Le guide pour tout savoir sur le ransomware : types et définitions des attaques de ransomware

Les attaques de ransomware peuvent entraîner une perte significative de données, de fonctionnalité du système et de ressources financières. Mais qu’est-ce qu’un ransomware exactement ? Le ransomware peut prendre différentes formes,...
David Harrington
8 minute de lecture
Dernière mise à jour 28 octobre 2021

Les attaques de ransomware peuvent entraîner une perte significative de données, de fonctionnalité du système et de ressources financières. Mais qu’est-ce qu’un ransomware exactement ? Le ransomware peut prendre différentes formes, et les hackers ne cessent d’évoluer et de s’adapter au fil du temps. Les organisations doivent être bien informées des différents types de ransomware pour mettre en place les mesures de protection appropriées.

Dans cet article, nous présenteront les différents types de ransomware et les dangers de chacun. Vous apprendrez comment fonctionne un ransomware et quelle est la spécificité des différentes attaques. Nous mettrons les choses en contexte en évoquant des attaques réelles comme celle qui a visé récemment Colonial Pipeline. Sans oublier un glossaire pratique à la fin, afin que vous ayez toutes les informations nécessaires pour comprendre le fonctionnement des ransomwares.

Vous souhaitez en savoir plus sur les bases des ransomwares et gagner un crédit CPE ? Suivez notre cours gratuit !

« En seulement une heure, je vous enseignerai les bases des ransomwares et ce que vous pouvez faire pour vous en protéger et vous préparer à leurs attaques. »

Qu’est-ce qu’un ransomware ?

Les ransomwares sont des virus ou des malwares d’un type particulier, principalement conçus pour désactiver des systèmes critiques ou empêcher l’accès à des données sensibles, jusqu’à que la cible paie une rançon. Par exemple, une attaque de ransomware visant un hôpital peut empêcher les médecins ou les administrateurs d’accéder aux dossiers des patients dont ils ont besoin en permanence. L’attaquant peut ensuite envoyer un message à l’ensemble du système pour demander un paiement afin de rétablir l’accès.

À un niveau élevé, le ransomware utilise la cryptographie pour chiffrer et déchiffrer les fichiers. Le malware chiffre l’accès aux systèmes ou aux fichiers et conditionne l’attribution d’une clé privée spéciale au paiement d’une rançon. En bref, le ransomware empêche les organisations de fonctionner tant que l’attaquant n’a pas reçu une certaine somme. Les hackers peuvent également chiffrer des informations sensibles ou privées, en menaçant de les rendre publiques si la rançon n’est pas versée.

Ressources sur les ransomwares

Heureusement, il existe des ressources pour vous aider à vous protéger, vous préparer et éventuellement réagir en cas d’attaque :

  1. Une brève histoire du ransomware
  2. Le guide Netwalker du ransomware
  3. Comment empêcher les attaques de ransomware ?
  4. Ransomware et vol de données
  5. Données et statistiques du ransomware
  6. Outils de ransomware GitHub
  7. Attaques par ransomware Hotfix
  8. Ransomware et exfiltration de données

Comment fonctionne un ransomware ?

Pour qu’une attaque par ransomware se produise, le malware doit d’abord accéder au système, généralement via un seul terminal informatique. Cela se produit souvent via une attaque de phishing, consistant à envoyer des fichiers ou des pièces jointes qui semblent dignes de confiance. Mais lorsque l’utilisateur ouvre ou télécharge le fichier, le malware est libéré sur le terminal. Dans le cas d’attaques sophistiquées, les malwares peuvent même débloquer un accès administratif avancé, compromettant encore davantage le système.

La forme de ransomware la plus courante chiffre immédiatement les fichiers de l’utilisateur (ou de l’ensemble du système). La clé mathématique permettant de déverrouiller les fichiers n’est connue que de l’attaquant, qui accepte de la révéler une fois le paiement effectué. Souvent, il s’agit d’un virement bancaire vers une banque offshore ou d’un paiement en cryptomonnaie non traçable vers un portefeuille spécifié. Une autre variante, appelée Leakware, vole des données confidentielles et menace, en cas de non paiement de la rançon, de divulguer ces informations au public, à des concurrents ou aux autorités chargées de l’application des lois.

En bref, les ransomwares envahissent un ordinateur ou l’ensemble d’un système, retenant en otage une organisation jusqu’à ce qu’elle paie la rançon à l’attaquant.

Qui est visé par les ransomwares ?

Ceux qui pratiquent le ransomware choisissent leurs cibles en fonction de divers facteurs. Dans certains cas, les hackers choisissent simplement des cibles faibles. Soit ils ont repéré une organisation particulière et savent que ses cyberdéfenses ne sont pas optimales, soit ils choisissent un secteur d’activité en raison de ses failles en termes de cybersécurité. Les universités, par exemple, constituent de bonnes cibles parce que leurs équipes de sécurité sont plus petites et le partage de fichiers massif, ce qui fournit aux hackers un grand nombre de terminaux à exploiter.

D’autres fois, les hackers s’en prennent aux entreprises ou aux gouvernements qu’ils estiment les plus aptes ou les plus susceptibles de payer. Des grandes entreprises comme Sony — victime de l’une plus grosses attaques ransomware de l’histoire — ou les gouvernements, ont généralement suffisamment de fonds et paient le plus souvent par nécessité. D’autres institutions comme les hôpitaux sont également susceptibles de payer simplement parce que des vies sont littéralement jeu si leurs systèmes ne fonctionnent pas pendant une longue période.

Enfin, les hackers s’en prennent aux organisations connues pour être en possession d’informations sensibles dont la divulgation au grand public pourrait avoir des conséquences préjudiciables. Les fichiers et les données relatifs aux procédures judiciaires ou des données confidentielles liées à la propriété intellectuelle sont notamment ciblés, et les entreprises acceptent souvent de payer pour éviter leur divulgation. Le préjudice financier qu’une entité subirait dépasse de loin le montant de la rançon, ce qui rend ces cas extrêmement rentables pour les hackers.

Types de ransomware

Le ransomware prend de nombreuses formes différentes, a évolué au fil des ans et continue de se transformer afin de contourner les mesures de cybersécurité modernes.

Voici quelques-uns des principaux types de ransomware que vous devez connaître :

Ransomware Locker

Ce type de malware bloque les fonctions de base des systèmes et des appareils. Les fonctions du clavier et de la souris peuvent être désactivées ou les autorisations de connexion refusées. Les utilisateurs peuvent généralement interagir avec l’appareil dans la mesure où l’attaque leur permet de payer une rançon. Locky est l’un des malwares locker les plus courants. La bonne nouvelle est que ces attaques ne visent pas à détruire ou à compromettre les données. Elles visent uniquement à extorquer des fonds contre le rétablissement des différentes fonctionnalités.

Ransomware Crypto

Ces attaques visent à chiffrer des données importantes telles que des documents, des vidéos ou des photos. Bien que le fonctionnement de base du système soit préservé, les utilisateurs ne peuvent pas accéder à leurs fichiers. Seuls les hackers disposent des clés cryptographiques permettant de rétablir l’accès après paiement. Les attaques crypto peuvent s’accompagner d’un compte à rebours, indiquant que si le paiement n’est pas effectué avant que l’horloge atteigne le zéro, tous les fichiers seront supprimés.

Scareware

Dans le cadre de ces attaques, un malware infecte un ou plusieurs systèmes, puis se pose en alerte légitime, prétendant détecter une autre forme de virus ou de dysfonctionnement. Il invite ensuite l’utilisateur à effectuer un paiement à un faux service ou à une fausse société pour résoudre le problème. On l’appelle Scareware parce qu’il effraie les utilisateurs en leur faisant croire qu’il y a un vrai problème. Ceux-ci effectuent alors le paiement sans savoir qu’il s’agit d’une arnaque de ransomware. Tous les employés et le personnel devraient être formés à détecter un scareware et à réagir s’ils soupçonnent une attaque.

Doxware

Les hackers menacent de diffuser des informations confidentielles ou sensibles en ligne ou de les communiquer à divers tiers. Les attaques de doxware peuvent être très efficaces, comme nous l’avons mentionné, car souvent les entreprises estiment que les dommages financiers causés par la fuite d’informations dépasseraient le montant de la rançon. Certaines informations sont si sensibles qu’elles peuvent menacer l’existence même d’une entreprise, ce qui rend les attaques par doxware extrêmement dangereuses. Par conséquent, il est crucial pour les entreprises d’adopter des mesures de protection des données appropriées dès le départ.

Ransomware-as-a-Service (RaaS)

Ce type émergent de ransomware fonctionne presque exactement comme le Software-as-a-Service. L’acteur malveillant n’a pas besoin de compétences techniques réelles, il lui suffit d’acheter le ransomware sur le dark Web et de payer un abonnement mensuel pour l’utiliser. Les hackers peuvent alors simplement se connecter au service, sélectionner des cibles, effectuer des piratages et recevoir des paiements, le tout via une seule interface.

Actualité du ransomware

Les premières attaques de ransomware ont commencé à la fin des années 1980. Les cybercriminels obtenaient des fichiers chiffrés (parfois physiquement) et exigeaient pour les restituer une rançon envoyée par la poste. Le premier grand logiciel de ransomware connu a été le cheval de Troie SIDA, un virus PC Cyborg diffusé en 1989 sous la forme d’une disquette. En cas d’infection par le cheval de Troie SIDA, les utilisateurs devaient verser un chèque à une adresse au Panama pour restaurer l’accès à leurs systèmes.

Le ransomware a évidemment beaucoup évolué depuis lors, l’année 2021 ayant été marquée par l’une des attaques les plus sophistiquées et les plus percutantes, Colonial Pipeline. La fuite d’un mot de passe a permis de pénétrer le système de la plus grande société de pipelines pétroliers aux États-Unis, obligeant l’entreprise à payer plus de 5 millions de dollars en cryptomonnaie pour récupérer l’accès à ses systèmes.

Les attaques d’infrastructure par ransomware telles que Colonial Pipeline s’inscrivent dans une tendance, similaire à celle qui s’est produite en 2017 contre le National Health Service (NHS) britannique. Les hackers visent les organisations et les services qui sont essentiels au fonctionnement de la société, sachant bien que l’arrêt prolongé de ces systèmes a un coût qui dépasse largement la rançon qu’ils demandent. De fait, en 2020, plus de50 % des attaques ransomware ont concerné le secteur de la santé.

Les fournisseurs de services tiers et les entreprises d’externalisation risquent également d’être des cibles de plus en plus fréquentes en 2021 et au-delà. Les activités des entreprises ainsi que leurs infrastructures informatiques étant de plus en plus dispersées, les hackers chercheront les vulnérabilités partout où ils pourront les trouver. Ainsi, bien qu’une entreprise puisse avoir son siège social aux États-Unis et disposer de cyber-défenses adéquates, les attaques de ransomware peuvent toujours se frayer un chemin via un prestataire ou un data center situé en Inde ou au Brésil.

Le nombre d’attaques devrait également augmenter en 2021 et au-delà, les RaaS jouant un rôle majeur dans cette évolution. Le RaaS abaisse la résistance aux attaques de ransomware, et le marché de ces logiciels continue de se développer sur le dark Web. On peut s’attendre à ce que les attaques visent en général des cibles plus petites, les cybercriminels cherchant à obtenir des montants plus modestes de manière répétée. On ne peut cependant pas prévoir quand ni à quelle fréquence un autre incident de l’envergure du Colonial Pipeline peut survenir.

Glossaire du ransomware

Terme De quoi s’agit-il ? Quel est l’impact ?
Malware Abréviation de “malicious software” (logiciel malveillant), un malware infecte les ordinateurs avec des virus, des bogues et d’autres programmes nuisibles. Un malware empêche le fonctionnement des systèmes ou l’accès aux données, jusqu’à ce qu’une rançon soit payée.
Phishing Les fichiers ou les liens contenant des malwares sont envoyés à des utilisateurs sans qu’ils s’en doutent, généralement par courrier électronique. Si l’utilisateur clique, le malware est libéré. Les attaques de phishing peuvent viser n’importe quel utilisateur d’une organisation qui n’a pas été formé à les repérer.
Ingénierie sociale Les hackers se font passer pour des amis ou des relations sur les réseaux sociaux, pour amener l’utilisateur à divulguer des informations de connexion ou autres. Les hackers utilisent l’ingénierie sociale pour tirer parti de la faiblesse humaine et trouver une voie d’accès aux systèmes.
Whaling Une attaque de phishing qui cible les membres clés d’une organisation ou d’une entreprise pour mener une attaque d’envergure. Les dirigeants disposent souvent d’informations de haute valeur sur leurs appareils et peuvent être des cibles priviégiées de ransomware.
Troie Un fichier ou un logiciel qui semble légitime et contourne les défenses, mais qui contient un code de ransomware. Les téléchargements de logiciels externes doivent être contrôlés avec précaution pour détecter les malwares de type cheval de Troie.
Doxing Le hacker ransomware menace de divulguer des informations confidentielles. Les entreprises doivent identifier et protéger les informations les plus vulnérables aux attaques de type doxing.
Lockerware Logiciel malveillant qui bloque l’accès des utilisateurs aux données ou aux systèmes essentiels jusqu’au paiement d’une rançon. L’une des attaques de ransomware les plus courantes contre lesquelles vous devez vous protéger.

 

Comment supprimer un ransomware ?

Si vous êtes victime d’une attaque de ransomware, vous pouvez prendre certaines mesures pour neutraliser le malware et éventuellement le supprimer de votre système. La première étape consiste à déconnecter immédiatement les appareils et les systèmes d’Internet. Cela inclut les appareils sans fil, les disques durs externes, les supports de stockage et les comptes cloud. Une déconnexion complète peut empêcher la propagation du ransomware sur votre réseau.

Ensuite, vous devrez effectuer une analyse antivirus complète de vos systèmes et appareils à l’aide du logiciel de sécurité Internet que vous utilisez. Cela vous aidera à identifier la menace et à mettre en quarantaine le malware avant qu’il ne puisse pas prendre d’autres mesures comme le verrouillage de l’appareil ou la destruction des fichiers. Vous pouvez ensuite supprimer ces fichiers et programmes automatiquement à l’aide de votre logiciel ou manuellement si nécessaire.

En cas d’attaque de crypto-ransomware, vous devrez utiliser un outil de décryptage pour récupérer l’accès à vos données. Une fois que vous avez déchiffré vos fichiers, l’attaquant perd son moyen de pression pour vous extorquer des fonds. Et dans le cas du Lockerware, les utilisateurs doivent redémarrer leurs appareils en mode sécurisé. Cela peut parfois permettre de contourner le malware et de naviguer vers les programmes antivirus du bureau pour mettre en quarantaine et supprimer le malware.

Conclusion

Les attaques de ransomware sont de plus en plus nombreuses et sophistiquées, comme l’illustre l’incident de Colonial Pipeline. Les organisations des secteurs public et privé doivent redoubler d’efforts pour protéger leurs systèmes et leurs donnéesafin d’empêcher ces attaques. Il ne suffit pas de se rassurer en installant uniquement un antivirus ou en recrutant une petite équipe chargée d’assurer la sécurité des informations.

Vous devrez créer une culture interne de vigilance contre les malwares, mettre à jour en permanence vos technologies de cybersécurité et rechercher des partenaires expérimentés en cyberdéfense. C’est indispensable si vous voulez garder une longueur d’avance et éviter de rétribuer des millions de cybercriminels simplement pour rétablir l’accès à vos systèmes et données en ligne.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

ransomware-cerber-:-ce-que-vous-devez-savoir
Ransomware Cerber : ce que vous devez savoir
Qu’est-ce que Cerber ? Le ransomware Cerber est un ransomware-as-a-service (RaaS), c’est-à-dire que le hacker en diffuse des licences sur Internet et partage la rançon avec le développeur. Moyennant 40 % du montant...
la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-21-juin
La semaine dernière, dans l’actualité du ransomware : semaine du 21 juin
Actualité du ransomware En lançant son ransomware contre une infrastructure américaine, le groupe Darkside s’est attiré les foudres de la justice américaine, qui a fini par le démanteler en mai....
la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-12-juillet
La semaine dernière, dans l’actualité du ransomware : semaine du 12 juillet
L'édition précédente de « La semaine dernière, dans l'actualité du ransomware », était morose suite à l'attaque du ransomware REvil. Mais cette semaine, nous avons eu l'agréable surprise d'apprendre que même si ce genre d'attaque représente une menace croissante, l'attaque de REvil n'a pas été aussi dévastatrice que prévu.
la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-9-août
La semaine dernière, dans l’actualité du ransomware : semaine du 9 août
Cette semaine a vu apparaître BlackMatter, un nouveau groupe de ransomware, et a démontré que même les groupes de ransomware devraient faire attention aux employés mécontents.