Vecteur d’infection et de diffusion
Un ransomware est un type de logiciel malveillant utilisé pour chiffrer des fichiers informatiques importants ou des données sensibles dans le but de demander une rançon. L’infection survient lors du téléchargement et de l’installation d’un logiciel de ransomware sur les périphériques du réseau d’entreprise.
Le ransomware peut accéder au système cible de différentes manières. La méthode la plus courante consiste à envoyer des courriels d’hameçonnage contenant un lien vers un site web compromis ou une pièce jointe contenant un malware. Lorsque l’utilisateur clique sur le lien ou la pièce jointe, le malware est téléchargé et exécuté sur le système informatique.
Découvrez quatre sources de vulnérabilité fréquemment exploitées par les ransomwares. >>
Le protocole RDP (Remote Desktop Protocol) est un autre vecteur d’attaque courant, car il est facile à utiliser et offre un accès de haut niveau aux pirates. En 2020, il s’agissait du vecteur d’attaque initiale dans la moitié des cas de ransomware signalés.
Les accès RDP compromis se vendent sur le dark web, et pour trouver une connexion RDP exposée, il suffit de créer un script qui cherchera le port par défaut. Les hackers ont souvent accès aux mêmes outils que les professionnels de la sécurité et peuvent scruter l’ensemble du réseau Internet à la recherche d’un port ouvert en moins d’une minute.
D’autres vecteurs de diffusion, comme le ransomware WannaCry, tentent d’infecter les systèmes directement. WannaCry s’attaque aux ordinateurs fonctionnant sous le système d’exploitation Microsoft Windows et crypte les fichiers du disque dur. Il demande ensuite le paiement d’une rançon en bitcoins. Publié pour la première fois en 2017, WannaCry est toujours actif et a touché plus de 100 000 organisations dans le monde entier.
Regardez le webinar à la demande pour en savoir plus sur la structure d’une attaque par ransomware et découvrir comment élaborer une stratégie de protection pour chaque phase.
Chiffrement
Une fois que le ransomware est installé dans le système cible, il y reste en silence pour collecter des données et infecter autant de systèmes que possible. Ensuite, il vole et/ou chiffre les fichiers contenant les données les plus précieuses et sensibles de la société. Les ransomwares peuvent parfois détruire les sauvegardes ou subtiliser des données pendant l’attaque, mais l’objectif principal consiste généralement à chiffrer autant de fichiers ou de systèmes que possible pour mettre l’organisation à l’arrêt.
Il existe plusieurs types et variantes de ransomwares : le ransomware de chiffrement, de verrouillage, d’extorsion et le ransomware en tant que service (RaaS).
Les ransomwares de chiffrement (ou cryptoransomwares) chiffrent les fichiers en brouillant leur contenu pour le rendre illisible. Une clé de déchiffrement est nécessaire pour restaurer les fichiers dans un format lisible. Les cybercriminels envoient ensuite des demandes de rançon en promettant de déchiffrer les données ou de communiquer une clé de déchiffrement une fois les demandes satisfaites.
Les ransomwares de verrouillage (Locker) ne chiffrent pas les fichiers, mais empêchent la victime d’accéder à ses systèmes ou à ses périphériques. Les pirates demandent ensuite une rançon pour déverrouiller les appareils. En général, on peut éviter les attaques par chiffrements ou assurer la reprise à condition de disposer d’un bon système de sauvegarde. Mais la récupération après une attaque par un ransomware de verrouillage est plus difficile et coûteuse. Même si les données ont été sauvegardées, l’appareil doit être entièrement remplacé.
Le principal objectif de ces attaques est l’extorsion de fonds. Cependant, les organisations peuvent refuser de payer, surtout lorsqu’elles disposent d’un système de sauvegarde et de reprise performant. C’est pourquoi, ces dernières années, les pirates ont commencé à utiliser une nouvelle technique de double extorsion, qui consiste à la fois à chiffrer et à extraire les données. Si la société refuse de payer, les hackers menacent de divulguer les informations en ligne ou de les vendre au plus offrant.
Et ce n’est pas le pire. Aussi dévastatrice que puisse paraître cette double extorsion, les experts en sécurité mettent en garde contre une menace plus importante : la triple extorsion. En plus d’extraire des données et de demander une rançon à la cible initiale, les pirates demandent de l’argent aux tiers touchés.
Enfin, le ransomware en tant que service (RaaS) utilise les principes du logiciel en tant que service (SaaS). Il s’agit d’un service par abonnement qui permet aux abonnés d’accéder à des outils prédéfinis pour lancer des attaques de type ransomware. Les abonnés sont considérés comme des affiliés et gagnent un pourcentage de chaque rançon payée.
Notes et demandes de rançon
Lorsque le ransomware a été déployé avec succès sur le réseau cible, les demandes de rançon sont envoyées. Les hackers informent la victime qu’une attaque a eu lieu et détaillent la rançon requise pour annuler l’attaque. Les demandes de rançon sont affichées sur les écrans d’ordinateur ou laissées en note dans le dossier contenant les fichiers chiffrés.
Les demandes de rançon contiennent généralement des informations sur le montant, le mode de paiement requis et la date limite de paiement, ainsi qu’une promesse de rendre l’accès aux fichiers chiffrés une fois la rançon payée. En cas d’exfiltration de données, le hacker peut également promettre de ne pas exposer d’autres données et de fournir la preuve que les données ont été détruites. Le paiement est généralement demandé en cryptomonnaie (Bitcoin ou Monero, par exemple).
Toutefois, même si une rançon est payée, il n’y a aucune garantie que le pirate restaurera les données ou tiendra ses promesses. Il peut conserver une copie des données copiées pour les utiliser ultérieurement. Les clés de chiffrement peuvent ne pas fonctionner complètement, laissant certaines données chiffrées, ou contenir des logiciels malveillants supplémentaires non détectés que le hacker pourra utiliser plus tard.
Négociation : faut-il payer ?
La décision de payer ou non une demande de rançon peut être compliquée et dépendre de plusieurs facteurs :
- Quelles sont les conséquences de l’intrusion sur les opérations de l’entreprise ?
- Les employés seront-ils au chômage technique ? Combien d’entre eux, et pendant quelle durée ?
- Le risque de fuite des données est-il important ?
Pour connaître les arguments pour et contre le paiement de la rançon, consultez l’article de blog Vous êtes victime d’un ransomware. Que faire ?
Si votre système de sauvegarde et de récupération n’a pas été touché, vous pouvez peut-être éviter de payer la rançon (cela dépendra du type de ransomware). Mais si le paiement de la rançon est vraiment votre seule option, il est conseillé d’engager une équipe d’intervention expérimentée pour vous aider dans les négociations et faciliter le paiement.
Après l’attaque : restauration et reprise
Le temps d’arrêt moyen après une attaque par ransomware est de 21 jours. Si vous payez la rançon, il faudra peut-être plusieurs jours supplémentaires pour recevoir la clé et annuler le chiffrement.
Vous devez savoir que certains ransomwares identifient et détruisent les sauvegardes sur le réseau compromis. Si les sauvegardes ont été détruites ou chiffrées, le processus de récupération peut s’avérer plus compliqué. Même si les sauvegardes sont utilisables, la récupération peut être un processus long, selon le type de système de sauvegarde et de reprise que vous avez mis en place.
Que vous choisissiez de payer la rançon ou d’essayer de récupérer les données vous-même, prévoyez plusieurs jours pour l’ensemble du processus de reprise. Anticipez également les pertes financières : paiement de la rançon, coût de l’intervention ou perte de revenu liée à l’arrêt.
Découvrez comment le processus de récupération peut varier avec l’exemple de deux organisations hypothétiques ayant des capacités de récupération différentes dans l’article Attaques par ransomware : quelle entreprise êtes-vous ?
Préparez la riposte
Une attaque par ransomware est un risque auquel vous devez absolument vous préparer. Vous pensez peut-être faire tout ce qu’il faut pour rester en sécurité, mais les architectures de sauvegarde traditionnelles ne vous protégeront pas des attaques modernes.
Quel est le meilleur moyen de contrer une attaque ? Seules les solutions modernes comme FlashBlade® de Pure Storage®, avec des snapshots SafeMode™, une restauration rapide (Rapid Restore®) et des performances de reprise de données pouvant atteindre 270 To/heure, peuvent faire passer votre stratégie de sécurité au niveau supérieur.
