Qu’est-ce qu’un ransomware? Le ransomware est un type de logiciel malveillant, ou malware, qui chiffre des données (parfois aussi en les dérobant) et les restitue contre une rançon, généralement demandée en crypto-monnaie. Les attaques par ransomware empêchent le plus souvent les victimes d’accéder à leurs données, à moins que celles-ci ne paient une rançon avant une date limite, après quoi elles peuvent perdre définitivement l’accès aux données. Le paiement exigé pour une clé de déchiffrement peut varier de plusieurs centaines à plusieurs millions de dollars.

L’histoire des ransomwares et l’augmentation des attaques

Bien que les cybercriminels lancent des attaques de type ransomware depuis plus de 30 ans, on observe une augmentation significative de ces attaques ces dernières années. Selon le FBI, les attaques par ransomware ont commencé à augmenter en 2012 et ne manifestent aucun signe de ralentissement.

Dans le passé, un professionnel qualifié pouvait facilement neutraliser les attaques par ransomware qui verrouillaient l’ordinateur ou les fichiers d’un utilisateur. Mais ces dernières années, les attaques par ransomware ont gagné en sophistication et, dans de nombreux cas, n’ont laissé aux victimes d’autre choix que de payer la rançon ou de perdre définitivement leurs données.

Un rapport de ThreatLabz de 2020 a révélé une augmentation de plus de 500 % des ransomwares transmis par des canaux chiffrés entre mars et septembre. On estime qu’au cours de la seule année 2020, les ransomwares auront fait subir des préjudices s’élevant à plus de 20 milliards de dollars dans le monde.

Un changement récent et notable apparu dans de nombreuses variantes de la famille des ransomwares consiste en l’ajout d’une fonction d’exfiltration des données. Cette nouvelle fonctionnalité permet aux cybercriminels d’exfiltrer les données sensibles des entreprises victimes avant de les chiffrer. Ces données exfiltrées constituent une sorte de police d’assurance pour les hackers. Ainsi, même si les victimes disposent de bonnes sauvegardes, elles devront payer la rançon pour éviter que leurs données ne soient divulguées.

Ces dernières années, les cibles les plus courantes des attaques par ransomware étaient les administrations municipales et les établissements universitaires, mais depuis le début de la pandémie de COVID-19, les hôpitaux et les télétravailleurs sont devenus une nouvelle proie pour les gangs de ransomware. Par ailleurs, les rapports faisant état de ransomwares diffusés par le biais de trafic chiffré ont considérablement augmenté l’année passée.

En raison des limites de capacité des technologies de sécurité traditionnelles, telles que les pare-feu de nouvelle génération, la plupart des entreprises ne sont pas en mesure d’inspecter l'ensemble de leur trafic chiffré. Les hackers le savent, c’est pourquoi ils utilisent de plus en plus le chiffrement pour cacher leurs liens et pièces jointes malveillants.

Comment fonctionne le ransomware

Les ransomwares se propagent le plus souvent par le biais d’e-mails de phishing et de publicités contenant des liens infectés ou un site Web contenant des malwares. Les e-mails de phishing semblent souvent provenir d’une entreprise légitime ou d’une personne connue de la victime (dans le cas d’attaques ciblées) et incitent l’utilisateur à cliquer sur un lien malveillant ou à ouvrir une pièce jointe malveillante.

Les attaques par ransomware contre des particuliers se caractérisent le plus souvent par le verrouillage et la prise en otage de documents, de photos et d’informations financières. Si les particuliers peuvent constituer une cible plus facile, les sociétés — en particulier les grandes entreprises — sont beaucoup plus attrayantes. Si les hackers parviennent à faire en sorte qu’un seul employé télécharge le programme malveillant, celui-ci peut ensuite se propager de l’appareil de cet utilisateur au réseau, où les impacts sont beaucoup plus importants. Non seulement une attaque peut perturber l’activité de l'entreprise, mais la menace de perte ou de divulgation des données peut être catastrophique et coûteuse en termes financiers et de réputation de la société.

Bien que certaines organisations investissent dans une assurance de cybersécurité pour aider à couvrir les coûts engendrés par une cyberattaque ou une fuite de données, la prévention reste la meilleure ligne de conduite face aux ransomwares.

Pour protéger votre entreprise contre les ransomwares, la CISA, la Cybersecurity & Infrastructure Security Agency et le FBI recommandent ce qui suit :

• Sauvegardez le contenu de vos ordinateurs afin de pouvoir restaurer votre système dans son état antérieur à partir de vos sauvegardes.
• Conservez vos sauvegardes séparément, par exemple sur un disque dur externe ou dans le cloud, de sorte qu’elles ne soient pas accessibles depuis un réseau.
• Mettez vos ordinateurs à jour et appliquez-leur des correctifs afin que les applications et les systèmes d’exploitation vulnérables ne deviennent pas des cibles.
• Formez vos employés en leur proposant des séances de sensibilisation à la cybersécurité, obligatoires et continues, afin de veiller à ce qu’ils soient au courant des menaces actuelles et des bonnes pratiques en matière de sécurité. Veillez à ce qu’ils fassent preuve de prudence à l’égard des e-mails, même ceux provenant d’expéditeurs qu’ils connaissent, en vérifiant la légitimité de l’expéditeur avant d’ouvrir une pièce jointe ou de cliquer sur un lien.
• Créez un plan de continuité au cas où votre organisation serait victime d’une attaque par ransomware.

Prévenir les attaques par ransomware

La technologie moderne de défense contre les ransomwares est non seulement très efficace, mais elle est également facile à déployer. Une protection appropriée contre les ransomwares commence par l’adoption d’une posture de sécurité construite nativement dans le cloud pour protéger les utilisateurs, les applications et les données sensibles contre ces attaques, quel que soit l’endroit où les utilisateurs se connectent ou les appareils qu’ils utilisent.

Pour répondre aux menaces de ransomware les plus courantes, une stratégie de prévention doit intégrer les principes et outils suivants afin d’empêcher que ces attaques divulguent vos données, perturbent votre activité ou coûtent du temps et de l’argent à votre entreprise :

• Utiliser un sandbox de quarantaine piloté par l’IA pour retenir et inspecter tout contenu suspect avant de l’autoriser à parvenir au destinataire
• Inspecter tout le trafic chiffré par SSL/TLS pour vous assurer qu’il ne contient aucune menace cachée
• Mettre en place une protection permanente pour les utilisateurs sur le réseau et en dehors de celui-ci

Aucune société, grande ou petite, n’est à l’abri d’un ransomware sans une défense de sécurité dédiée. Ne devenez pas la prochaine victime d’un ransomware ou la prochaine entreprise à faire la une des journaux à la suite d’une attaque.

Renforcez dès aujourd'hui votre stratégie de protection contre les ransomwares

Comme le montrent les recherches et les gros titres des journaux à travers le monde, les ransomwares ne sont pas près de disparaître. Zscaler a déjà aidé des milliers de clients à empêcher que les ransomware et d’innombrables autres cyberattaques n’atteignent leurs réseaux grâce à une évolutivité inégalée et à une expérience utilisateur exceptionnelle.

Voici quelques ressources supplémentaires à prendre en compte pour affiner votre stratégie de sécurité globale :

• Analyse de la vulnérabilité aux attaques Internet : outil gratuit d’analyse de l’exposition aux menaces
• Trois secrets pour neutraliser les attaques de ransomware avant qu’elles ne surviennent : webinaire à la demande
• Trois secrets pour neutraliser les attaques de ransomware avant qu’elles ne surviennent : livre blanc
• Zscaler Cloud Sandbox
• Inspection SSL Zscaler