Les ransomwares et leur impact sur vos activités
Les ransomwares constituent une menace pour toutes les entreprises. Cependant, compte tenu de l’inefficacité voire de l’absence de logiciels antivirus ou d’une formation appropriée, certaines entreprises sont plus vulnérables qu’elles ne le pensent. Dans cet article, nous vous expliquons ce que sont les ransomwares, comment ils attaquent les réseaux et comment vous pouvez protéger votre entreprise contre cette menace latente.
Qu’est-ce qu’un ransomware ?
Un ransomware est un type de malware que les cybercriminels utilisent pour infecter un appareil ou un réseau à l’aide d’un logiciel malveillant qui chiffre les fichiers et convertit de précieuses données en code illisible. Ces données sont alors « prises en otages » par les malfaiteurs qui ne les déchiffreront qu’après le paiement d’une rançon.
De nombreuses personnes se demandent si les ransomwares sont des virus. La réponse est non. Les ransomwares et les virus sont deux formes de malware présentant des méthodes d’attaque différentes ; un virus infecte des fichiers, tandis qu’un ransomware les chiffre.
Une attaque par ransomware peut entrer via un e-mail de phishing, c’est-à-dire un e-mail envoyé avec un « leurre » pour appâter les victimes, ou un téléchargement furtif, c’est-à-dire un malware qui est téléchargé à l’insu de l’utilisateur lorsqu’il consulte un site Web infecté.
Qu’est-ce qu’un ransomware d’entreprise ?
Ce type de ransomware désigne une attaque ciblant une entreprise ou une organisation. Les entreprises représentent la cible privilégiée des cybercriminels, car elles sont la promesse d’une forte récompense. Cependant, les particularités varient en fonction de la cible.
La raison pour laquelle les cybercriminels ciblent les entreprises plutôt que les particuliers tient en grande partie au mode de diffusion des ransomwares et aux gains qu’ils peuvent tirer de leur méfait. Comment se propage donc un ransomware ? Le malware est téléchargé sur un appareil lorsqu’un utilisateur ouvre un e-mail et/ou clique sur une URL douteuse. En règle générale, au sein d’une grande entreprise comptant de nombreux employés (et donc de personnes susceptibles de cliquer), il y a plus de chances que le ransomware parvienne à s’implanter. Cependant, il est probable que ces grandes entreprises disposent de mesures de sécurité plus robustes, compte tenu de ce risque accru et aussi d’un budget plus important.
La valeur des données des grandes entreprises constitue un autre facteur de risque. Elles possèdent certainement de grandes quantités de données sensibles et toute perturbation entraînerait d’énormes coûts opérationnels. C’est pourquoi, il y a plus de chances qu’elles paient une rançon, que l’on peut aisément imaginer très élevée. Ainsi, une attaque par ransomware ciblant un hôpital rapportera probablement plus à un cybercriminel que l’attaque d’un fleuriste de quartier.
Histoire des ransomwares
De l’avis général, l’histoire des ransomwares commence en 1989 avec un virus connu sous le nom de « AIDS Trojan ». Au cours d’une attaque orchestrée par le biologiste Joseph Popp, 20 000 disquettes contenant un cheval de Troie furent distribuées lors d’une conférence de l’Organisation mondiale de la santé sur le sida. Une fois l’ordinateur infecté, une demande de rançon apparaissait sur l’écran, invitant la victime à envoyer 189 dollars à une boîte postale au Panama.
Depuis les années 1980, la technologie a bien évolué et les cybercriminels ne doivent plus utiliser une boîte postale pour se faire verser la rançon. Aujourd’hui, les demandes de rançon sont payées en bitcoin, et les malwares sont adaptés pour être plus dangereux et entraîner encore plus de perturbations, en se comportant, par exemple, comme des vers et en employant des techniques d’infection novatrices. Les protections contre les ransomwares s’adaptent également pour assurer une meilleure défense contre ces attaques toujours plus élaborées.
Types de ransomwares
Il existe plusieurs types de ransomwares, les attaques pouvant cibler des PME, des grandes entreprises ou des prestataires de soins de santé gérés par l’État. Le montant de la rançon peut également varier de quelques centaines à plusieurs millions de dollars.
Ransomware CryptoLocker
CryptoLocker existe depuis 2013 et il est considéré comme le premier exemple de ransomware depuis l’attaque menée en 1989. L’introduction des cryptomonnaies dans les années 2010 a permis aux cybercriminels de demander le versement de rançons via un mode de paiement intraçable. CryptoLocker fut la première attaque par ransomware à utiliser un chiffrement avancé et à inclure une demande de rançon avec des instructions de paiement en bitcoin.
L’attaque, qui a duré de septembre au mois de mai de l’année suivante, a infecté 250 000 appareils, pour un butin estimé à au moins 3 millions de dollars. CryptoLocker se manifeste en affichant une demande de rançon à l’écran.
Ransomware Ryuk
Le ransomware Ryuk est apparu en 2018. Il est dérivé du cheval de Troie Hermes, dont la première utilisation connue remonte à 2017. Si Hermes fut utilisé dans le cadre d’une attaque menée par un groupe cybercriminel parrainé par l’État nord-coréen, on estime généralement aujourd’hui qu’il a été développé en Russie.
En 2021, une nouvelle variante « de type ver » de Ryuk, capable d’infecter plusieurs appareils à mesure que le programme propage des versions uniques de lui-même, a été observée.
Ransomware WannaCry
Il est facile de savoir que votre appareil a été infecté par le ransomware WannaCry : le message « Oops, your important files are encrypted » s’affiche à l’écran. La première attaque, qui remonte à 2017, a infecté plus de 230 000 ordinateurs en un seul jour.
Au cours de chaque attaque, les cybercriminels demandent 300 dollars en bitcoin pour déchiffrer les fichiers, le montant de la rançon étant multiplié par deux si le paiement n’est pas effectué à temps. WannaCry est également un malware de type ver qui peut se propager automatiquement sur les réseaux.
Ransomware Sodinokibi
Sodinokibi est le nom de famille de ransomwares qui ciblent les ordinateurs Windows. Si vous êtes infecté par le ransomware Sodinokibi, connu également sous le nom de REvil, une demande de rançon s’affiche sur votre écran, vous invitant à verser une certaine somme en bitcoin pour déchiffrer tous vos fichiers. Ce malware cible tout le contenu de l’ordinateur, à l’exception des éléments répertoriés dans son fichier de configuration. Il fut utilisé pour la première fois en 2019.
Ransomwares Dharma et Phobos
Les PME constituent la cible privilégiée du ransomware Dharma, connu aussi sous le nom de CrySiS. La somme demandée est peu élevée pour augmenter la probabilité que les victimes paient la rançon.
L’attaque, observée pour la première fois en 2016, est généralement menée via le protocole RDP (Remote Desktop Protocol). Le malware a servi à créer le ransomware Phobos, dont le mode opératoire est le même.
Ransomware Petya
Pour fonctionner, le ransomware Petya doit chiffrer les fichiers. Si d’autres malwares chiffrent des données spécifiques, Petya peut cibler l’intégralité de votre disque dur et empêcher votre ordinateur de fonctionner. La première utilisation de ce ransomware remonte à 2016, mais il s’est surtout fait connaître en 2017 avec une nouvelle variante baptisée GoldenEye.
Ransomware Cerber
Cerber est un exemple de ransomware-as-a-service (RaaS, ou ransomware en tant que service) basé sur le modèle SaaS (ou logiciel en tant que service). Les créateurs du malware accordent à d’autres cybercriminels le droit d’utiliser Cerber et, en échange, reçoivent une partie de la rançon. Une fois l’ordinateur infecté, la demande de rançon Cerber s’affiche à l’écran. Le malware peut également chiffrer des fichiers sur des partages réseau non mappés.
Ransomware Locky
Détecté pour la première fois en 2016, le ransomware Locky se propage via des e-mails. Il est connu pour avoir ciblé un hôpital de Los Angeles. Le montant de la rançon était de 17 000 dollars. Par la suite, d’autres attaques ont ciblé plusieurs organismes de santé. Cependant, aucune attaque de grande envergure n’a été menée depuis cette vague initiale.
Études de cas de ransomwares
Les ransomwares ont eu un énorme impact sur le paysage numérique, délestant au fil des ans les victimes de plusieurs milliards de dollars. Passons en revue quelques-unes des attaques par ransomware les plus coûteuses et ayant entraîné le plus de perturbation :
- Septembre 2013, Cryptolocker : Premier ransomware à être désigné comme tel, le malware CryptoLocker est le lointain successeur du cheval de Troie SIDA (ou AIDS Trojan) apparu en 1989. Le FBI et Interpol ont été mis à contribution pour le stopper.
- Mai 2017, NHS (système de santé publique du Royaume-Uni) : Au cours d’une attaque WannaCry mondiale, le système de santé publique britannique fut victime de l’une des pires attaques de ce type perpétrées au Royaume-Uni. L’arrêt des systèmes contraignit le personnel à annuler les rendez-vous, et à réutiliser du papier et un crayon. Au total, l’attaque WannaCry a infecté 200 000 ordinateurs dans 150 pays, pour un coût global de 4 milliards de dollars ; dont 120 millions pour le NHS.
- Mars 2018, ville d’Atlanta : L’administration de la ville d’Atlanta fut la cible de l’attaque par le ransomware SamSam en 2018. Les coûts engagés pour répondre à l’attaque (2,6 millions de dollars) furent supérieurs au montant de la rançon demandée (environ 50 000 dollars).
- Mai 2019, ville de Baltimore : En 2019, Baltimore fut la cible de l’attaque par le ransomware RobbinHood qui toucha la plupart des ordinateurs de l’administration de la ville. Le montant de la rançon s’élevait à 13 bitcoins (76 280 dollars de l’époque), une somme qui augmenterait si la demande n’était pas satisfaite sous quatre jours. En l’absence de paiement dans les 10 jours, toutes les données seraient définitivement supprimées. Au final, les systèmes furent remis en service sans que la ville ne paie la rançon.
- Juin 2020, Université de Californie à San Francisco : Après avoir lutté pendant un mois contre le ransomware Netwalker, l’université dut se résoudre à payer une rançon de 1,14 million de dollars. La rançon initiale était de 4 millions de dollars, mais l’université parvint à négocier une baisse du montant.
- Septembre 2020, DUC : L’attaque Ryuk contre le prestataire de soins de santé allemand Düsseldorf University Clinic a entraîné la mort d’un patient qui n’a pas pu avoir accès aux soins.
- Avril 2021, Quanta : Le fabricant de Macbook Quanta, victime de la récente attaque par le ransomware Sodinokobi, a fait l’objet d’une demande de rançon de 50 millions de dollars. Face au refus de paiement, les cybercriminels ont finalement rendu publiques les informations du Macbook.
Coûts d’une attaque par ransomware
Être victime d’une attaque par ransomware est une mauvaise nouvelle pour les finances de votre entreprise. En effet, outre le paiement de la rançon, il se peut que vous soyez sanctionné par les organismes de contrôle de la confidentialité des données ou que vous perdiez des contrats en raison de l’impact négatif sur la confiance des clients.
Selon Cybersecurity Ventures, le coût des attaques par ransomware se serait élevé à 20 milliards de dollars en 2021. On estime également que toutes les 11 secondes, une entreprise est attaquée par un malware. De plus, les entreprises européennes risquent des sanctions supplémentaires pour non-respect du RGPD. En 2020, le régulateur européen a infligé à British Airways une amende de 20 millions de livres ; un montant toutefois bien moins important que les 183 millions de livres prévus initialement.
Comme si la perte d’argent ne suffisait pas, de nombreuses entreprises, surtout les plus petites, éprouvent d’énormes difficultés à récupérer leurs systèmes. Environ 60 % des petites entreprises ferment après avoir été victimes d’une violation de données. En 2020, The Heritage Company, une société de télémarketing de l’Arkansas, a dû cesser ses activités à la suite d’une attaque par ransomware subie un an plus tôt. Coûts de gestion de l’attaque, opérations de récupération, perte de clientèle… La récupération en cas d’attaque par ransomware peut avoir de lourdes répercussions sur une entreprise.
Comment un ransomware pénètre-t-il dans une entreprise ?
En l’absence de mesures de sécurité efficaces, une entreprise est vulnérable aux cyberattaques.
Le manque de formation du personnel constitue une vulnérabilité majeure pour les entreprises. Si les employés ne savent pas comment identifier un e-mail suspect, détecter un ransomware et signaler un problème, ils courent le risquent d’infecter des appareils et l’ensemble du réseau. Les membres du personnel ne sont peut-être pas conscients que leurs appareils peuvent être la cible d’attaques, ni des risques de ransomware sous Mac ou Linux. Ces deux systèmes ont la réputation d’être mieux protégés que Windows, mais le risque de cybermenace existe quand même.
Les applications tierces peuvent également constituer un point d’entrée à votre réseau pour les cybercriminels. Il peut, en effet, s’avérer plus facile d’accéder à une application qu’à votre système, puis d’utiliser cette brèche pour infecter vos appareils avec un malware.
Puisque le personnel peut créer des vulnérabilités, l’entreprise doit s’équiper d’un antivirus fonctionnel capable de la protéger contre les logiciels malveillants en cas de téléchargement accidentel. Les logiciels doivent être mis à jour régulièrement (ou des « correctifs » doivent être appliqués) afin de corriger les bogues et de traiter les vulnérabilités. Un logiciel non corrigé peut en effet créer des brèches dans vos défenses.
Comment empêcher une attaque par ransomware ?
Il existe de nombreux moyens pour protéger efficacement votre entreprise contre une attaque par ransomware et éviter de devenir une cible. Lors de nombreuses cyberattaques, les criminels parviennent à accéder à un réseau en raison de mauvaises pratiques informatiques. En voici quelques-unes :
- Formation insuffisante du personnel
- Faiblesse des identifiants
- Accorder trop d’accès à des applications tierces
- Absence de pare-feu efficaces
- Antivirus inexistant
- Pas de mises à jour ni de correctifs des logiciels
C’est pourquoi il est essentiel d’adopter une sécurité opérationnelle. La formation du personnel et l’utilisation d’identifiants efficaces vont de pair. Le personnel doit être formé aux meilleures méthodes d’accès au réseau, en particulier dans le cadre du télétravail, mais aussi savoir comment détecter des e-mails de phishing, signaler des activités suspectes et créer des mots de passe forts. Tout cela doit être exposé clairement dans un plan de continuité d’activité et, comme il vaut mieux prévenir que guérir, il est judicieux d’élaborer des plans de récupération après incident informatique et de continuité d’activité. Voici d’autres mesures pour empêcher une attaque par ransomware :
Symptômes d’une attaque par ransomware
Une infection par un ransomware peut se manifester de bien des façons. La plus évidente est, bien évidemment, la demande de rançon. Voici d’autres signes révélateurs d’une infection :
-
La réception d’e-mail de spoofing ou de harponnage est un signe que vous êtes la cible de cybercriminels
- Si vous êtes victime de cyberattaques à petite échelle, apparemment sans danger, cela peut indiquer que des cybercriminels cherchent des failles avant de mener une attaque de grande envergure
- Votre antivirus vous informe d’une activité suspecte
- Vous recevez des notifications de tentatives de connexion suspectes non reconnues
-
Vous constatez l’apparition d’un ou de plusieurs nouveaux logiciels sur votre réseau
- Les programmes de suppression de logiciels, tels que GMER, PC Hunter et Process Hacker, sont souvent utilisés par les cybercriminels pour supprimer, par exemple, la protection contre les ransomwares de Windows 10
- Des applications telles que Microsoft Process Explorer et MimiKatz peuvent être utilisées pour voler des identifiants.
Que faire si vous êtes victime d’une attaque ?
Si vous êtes la cible d’une attaque par ransomware, voici la marche à suivre :
- Signaler l’attaque. Assurez-vous que votre personnel est en mesure de reconnaître une cyberattaque et d’en informer l’équipe.
- Comprendre la situation et détecter le malware. Essayez de détecter le malware à l’origine de l’infection du système pour savoir comment mieux vous protéger et/ou prendre les mesures appropriées pour le supprimer
- Arrêtez la source de l’infection. Identifiez l’appareil à l’origine de l’attaque et déconnectez-le du réseau afin de réduire les risques de propagation du malware
- Contenir l’attaque. Déconnectez du réseau tous les autres appareils qui pourraient être impactés par l’attaque afin d’empêcher la propagation du malware à plus grande échelle
- Essayer de déchiffrer les données et de supprimer le ransomware. Cette tâche doit être confiée à une équipe de sécurité fiable, sans quoi la situation risque d’empirer.
- Faire appel à un tiers. Il se peut qu’un expert externe puisse récupérer vos fichiers et vous éviter ainsi de payer la rançon.
Protégez votre entreprise contre les ransomwares avec les solutions de cybersécurité Avast Small Business
Un outil de cybersécurité efficace est essentiel pour les entreprises de toute taille. Les solutions Avast Small Business détectent les fichiers malveillants et empêchent les attaques par ransomware. Protégez sans attendre les appareils et les données de votre entreprise.