Ressources > Glossaire des termes de sécurité > Qu’est-ce qu’un Ransomware

Qu’est-ce qu’un Ransomware ?

Qu’est-ce qu’un Ransomware ?

Le ransomware est un type de logiciel malveillant, ou malware, qui dérobe des données, les chiffre et les restituent contre une rançon, généralement demandée en crypto-monnaie. Les attaques par ransomware empêchent le plus souvent les victimes d’accéder à leurs données à moins qu’elles ne paient la rançon ; il existe généralement un délai pour payer celle-ci avant que les données ne disparaissent à jamais. Le paiement d’une clé de déchiffrement peut coûter de quelques centaines de dollars à des centaines de milliers, voire des millions de dollars dans certains cas exceptionnels.

Dans le passé, un professionnel qualifié pouvait facilement neutraliser les attaques par ransomware qui verrouillaient l’ordinateur ou les fichiers d’un utilisateur. Mais ces dernières années, les attaques par ransomware ont gagné en sophistication et, dans de nombreux cas, n’ont laissé aux victimes d’autre choix que de payer la rançon ou de perdre définitivement leurs données. 

Un changement récent et notable apparu dans de nombreuses variantes de la famille des ransomwares consiste en l’ajout d’une fonction d’exfiltration des données. Cette nouvelle fonctionnalité permet aux cybercriminels d’exfiltrer les données sensibles des entreprises victimes avant de les chiffrer. Ces données exfiltrées constituent une sorte de police d’assurance pour les hackers. Ainsi, même si les victimes disposent de bonnes sauvegardes, elles devront payer la rançon pour éviter que leurs données ne soient divulguées.

Lors d’une attaque menée en juillet 2020, un gang de ransomware a pu infiltrer le réseau d’une grande société américaine, effectuer une surveillance, se déplacer sur le réseau et diffuser ses ransomwares sur 30 000 ordinateurs. Avant de chiffrer ces 30 000 systèmes, ils ont exfiltré plus de 2 téraoctets d’informations sensibles et menacé de les publier en ligne. La société a finalement payé 4,5 millions de dollars. Il s’agissait d’une somme inhabituellement élevée, néanmoins les tactiques utilisées dans cette attaque sont de plus en plus courantes.

L’histoire des ransomwares et l’augmentation des attaques

Bien que les cybercriminels lancent des attaques de type ransomware depuis plus de 30 ans, on observe une augmentation significative de ces attaques ces dernières années. Selon le FBI, les attaques par ransomware ont commencé à augmenter en 2012 et ne manifestent aucun signe de ralentissement. 

Un rapport de ThreatLabz de 2020 a révélé une augmentation de plus de 500 % des ransomwares transmis par des canaux chiffrés entre mars et septembre. On estime qu’au cours de la seule année 2020, les ransomwares auront fait subir des préjudices s'élevant à plus de 20 milliards de dollars dans le monde.

Ces dernières années, les cibles les plus courantes des attaques par ransomware étaient les administrations municipales et les établissements universitaires, mais depuis le début de la pandémie de COVID-19, les hôpitaux et les télétravailleurs sont devenus une nouvelle proie pour les gangs de ransomware. Par ailleurs, les rapports faisant état de ransomwares diffusés par le biais de trafic chiffré ont considérablement augmenté l’année passée. En raison des limites de capacité des technologies de sécurité traditionnelles, telles que les pare-feu de nouvelle génération, la plupart des entreprises ne sont pas en mesure d’inspecter l'ensemble de leur trafic chiffré. Les hackers le savent, c’est pourquoi ils utilisent de plus en plus le chiffrement pour cacher leurs liens et pièces jointes malveillants.

La meilleure façon d’éviter d’être exposé à un ransomware — ou à tout autre type de programme malveillant — consiste à utiliser son ordinateur de manière prudente et consciencieuse. Les diffuseurs de logiciels malveillants sont de plus en plus avisés, et vous devez faire preuve de prudence à l’égard de ce que vous téléchargez et de ce sur quoi vous cliquez.

U.S. Federal Bureau of Investigation (FBI)

Comment fonctionne le ransomware

Les ransomwares se propagent le plus souvent par le biais d’e-mails d’hameçonnage et de publicités contenant des liens infectés ou un site web contenant des programmes malveillants. Les e-mails d’hameçonnage semblent souvent provenir d’une entreprise légitime ou d’une personne connue de la victime (dans le cas d’attaques ciblées) et incitent l’utilisateur à cliquer sur un lien malveillant ou à ouvrir une pièce jointe malveillante. 

Les attaques par ransomware contre des particuliers se caractérisent le plus souvent par le verrouillage et la prise en otage de documents, de photos et d’informations financières. Si les particuliers peuvent constituer une cible plus facile, les sociétés — en particulier les grandes entreprises — sont beaucoup plus attrayantes. Si les hackers parviennent à faire en sorte qu’un seul employé télécharge le programme malveillant, celui-ci peut ensuite se propager de l’appareil de cet utilisateur au réseau, où les impacts sont beaucoup plus importants. Non seulement une attaque peut perturber l’activité de l'entreprise, mais la menace de perte ou de divulgation des données peut être catastrophique et coûteuse en termes financiers et de réputation de la société.

Bien que certaines organisations investissent dans une assurance de cybersécurité pour couvrir les coûts relatifs à une cyberattaque ou une violation de données, la prévention reste la meilleure ligne de conduite face aux ransomwares. 

Pour protéger votre entreprise contre les ransomwares, la CISA, la Cybersecurity & Infrastructure Security Agency et le FBI recommandent ce qui suit :

  • Sauvegardez le contenu de vos ordinateurs, afin de pouvoir restaurer votre système dans son état antérieur à partir de vos sauvegardes.  
  • Conservez vos sauvegardes séparément, par exemple sur un disque dur externe ou dans le cloud, de sorte qu’elles ne soient pas accessibles depuis un réseau.
  • Mettez à jour et appliquez des correctifs aux ordinateurs, afin que les applications et les systèmes d’exploitation vulnérables ne deviennent pas des cibles.
  • Formez vos employés en leur proposant des séances de sensibilisation à la cybersécurité, obligatoires et continues, afin de veiller à ce qu’ils soient au courant des menaces actuelles et des bonnes pratiques en matière de sécurité. Veillez à ce qu’ils fassent preuve de prudence à l’égard des e-mails, même ceux provenant d’expéditeurs qu’ils connaissent, en vérifiant la légitimité de l’expéditeur avant d’ouvrir une pièce jointe ou de cliquer sur un lien.
  • Créez un plan de continuité au cas où votre organisation serait victime d’une attaque par ransomware.

Les ransomwares peuvent être dévastateurs pour un individu ou une entreprise. Toute personne possédant des données importantes stockées sur son ordinateur ou son réseau est en danger, y compris les organismes gouvernementaux ou chargés de l’application de la loi et les systèmes de soins de santé ou autres entités d’infrastructure critique.

U.S. Cybersecurity & Infrastructure Security Agency

Le ransomware relève moins de la sophistication technologique que de l’exploitation de l’élément humain. Il s’agit simplement de la version numérique d’une tactique criminelle vieille de plusieurs siècles.

Institute for Critical Infrastructure Technology

Prévenir les attaques par ransomware

La technologie moderne de défense contre les ransomwares est non seulement très efficace, mais elle est également facile à déployer. Une prévention appropriée contre les ransomwares commence par l’adoption d’une posture de sécurité construite nativement dans le cloud pour protéger les utilisateurs, les applications et les données sensibles contre ces attaques, quel que soit l’endroit où les utilisateurs se connectent ou les appareils qu’ils utilisent.

Pour répondre aux menaces de ransomware les plus courantes, une stratégie de prévention doit intégrer les principes et outils suivants afin d’empêcher que ces attaques divulguent vos données, perturbent votre activité ou coûtent du temps et de l’argent à votre entreprise :

  • Utilisez un sandbox de quarantaine piloté par l’IA pour retenir et inspecter tout contenu suspect avant de l’autoriser à parvenir au destinataire.
  • Inspectez tout le trafic chiffré par SSL/TLS pour vous assurer qu’il ne contient aucune menace cachée.
  • Mettez en place une protection permanente pour les utilisateurs sur le réseau et en dehors de celui-ci. 

Aucune société, grande ou petite, n’est à l’abri d’un ransomware sans une défense de sécurité dédiée. Ne devenez pas la prochaine victime d’un ransomware ou la prochaine entreprise à faire la une des journaux à la suite d’une attaque. En savoir plus sur Zscaler Advanced Cloud Sandbox et sur la prévention des ransomwares.

Les ransomwares sont partout. Restez informé pour savoir comment protéger votre société.

Lire le blog
blogs de recherche sur la sécurité

ThreatLabZ Research : État des attaques cryptées en 2020

Lire le rapport
ThreatLabZ Research : État des attaques chiffrées en 2020

Les ransomwares deviennent de plus en plus sophistiqués, vous devrez renforcer vos défenses.

Découvrir la protection contre les ransomwares
Protection Zscaler contre les ransomwares