple est de payer la somme demandée. Réfléchissez-y attentivement. Une interruption d'activité peut avoir des conséquences fatales pour une entreprise, vous poussant à décider de payer. Vous pouvez également contacter un spécialiste IT qui supprimera le rançongiciel et restaurera les fichiers à partir d'une sauvegarde.
Voulez-vous aussi mieux protéger votre entreprise contre les ransomwares ? C'est possible avec Guardey. Inscrivez-vous dès maintenant pour l'essai gratuit de 14 jours !
Nous sommes toujours là pour vous, promis !
Inscrivez-vous gratuitement dès maintenant et ne vous souciez plus jamais de la cybercriminalité.
14 jours d'essai gratuit