Qu’est-ce qu’une attaque ransomware ou rançongiciel ? | Zscaler Un ransomware est un type de malware (logiciel malveillant) qui « verrouille » un système ou chiffre des fichiers jusqu’à ce que la victime paie une rançon, généralement en cryptomonnaie. Une fois le paiement de la rançon effectué, la victime est censée recevoir une clé de déchiffrement lui permettant de retrouver l’accès à ses fichiers et systèmes. Les ransomwares sont une méthode d’extorsion très prisée des cybercriminels. Les modèles de télétravail et de travail hybride exposant les terminaux à de nouvelles vulnérabilités, les pirates exploitent cette méthode de cybercriminalité pour cibler les données sensibles.

Comment fonctionnent les attaques par ransomware ?

Une attaque typique de ransomware se déroule en quatre phases.

1. Livraison

La première phase, la livraison, est généralement effectuée par un e-mail de phishing conçu pour inciter un utilisateur à l’ouvrir. L’e-mail semble souvent provenir d’une source fiable, telle qu’une marque connue. Les sociétés de transport, les banques et les grandes enseignes de distribution sont couramment « usurpées » dans des e-mails de phishing qui contiennent des messages concernant un retard de livraison, des achats frauduleux, un solde insuffisant, etc.

Ces e-mails sont conçus pour donner l’impression qu’ils proviennent d’expéditeurs familiers, mais ils contiennent des fichiers malveillants sous forme de PDF ou de liens Google Drive. Ces fichiers contiennent des chargeurs de programmes malveillants qui, une fois le fichier ouvert, déposent le contenu malveillant sur le système de la victime et organisent l’attaque.

2. Exploitation

Au cours de la phase suivante, l’exploitation, l’attaque se propage une fois que le malware a été chargé avec succès. Cette phase commence généralement après que le destinataire ouvre la pièce jointe d’un e-mail qui transmet le malware à un appareil.

Si l’appareil infecté se trouve sur un réseau, le programme malveillant identifie le contrôleur de domaine avec lequel l’appareil communique. Une fois celui-ci identifié, il dérobe les informations d’identification, ce qui lui permet de se déplacer sur le réseau et d’infecter d’autres appareils.

3. Rappel

La phase suivante est le rappel, au cours duquel la charge utile du malware tente de communiquer avec ses serveurs de commande et de contrôle (C2) où sont envoyées les données dérobées.

4. Exécution

Les serveurs C2 envoient ensuite à la charge utile des instructions sur la manière d’exécuter la phase finale : l’exécution. Au cours de cette phase, le malware dérobe des données et installe le ransomware, chiffrant et verrouillant le système ou les données afin que le particulier ou l’entreprise ne puisse y accéder. La victime dispose généralement d’un temps limité pour payer une rançon avant que les données ne soient perdues à jamais ; parfois, les demandes de rançon augmentent dans les dernières heures précédant la fin du délai de paiement.

Si elles paient la rançon, les victimes sont censées obtenir une clé de déchiffrement qui leur permet de récupérer leurs données, toutefois elles n’obtiennent pas toujours la clé, et même lorsqu’elles l’obtiennent, celle-ci ne fonctionne pas toujours.

Lors de récentes attaques, certains criminels ont commencé à dérober les données avant de les chiffrer, pour ensuite menacer de les exposer. De cette façon, même si les victimes disposent de solides sauvegardes, elles sont plus susceptibles de payer la rançon.

Comment les attaques par ransomware ont-elles évolué ?

Les ransomwares sont peut-être l’outil de prédilection des cybercriminels modernes, mais ils ne sont pas nouveaux pour autant. Au contraire, ils existent sous diverses formes depuis des décennies.

Le premier ransomware connu a été introduit en 1989 par le Dr. Joseph Popp. Il a expédié des disquettes intitulées « AIDS Information Introductory Diskette » (Disquette d’introduction à l’information sur le sida) aux participants de la conférence sur le sida de l’Organisation mondiale de la santé à Stockholm. Ces disquettes contenaient un code malveillant qui s’installait sur les systèmes MS-DOS et commençait à compter le nombre de fois que les utilisateurs démarraient leur machine.

À la 90e fois, le cheval de Troie du Dr Popp cachait tous les répertoires et chiffrait tous les fichiers du disque, les rendant inutilisables. Les victimes ont ensuite vu une note prétendant provenir de PC Cyborg Corporation, indiquant que le bail du logiciel du propriétaire avait expiré et qu’elles devaient envoyer 189 $ à une adresse au Panama pour retrouver l’accès.

La vague suivante de cyberattaques de type ransomware a été baptisée « scareware ». Les utilisateurs recevaient une mise en garde concernant une erreur catastrophique sur leur ordinateur, suivie d’un ordre de payer et de télécharger un logiciel destiné à nettoyer ou à réparer leur appareil. Bien entendu, le logiciel n’était qu’un nouveau programme malveillant conçu pour dérober des informations sur l’ordinateur.

Avec l’essor du partage de fichiers, une autre forme courante de ransomware s’est développée, baptisée l’attaque Police Locker. Souvent cachée sur des sites de téléchargement peer-to-peer ou des sites web hébergeant du matériel piraté ou pour adultes, cette attaque modifiait le bureau de l’utilisateur pour y afficher une note affirmant que les forces de l’ordre avaient verrouillé l’ordinateur en raison d’activités illégales présumées. La peur a conduit de nombreuses victimes à payer quelques centaines de dollars pour faire déverrouiller leur ordinateur. Néanmoins, dans bon nombre de ces attaques, le verrou aurait pu être supprimé en redémarrant simplement le système.

Types/exemples d’attaques par ransomware

Parmi la myriade de types de ransomware et de groupes de ransomware, voici quelques-uns des plus courants et des plus connus :

• GandCrab : selon le rapport Ransomware in Global Context de VirusTotal, cette famille est la plus présente dans les attaques par ransomware depuis 2020, avec 78,5 % des échantillons prélevés pour le rapport provenant de ce type de ransomware.
• REvil : ce groupe est connu pour avoir dérobé de grandes quantités d’informations dans les secteurs juridique et du divertissement, mais aussi dans le secteur public. Ils ont fait les gros titres pour la première fois en mai 2020, mais ont mené des attaques successives tous les mois de mars à octobre 2021, avec notamment l’attaque de Kaseya VSA.
• WannaCry : ransomware cryptoworm qui cible le système d’exploitation Microsoft Windows, il a impacté plus de 300 000 systèmes (et ce n’est pas fini) dans le monde entier depuis sa sortie en 2017.
• Ryuk : cette souche de ransomwares a été liée à un certain nombre de groupes qui ont frappé des industries telles que la santé, le secteur public et l’éducation, en particulier les systèmes scolaires américains.
• DarkSide : associée au groupe ransomware DarkSide, cette variante a été responsable de l’attaque de Colonial Pipeline en 2021 et constitue l’un des exemples les plus notoires de ransomware à double extorsion. Cette attaque particulière est généralement utilisée en tant que service.
• Evil Corp : ce groupe est responsable de Dridex, un type de programme malveillant déployé par le biais d’e-mails d’hameçonnage et connu pour le vol d’identifiants bancaires. Il a depuis été associé à d’autres types de ransomware tels que WastedLocker, BitPaymer et DoppelPaymer.
• Maze : cette variante a été découverte pour la première fois en mai 2019 et utilisée dans une attaque par ransomware contre Cognizant, qui a provoqué des interruptions de service auprès de certains de ses clients.

Alors, dans quelle mesure êtes-vous protégé contre les attaques par ransomware ? Pour le savoir, exécutez une analyse gratuite de l’exposition aux menaces sur Internet.

Le lien entre les ransomwares et les cryptomonnaies

Au tout début, les demandes de rançon se chiffraient généralement à quelques centaines de dollars, car les cibles étaient encore principalement des utilisateurs privés. Les victimes de ransomware payaient avec une monnaie standard, ce qui signifie que les criminels responsables étaient plus susceptibles d’être identifiés.

L’essor des cryptomonnaies (des monnaies numériques basées sur l’anonymat et le chiffrement) a marqué un retournement de situation pour ces hackers. Les cryptomonnaies telles que le bitcoin rendent les transactions presque impossibles à tracer, ce qui permet aux acteurs malveillants de masquer leurs traces.

Ransomware en tant que service (RaaS)

Le ransomware en tant que service est un sous-produit issu de la popularité et du succès du ransomware. Comme de nombreuses offres SaaS légales, les outils RaaS sont généralement basés sur un abonnement. Ils sont souvent peu coûteux et facilement disponibles sur le dark web, offrant une plateforme permettant à quiconque, même sans compétences en programmation, de lancer une attaque. Si une attaque RaaS réussit, l’argent de la rançon est divisé entre le fournisseur de services, le codeur et l’abonné.

Devriez-vous payer la rançon ?

C’est la sempiternelle question qui se pose en matière de ransomware. Payer ou ne pas payer ?

Évidemment, de nombreuses entreprises sont prêtes à payer étant donné le risque d’exposition de leurs données, mais est-ce la bonne façon de gérer la situation ? Les données de Gartner indiquent que « 80 % des (entreprises qui paient) subissent une autre attaque par ransomware. » Payer n’est peut-être pas la meilleure solution, mais quelle est l’alternative, laisser les acteurs malveillants exposer vos données au monde entier ?

Il existe hélas aucune réponse correcte et absolue. Paul Proctor, analyste chez Gartner, affirme effectivement que cela dépend de vous : « Il s’agit de savoir à partir de quand les résultats commerciaux sont impactés par la disparition des données dérobées. L’entreprise doit évaluer si la perte commerciale vaut la peine de courir le risque d’effectuer un paiement ».

Quels sont les conséquences des ransomwares sur les entreprises ?

Il suffit de consulter les actualités de temps à autre pour comprendre l’impact des ransomwares sur les entreprises de tous les secteurs. Mais, au cas où vous auriez vécu dans une grotte, voici quelques-unes des façons dont les ransomwares peuvent nuire à vos résultats :

Perte d’argent et/ou de données

La conséquence la plus évidente du ransomware réside dans le fait que ceux qui le déploient veulent prendre vos données en otage (d’où le terme « rançon ») jusqu’à ce que vous leur versiez une somme d’argent pour les récupérer. Ce facteur à lui seul constitue un dangereux cercle vicieux pour votre entreprise, en particulier si vous travaillez dans le secteur de la santé, le secteur public, la finance ou d’autres industries hébergeant une quantité importante de données sensibles.

Si vous ignorez les demandes d’un acteur malveillant, vous risquez d’exposer vos données au public, ou pire, à d’autres groupes de menaces qui sont prêts à payer de fortes sommes pour les obtenir. Mais, même si vous payez la rançon, il y a de fortes chances que vous ne récupériez pas vos données. C’est pourquoi la prévention des ransomwares est essentielle.

Atteinte à la réputation

Que vous choisissiez de payer la rançon ou non, vous êtes obligé de signaler le crime, et à terme, votre entreprise se retrouvera sous les feux des projecteurs. Beaucoup en ont déjà fait l’expérience, et la liste continuera de s’allonger tant que les ransomwares poursuivront leur évolution et que les entreprises ne s’y prépareront pas.

Souvent, les entreprises victimes de ransomware subissent une dégradation de leur activité en raison d’une perte de confiance de la part de leurs clients. Si la responsabilité n’en incombe pas à 100 % à la société, il est probable que les clients et les consommateurs potentiels la mettront en cause.

Répercutions juridiques

Oui, payer la rançon d’une attaque par ransomware est illégal. Dans une décision de 2020, l’Office of Foreign Assets Control (OFAC) du département américain du Trésor et le Financial Crimes Enforcement Network (FinCEN) ont déclaré qu’il était illégal de payer une rançon dans la plupart des cas.

Et donc, outre la perte de données et de capitaux et l’atteinte à votre image publique, le ransomware peut également vous faire encourir des frais judiciaires.

À quoi s’attendre ?

Gartner a désigné les « nouveaux modèles de ransomware » comme le principal risque auquel les entreprises sont exposées. Selon le rapport Emerging Risks Monitor de l’entreprise, les inquiétudes liées aux ransomwares surpassent désormais celles liées à la pandémie.

Si ce n’était pas clair auparavant, ça l’est maintenant : vous devez savoir non seulement comment vous préparer à une attaque par ransomware, mais aussi comment l’empêcher totalement.

Il est impossible d’arrêter toutes les attaques par ransomware qui se présentent, mais grâce à une vigilance rigoureuse, à une formation de sensibilisation et à la technologie appropriée, vous pouvez minimiser la menace que ces attaques font peser sur votre entreprise.

Étapes à suivre pour supprimer un ransomware

Il est possible d’éliminer un ransomware, mais il faut le faire avec soin et prudence en suivant un processus étape par étape.

Étape 1 : isoler l’appareil infecté

Cela signifie qu’il faut déconnecter ledit appareil de toute connexion filaire ou sans fil pour mettre le ransomware en quarantaine et l’empêcher de se propager. Assurez-vous de retirer immédiatement le programme malveillant du système si la rançon n’a pas encore été demandée.

Étape 2 : déterminer le type de ransomware auquel vous êtes confronté

Avec l’aide d’un professionnel ou d’un outil de sécurité, déterminez quelle souche de ransomware doit être supprimée. Cette information vous permettra de mieux comprendre comment limiter la portée du ransomware qui s’est introduit dans votre système.

Étape 3 : supprimer le ransomware

Supprimez l’infection de votre disque dur avec un outil de suppression de ransomware, l’aide d’un professionnel de la sécurité informatique ou votre propre processus manuel. Ensuite, utilisez un déchiffreur ou un outil de déchiffrement de ransomware pour récupérer les données chiffrées prises en otage.

Étape 4 : restaurer le système à partir d’une sauvegarde

Utilisez une sauvegarde du système ou récupérez les fichiers du système d’exploitation compromis. Dans le cadre de ce processus, il est important de vous assurer que vous avez sauvegardé vos données, car ce sera le seul moyen d’y accéder une fois que le ransomware les aura chiffrées. Il s’agit d’une bonne pratique, tant pour les ransomwares que pour les violations de données.

Protection contre les ransomware

Pour faire face à la menace de ransomwares en constante évolution, vous devez disposer d’une stratégie anti-ransomware efficace, comprenant des principes et des outils destinés à :

• Utiliser un sandbox piloté par l’IA pour mettre en quarantaine et inspecter le contenu suspect
• Inspecter tout le trafic chiffré TLS/SSL
• Mettre en œuvre une protection permanente en suivant les connexions hors réseau

Associer des solutions modernes à une approche défensive proactive est communément considéré comme le modèle de protection le plus efficace contre les ransomwares dans le manuel de cybersécurité actuel.

Comment Zscaler peut vous aider

Zscaler propose une protection cloud native contre les ransomwares qui sécurise les entreprises grâce à Zscaler Zero Trust Exchange™, une plateforme qui permet de :

1. Utiliser de la mise en quarantaine par sandbox optimisée par l’IA

Avec un sandbox de quarantaine piloté par l’IA et reposant sur une architecture proxy cloud-native, les fichiers peuvent être mis en quarantaine et entièrement analysés avant d’être transmis, ce qui élimine pratiquement tout risque d’infection de type patient zéro. Contrairement aux approches de type passthrough traditionnelles, les fichiers suspects ou jamais rencontrés auparavant sont retenus pour analyse et n’atteindront pas votre environnement.

Une solution cloud native, optimisée par l’IA, telle que Zscaler Cloud Sandbox (qui fait partie de Zero Trust Exchange) offre des avantages supérieurs à ceux des solutions anti-malware traditionnelles, notamment :

• Un contrôle complet des actions de quarantaine avec une politique granulaire définie par groupes, utilisateurs et type de contenu
• Des verdicts de sécurité en temps réel sur les fichiers inconnus, optimisés par l’apprentissage automatique
• Un téléchargement rapide et sécurisé des fichiers, tout fichier identifié comme malveillant étant mis en quarantaine.

2. Inspecter l’ensemble du trafic chiffré

Zscaler exploite une architecture proxy cloud-native qui vous permet d’effectuer une inspection SSL complète à grande échelle sans avoir à vous soucier des performances ni devoir étendre la capacité de traitement d’appliances coûteuses. 

Un cloud global réparti sur plus de 150 data centers sur six continents permet d’inspecter minutieusement le trafic SSL à la recherche de menaces de ransomware cachées, sans aucune baisse de performance, même si la bande passante des utilisateurs augmente considérablement.

3. Suivre les connexions hors réseau

Zero Trust Exchange peut fournir aux utilisateurs ces deux stratégies mentionnées plus haut (sandbox de quarantaine piloté par l’IA et inspection SSL complète) quel que soit leur emplacement ou l’appareil qu’ils utilisent. Chaque connexion sur n’importe quel réseau bénéficie d’une protection identique pour découvrir et contrecarrer les menaces connues et inconnues, ce qui préserve votre entreprise des infections par ransomware de type patient zéro.

Cette approche de prévention des ransomwares commence par la sécurisation des connexions des utilisateurs. Il suffit aux utilisateurs hors réseau d’ajouter Zscaler Client Connector, notre agent endpoint léger, à leurs ordinateurs portables ou à leurs appareils mobiles (avec prise en charge d’Android, iOS, macOS et Windows) pour bénéficier de la protection apportée par les mêmes outils de sécurité, application des politiques et contrôles d’accès dont ils bénéficieraient à votre siège.

Quelle que soit la manière dont vous envisagez les choses, la prévention des attaques par ransomware commence par Zero Trust et Zero Trust Exchange.