Qu’est-ce qu’une attaque ransomware ou rançongiciel ? | Zscaler

Comment fonctionnent les attaques par ransomware ?

Une séquence typique d’attaque de ransomware se présente comme suit :

Compromission initiale

De nombreuses attaques de ransomware commencent par des e-mails de phishing, imitant souvent des messages provenant de détaillants, de banques ou d’autres entités de confiance concernant des retards de livraison, des achats frauduleux, des soldes de compte insuffisants, etc. Ces e-mails contiennent des fichiers ou des liens infectés qui, lorsqu’ils sont ouverts, déposent des malwares sur l’ordinateur ou l’appareil mobile de la victime afin de préparer une attaque.

Déplacement latéral

Une fois qu’un malware infecte un appareil, l’attaque se propage. Si l’appareil infecté se trouve sur un réseau, le malware tentera de compromettre un contrôleur de domaine ou de dérober des informations d’identification qui lui permettront de se déplacer latéralement sur le réseau et d’infecter d’autres appareils.

Exécution

Le malware s’exécute une fois qu’il dispose d’un accès suffisant, exfiltrant et/ou volant les données de la victime. Enfin, la victime reçoit une demande de rançon, généralement assortie d’un délai avant que les données ne soient vendues, divulguées ou irrécupérables. Si la victime paie, elle est censée recevoir une clé de déchiffrement qui lui permettra de récupérer ses données, mais ce n’est pas toujours le cas, et même lorsque c’est le cas, cela ne fonctionne pas toujours.

Comment les attaques par ransomware ont-elles évolué ?

Les ransomwares ont fait leur apparition en 1989, lorsque les participants à une conférence internationale sur le sida ont reçu des disquettes intitulées « AIDS Information » (informations sur le SIDA) contenant un cheval de Troie. Après 90 redémarrages du système infecté, le cheval de Troie masquait tous les répertoires, chiffrait tous les fichiers du disque dur infecté et affichait une note de « PC Cyborg Corporation » demandant un paiement de 189 dollars à une adresse au Panama pour rétablir l’accès.

La vague suivante de cyberattaques de type ransomware est apparue au début des années 1990 avec les « scareware », ainsi appelés parce qu’ils utilisent des techniques d’ingénierie sociale basées sur la peur. Les ordinateurs infectés affichaient un message d’erreur, suivi d’une offre d’achat et de téléchargement d’un logiciel qui permettait de résoudre le problème. Bien entendu, les logiciels étaient d’autres malwares, souvent conçus pour dérober des données.

L’essor du partage de fichiers a popularisé une catégorie de ransomwares appelés « police lockers », « screen lockers », ou simplement « lockers ». Souvent cachés sur des sites hébergeant des téléchargements peer-to-peer ou du contenu pour adultes, les lockers affichaient un message expliquant que le système avait été verrouillé (citant fréquemment les forces de l’ordre ou un organisme gouvernemental tel que le FBI, une activité illégale présumée, etc.) jusqu’à ce que le l’utilisateur paie une amende. De nombreux lockers limitaient simplement les mouvements de la souris et un redémarrage du système pouvait restaurer les fonctions normales, mais la peur a poussé de nombreuses victimes à payer.

Lien entre les ransomwares et les cryptomonnaies

Au début, les demandes de rançon s’élevaient généralement à quelques centaines de dollars de la part d’utilisateurs individuels. De plus, les paiements de rançon étaient généralement effectués avec des cartes de paiement ordinaires, ce qui facilitait grandement le suivi des transactions et l’arrestation des acteurs malveillants.

Aujourd’hui, les innovations en matière de cybercriminalité et de technologie de cryptographie ont contribué à l’explosion de la popularité des ransomwares. En particulier, le bitcoin et d’autres cryptomonnaies (monnaie numérique basée sur l’anonymat et le chiffrement) ont permis aux acteurs malveillants de brouiller les pistes en rendant les transactions presque intraçables.

Ransomware en tant que service (RaaS)

Sous-produit de cette popularité et de ce succès grandissant, les outils RaaS sont souvent disponibles par abonnement et peu coûteux, tout comme les offres SaaS légales. Nombre d’entre eux sont facilement disponibles sur le Dark Web et permettent même à des personnes sans compétence en programmation de lancer une cyberattaque et de percevoir une partie des gains.

Ransomware à double extorsion

À terme, de meilleures technologies de sauvegarde et de déchiffrement des données ont commencé à faire évoluer les choses en faveur des victimes. En réponse, en 2019, un groupe criminel appelé TA2102 a perpétré la première attaque de ransomware à double extorsion de grande envergure, chiffrant et exfiltrant les données de la victime avant de menacer de les divulguer si elle ne payait pas 2,3 millions de dollars américains en bitcoins. Ainsi, même si la victime parvenait à restaurer ses données, elle serait victime d’une grave violation de données si elle ne payait pas.

Ransomware sans chiffrement

En 2022 et 2023, une tendance insidieuse est apparue qui a redéfini l’essence des ransomwares. À la fois une évolution et une sorte de régression, les attaques de ransomware sans chiffrement ne chiffrent pas les fichiers des victimes. Au lieu de cela, les attaquants se sont concentrés uniquement sur l’exfiltration de données sensibles comme moyen d’extorsion.

Les victimes de ces attaques se trouvent généralement dans des secteurs qui traitent des informations personnelles très sensibles, tels que les secteurs juridique et de la santé. Leur principale préoccupation étant d’empêcher les fuites de leurs données sensibles, beaucoup paieront la rançon que les données soient chiffrées ou non. Les données n’étant pas chiffrées, elles peuvent être récupérées plus rapidement et plus facilement, ce qui motive souvent un paiement plus rapide de la rançon.

Types/exemples d’attaques par ransomware

Parmi la myriade de types de ransomware et de groupes de ransomware, voici quelques-uns des plus courants et des plus connus :

• CryptoLocker : ce ransomware, caractérisé par son chiffrement puissant et son énorme botnet, a connu un tel succès en 2013 et 2014 qu’il continue d’inspirer des attaques similaires.
• Dridex : cheval de Troie de premier plan connu pour voler des informations d’identification bancaires via des e-mails de phishing, il est associé à des types de ransomwares tels que WastedLocker, BitPaymer et DoppelPaymer.
• WannaCry : ransomware cryptoworm qui cible le système d’exploitation Microsoft Windows, il a touché plus de 300 000 systèmes (et ce n’est pas fini) dans le monde depuis sa sortie en 2017.
• NotPetya : apparu peu après WannaCry, NotPetya semblait d’abord être un ransomware, mais il s’agissait en réalité d’un « destructionware » virulent attribué au groupe de hackers russe Sandworm.
• Ryuk : cette souche de ransomware a été liée à un certain nombre de groupes qui ont eu un impact sur les secteurs de la santé, le secteur public et l’éducation, en particulier les systèmes scolaires américains.
• REvil : connu pour ses violations dans les secteurs juridique, du divertissement et public, REvil a lancé un barrage d’attaques entre mai 2020 et octobre 2021, et notamment l’attaque Kaseya VSA.
• DarkSide : cette variante, responsable de l’attaque de Colonial Pipeline en 2021, est l’un des exemples les plus notoires de ransomware à double extorsion. Cette attaque est généralement utilisée en tant que service.
• GandCrab : le rapport 2021 Ransomware in a Global Context de VirusTotal cite GandCrab comme l’attaque de ransomware la plus répandue, représentant 78,5 % des échantillons prélevés pour le rapport.

Quels sont les 7 principaux vecteurs d’attaque des ransomwares ?

Les hackers utilisant des ransomwares s’efforcent toujours de trouver de nouvelles façons d’innover leurs attaques, mais plusieurs stratégies se distinguent comme les moyens les plus populaires (et efficaces) d’infiltrer les systèmes. Voici les vecteurs d’attaque de ransomware les plus courants :

• Phishing : des e-mails trompeurs ou des messages similaires, généralement accompagnés de liens ou de pièces jointes infectés, trompent les utilisateurs qui laissent un ransomware s’installer sur leur système.
• Téléchargements « drive-by » (ou téléchargements furtifs) : les hackers exploitent les vulnérabilités des logiciels, des systèmes d’exploitation ou des navigateurs pour faciliter des téléchargements furtifs de ransomwares lorsque la victime interagit avec des sites Web ou des liens compromis.
• Vulnérabilités logicielles : les hackers exploitent les faiblesses des applications ou des systèmes, ce qui leur procure des points d’entrée dans un réseau, où ils peuvent déployer directement un ransomware.
• Sites Web malveillants : les hackers créent de faux sites ou des sites copiés que les utilisateurs prennent pour des sites légitimes. Ces sites hébergent des ransomwares qu’ils incitent les visiteurs à télécharger sous de faux prétextes.
• Attaques de type Watering Hole : les hackers compromettent les sites Web légitimes utilisés par leurs victimes, puis utilisent l’ingénierie sociale pour inciter les visiteurs à télécharger un ransomware.
• Attaques RDP (Remote Desktop Protocol) : les hackers obtiennent un accès illicite aux connexions RDP, généralement via le cassage ou le vol des informations de connexion, pour déployer un ransomware directement sur un réseau cible.
• Malvertising (publicité malveillante) : les hackers placent des publicités infectées sur des sites Web par ailleurs légitimes, qui infectent les systèmes avec un ransomware lorsque les victimes interagissent avec la publicité.

Devriez-vous payer la rançon ?

La question la plus difficile que se posent de nombreuses victimes de ransomwares : « Payer ou ne pas payer ? »

De nombreuses entreprises sont prêtes à payer pour protéger leurs données, mais est-ce la bonne décision ? Plusieurs rapports publiés depuis 2021 ont révélé qu’environ 80 % des entreprises qui paient subissent toujours des attaques répétées. Au-delà de cela, comme l’a souligné Brad Moldenhauer, RSSI de Zscaler, « il y a de bonnes raisons de penser que le paiement de rançons numériques pourrait aider et encourager le terrorisme et c’est certainement le cas pour la cybercriminalité ».

D’autres aspects sont également à prendre en considération :

• Rien ne garantit que vous récupérerez toutes vos données, en supposant que telle soit l’intention du hacker au départ (en savoir plus NotPetya).
• Dans certaines circonstances et juridictions, payer une rançon est illégal. En savoir plus.
• Dans le cas d’une double extorsion, même si vos efforts de remédiation permettent de récupérer vos données, choisir de ne pas payer signifie laisser les acteurs malveillants exposer vos données au monde entier.

Le choix dépend souvent des circonstances uniques de votre entreprise, notamment de la manière dont vos opérations, vos utilisateurs et vos clients sont affectés par une violation et de la possibilité que vous ne récupériez pas vos données.

Quels sont les conséquences des ransomwares sur les entreprises ?

Les ransomwares touchent tous les types d’entreprises dans le monde entier, avec de plus en plus d’attaques chaque année, et ils peuvent avoir des effets dévastateurs sur le chiffre d’affaires, l’opinion publique, etc.

Perte de capital et/ou de données

Faire le choix entre perdre des données ou perdre de l’argent est un dilemme dangereux, en particulier dans les secteurs qui traitent des données sensibles. Si vous ignorez les demandes de rançon, vous risquez la fuite de vos données. Et même si vous payez, rien ne garantit que vous les récupéreriez.

Atteinte à la réputation

Que vous payiez ou non, vous êtes obligé de signaler le crime, ce qui peut entraîner des retombées médiatiques. Lorsque les attaques font la une de l’actualité, les entreprises victimes risquent de perdre des marchés, la confiance de leurs clients, ou les deux, même si elles ne sont pas, elles-mêmes, en faute.

Répercussions juridiques

Dans un nombre croissant d’États américains, le paiement d’une rançon est illégal dans la plupart des cas, et d’autres juridictions dans le monde envisagent de faire de même. En outre, une violation peut donner lieu à un examen réglementaire plus approfondi, susceptible d’entraîner des amendes et d’autres frais de justice.

Étapes à suivre pour supprimer un ransomware

Les ransomwares peuvent être vaincus, mais il convient de procéder étape par étape :

Étape 1 : isolez les appareils infectés, en les déconnectant de toute connexion filaire ou sans fil (et même en les déconnectant du secteur, si nécessaire) pour empêcher la propagation de l’infection par le ransomware. Si vous découvrez un ransomware avant qu’il ne s’exécute, vous pourrez peut-être le supprimer du système avant que le hacker ne puisse demander une rançon.

Étape 2 : découvrez ce à quoi vous êtes confronté et s’il existe un outil de déchiffrement susceptible de vous aider à récupérer les données chiffrées. Il ne faut cependant pas trop compter là-dessus. Les outils de déchiffrement sont souvent inefficaces contre les ransomwares sophistiqués, et ils ne seront pas d’une grande aide en cas de double extorsion.

Étape 3 : récupérez vos données perdues, généralement en les restaurant à partir d’une sauvegarde. Effectuer des sauvegardes régulières est le seul moyen de garantir que vous pourrez récupérer toutes vos données une fois qu’elles ont été chiffrées. Si, pour une raison quelconque, vous ne parvenez pas à récupérer vos données, réfléchissez attentivement aux conséquences juridiques et financières potentielles avant d’accéder à toute demande de rançon.

Étape 4 : supprimez le ransomware avec l’aide d’un professionnel de la sécurité qui doit mener une enquête approfondie sur les causes profondes pour déterminer la vulnérabilité qui a permis l’attaque.

Étape 5 : évaluez la cause de l’infection et prenez des mesures pour renforcer vos défenses là où elles ont échoué, qu’il s’agisse d’un exploit de porte dérobée, d’une faille dans votre filtrage de courrier électronique, d’un manque de formation suffisante des utilisateurs ou de toute autre chose. Des attaques répétées peuvent se produire et se produisent effectivement, et vous pouvez être mieux préparé.

La prévention contre les ransomwares est essentielle

Le fait est qu’une fois que vos données sont chiffrées ou exfiltrées, d’une manière ou d’une autre, vous êtes perdant. C’est pourquoi la prévention est la véritable clé de la défense contre les ransomwares.

Il est probablement impossible d’arrêter chaque attaque de ransomware dont vous êtes victime, mais avec une diligence raisonnable, une formation de sensibilisation à la cybersécurité et la bonne technologie, vous pouvez minimiser les risques. Vous avez besoin d’une stratégie anti-ransomware efficace, qui comprend des principes et des outils qui permettent de :

• Utiliser un sandbox piloté par l’IA pour mettre en quarantaine et inspecter le contenu suspect
• Inspecter tout le trafic chiffré TLS/SSL
• Mettre en œuvre une protection permanente en suivant les connexions hors réseau

Associer des solutions modernes à une approche défensive proactive est communément considéré comme le modèle de protection le plus efficace contre les ransomwares dans le manuel de cybersécurité actuel.

Comment Zscaler peut vous aider

Zscaler propose une protection cloud native contre les ransomwares qui sécurise les entreprises grâce à Zscaler Zero Trust Exchange™, une plateforme qui permet de :

Utiliser la mise en quarantaine par sandbox optimisée par l’IA

Zscaler peut mettre en quarantaine et analyser entièrement les fichiers suspects ou inédits avant leur livraison, ce qui élimine pratiquement le risque d’infection de type patient zéro. Contrairement aux approches passthrough traditionnelles, ces fichiers n’atteindront pas votre environnement s’ils ne sont pas d’abord jugés inoffensifs.

Une solution cloud native optimisée par l’IA comme Zscaler Sandbox (qui fait partie de Zero Trust Exchange) offre des avantages qui vont au-delà de ceux des solutions antivirus/antimalware traditionnelles, notamment :

• Contrôle total des actions de mise en quarantaine, avec une politique granulaire définie par groupes, utilisateurs et types de contenu
• Des verdicts de sécurité en temps réel sur les fichiers inconnus, optimisés par l’apprentissage automatique
• Téléchargement rapide et sécurisé des fichiers, tout fichier identifié comme malveillant étant mis en quarantaine

Inspecter l’ensemble du trafic chiffré

Zscaler exploite une architecture proxy cloud native qui vous permet d’effectuer une inspection TLS/SSL complète à grande échelle sans vous soucier des limites de performance d’appliances coûteuses.

Zscaler Cloud, un cloud global réparti sur plus de 150 data centers sur six continents inspecte minutieusement le trafic TLS/SSL à la recherche de menaces cachées de ransomware, sans aucune baisse de performances, même si la bande passante des utilisateurs augmente de façon spectaculaire.

Suivre les connexions hors réseau

Zero Trust Exchange propose un sandboxing optimisé par l’IA et une inspection TLS/SSL aux utilisateurs, où qu’ils se trouvent et sur n’importe quel appareil. Chaque connexion sur n’importe quel réseau bénéficie d’une protection identique permettant de découvrir et déjouer les cybermenaces connues et inconnues, ce qui préserve votre entreprise des infections par ransomware de type patient zéro.

Cette approche de prévention des ransomwares commence par la sécurisation des connexions des utilisateurs. Les utilisateurs hors réseau ajoutent simplement Zscaler Client Connector, notre agent endpoint léger, à leurs ordinateurs portables ou appareils mobiles (avec prise en charge d’Android, iOS, macOS et Windows) pour bénéficier de la protection offerte par les mêmes outils, application des politiques et contrôles d’accès dont ils bénéficieraient au siège.