Qu’est-ce qu’un ransomware ?

Le mot “ransomware” est un terme anglais désignant un logiciel pirate exigeant une rançon. En Français, on parle de “rançongiciel”. Ce code malveillant fait partie des dispositifs régulièrement utilisés par les cybercriminels dans leurs actions menées contre les entreprises ou les particuliers, et représente environ 50% des cas de cyberattaques réussies.

Qu’est-ce qu’un ransomware ?

Un ransomware est un logiciel malveillant permettant à des pirates d’extorquer de l’argent à leurs victimes en “prenant en otage” leurs données personnelles ou professionnelles. Pour y parvenir, le rançongiciel “s’empare” des données, puis les chiffre. Le cyber-attaquant exige ensuite de sa victime le paiement d’une rançon s’il souhaite obtenir la clé de déchiffrement.

Certains ransomwares ne prennent pas en otage des données en particulier, mais bloquent tout simplement l’accès à un ordinateur ou un serveur. L’utilisateur se voit alors privé de toutes ses données, car sa machine est rendue indisponible.

Les premiers ransomwares modernes (par Internet) sont apparus au début des années 2000. Depuis, les attaques se sont multipliées. L’une des plus connues a été perpétrée en 2017 sous le nom évocateur de WannaCry. Cette attaque a touché plus de 300 000 ordinateurs dans plus de 150 pays, en exploitant une faille de Windows. Le principe reposait sur l’envoi massif d’e-mails accompagnés d’une pièce jointe piégée. Celle-ci “s’introduisait” ensuite dans le système. De nombreuses entreprises en ont été victimes. Parmi elles, Renault, Fedex ou encore Vodafone…

Quel est le but d’un ransomware ?

La grande majorité des attaques par rançongiciel est opportuniste, et profite du faible niveau de maturité des victimes en matière de sécurité numérique ou de l’absence de dispositifs de protection suffisants (pare-feu, antivirus). Cependant, on observe une croissance de ces attaques menées par des groupes cybercriminels qui, après avoir ciblé les particuliers, s’en prennent désormais aux organisations dont les moyens financiers sont importants ou dont les activités présentent un caractère particulièrement critique (hôpitaux, installations énergétiques…).

L’objectif du ransomware, comme son nom l’indique, est d’obtenir une rançon en échange du rétablissement d’un service ou de la récupération des données confisquées. Pour cela, le cyber-attaquant joue sur la panique provoquée par la privation brutale des accès aux données. Certains groupes criminels associent même la menace de publication de données sensibles à leurs rançongiciels, afin d’accroître la pression exercée sur leurs victimes.

Mais le préjudice subi par les entreprises victimes de ransomwares peut aller bien au-delà du simple paiement d’une rançon : arrêt de la production, impact sur le chiffre d’affaires, risques juridiques (conformité au RGPD), altération de l’image de marque, perte de confiance des clients, etc. De plus, la promesse d’un retour à la normale garantie par le hacker est rarement respectée.

Découvrez en 1 min pourquoi la cybersécurité doit être une priorité pour les entreprises !

Comment fonctionne une attaque par ransomware ?

Les techniques utilisées par les cybercriminels peuvent varier. Leur point commun est qu’elles exploitent toujours une faille sécuritaire ou une baisse de vigilance de l’utilisateur pour extorquer de l’argent ou de la monnaie virtuelle (comme les bitcoins).

Téléchargement furtifs

Les attaques par téléchargements furtifs, également appelées “drive by download”, invitent la victime à télécharger très rapidement un code malveillant à son insu. Généralement, ce téléchargement furtif se produit lors de la visite d’un site web, de l’ouverture d’une pièce jointe ou encore d’un clic sur un lien en pop-up trompeur. Le contenu malveillant exploite alors les vulnérabilités du navigateur web ou de ses plugins pour télécharger sur l’ordinateur de la victime le logiciel compromis.

Phishing

Les attaques par phishing, aussi appelées “hameçonnage”, reposent sur un principe simple. Elles exploitent la baisse de vigilance de la victime. En se faisant passer pour votre banque, un site marchand que vous fréquentez souvent ou même un collaborateur de votre entreprise, les cybercriminels vous incitent à cliquer sur un lien frauduleux. Concrètement, vous recevez un faux SMS de livraison, ou un e-mail d’un site marchand qui vous encourage à cliquer sur un lien frauduleux ou une pièce-jointe infectée. C’est ainsi que le pirate installe sans encombre son code malveillant sur votre machine, et qu’il peut ensuite vous faire chanter, ou récupérer des données personnelles (mots de passe, codes bancaires, adresses, etc.) pour constituer une base de données qu’il revendra sur le dark web. Ces bases de données permettent par la suite aux pirates de mieux cibler leurs campagnes de ransomware.

Visant initialement les particuliers, les attaques par phishing ciblent aujourd’hui de nombreuses entreprises. Le contexte sanitaire de l’année 2020 a fait exploser le nombre de ces attaques avec une augmentation de 667% dès le début du premier confinement(1). En effet, les sujets anxiogènes comme la crise du Covid ont donné de la matière aux cyber-attaquants pour créer des contenus “aguicheurs” pour mieux piéger leurs victimes.

Ingénierie sociale

Les attaques par ingénierie sociale reposent sur le principe de la manipulation des victimes. Vous recevez alors un e-mail ou un message qui semble provenir d’une personne faisant partie de vos contacts. Ce message vous encourage à cliquer sur un lien malveillant ou à entrer des données privées sur un site frauduleux.

Ces pratiques s’apparentent à du piratage psychologique (ou de l’abus de confiance) exploitant les faiblesses affectives, sociales ou organisationnelles des particuliers ou des entreprises pour obtenir des données critiques comme l’accès à un compte bancaire ou à des données sensibles.

Publicités malveillantes

Les attaques par publicité malveillante sont également appelées “malvertising”. Le principe repose sur l’encapsulation d’un logiciel malveillant dans une publicité présente sur un site parfaitement recommandable (à ne pas confondre avec le Spam, qui lui est juste gênant, et pas malicieux).

Ainsi, la cybermenace peut venir d’une annonce publiée sur un site de presse grand public dans laquelle le pirate a inséré son malware. C’est ainsi que la menace échappe aux différents pare-feux, car elle est présente sur des plateformes qui ne sont pas reconnues par les systèmes de sécurité.

Le « malvertising » est une aubaine pour les attaquants, parce qu’il permet de transmettre des logiciels malveillants au moyen de nombreux sites légitimes sans trop de difficultés.

Les différents types de ransomwares

Il existe différents types de ransomwares :

Les cryptomalwares

Les cryptomalwares sont les malwares les plus courants. Ils utilisent un système de chiffrement de données pour rendre impossible l’accès aux données par la victime. C’est la technique utilisée par le célèbre ransomware WannaCry.

Les bloqueurs

Les bloqueurs, ou cryptolockers, installent un programme malveillant sur la machine de l’utilisateur pour la paralyser totalement. Il ne s’agit pas seulement de la privation de certaines données, mais de l’incapacité totale d’utiliser l’appareil. L’attaque la plus connue de ce type est le ransomware Peyta qui a permis aux criminels de compromettre plus de 200 000 comptes bancaires.

Les doxwares

Les doxwares fonctionnent en effectuant une copie des données personnelles sensibles, comme des photos ou des vidéos. Suite à cette copie, la victime reçoit un e-mail l’informant que, sans paiement de la rançon, ses photos personnelles seront divulguées à un média ou à son entourage.

Pendant les divers confinements, ce type d’attaque a été particulièrement utilisé avec une petite variante : les attaquants prenaient le contrôle de la caméra de l’utilisateur pour le filmer dans son intimité.

Les scarewares

LLes scarewares fonctionnent grâce à un faux logiciel qui prétend être victime d’un dysfonctionnement. Celui-ci vous encourage à charger un programme pour le réparer. C’est ainsi qu’il s’introduit dans votre système.

Comment se débarrasser d’un ransomware ?

Voici 5 règles à suivre pour se débarrasser d’un ransomware :

1. Dès l’apparition d’un message ou d’un changement de fond d’écran, déconnectez Internet en désactivant le Wi-Fi ou en débranchant le câble réseau Ethernet.

2. Ne payez pas la rançon demandée ! En effet, il est impossible de savoir si les attaquants tiendront parole et de plus, il est courant qu’ils laissent un virus dormant dans le but de revenir plus tard.

3. Récoltez le plus d’informations possible pour identifier le ransomware, et chercher si la clé de déchiffrement est connue. Vous pouvez ainsi procéder à une capture d’écran ou une photo de l’avertissement, noter les e-mails, les URL ou les coordonnées bitcoin qui y figurent.

4. Une fois la menace identifiée, vous pourrez vous adresser à des experts de la sécurité et des éditeurs proposant des outils de déchiffrement, comme les instances gouvernementales dédiées comme l’ANSSI, par exemple.

5. Ensuite, il est vivement conseillé de procéder à un redémarrage complet de la machine, et de vérifier l’intégrité des sauvegardes.

La prévention est la meilleure des solutions contre les ransomwares

En matière de sécurité informatique, qu’il s’agisse d’attaques DDoS ou de mails frauduleux, la meilleure des stratégies est surtout la prévention et l’anticipation. C’est pourquoi il est important de procéder à :

1 – Une sauvegarde régulière de vos données

2 – Une mise à jour systématique de vos logiciels car les éditeurs mettent également à niveau leurs paramètres de sécurité

3 – La sensibilisation régulière et prolongée dans le temps de vos collaborateurs vis-à-vis des messages frauduleux, ou des extensions douteuses des fichiers qu’ils peuvent recevoir

4 – L’adoption d’un système de messagerie externalisée pour limiter le risque de faille sécuritaire, voire l’ajout d’un relais de messagerie sécurisé.

Les solutions de Bouygues Telecom Entreprises pour protéger votre entreprise du ransomware

Pour protéger votre entreprise contre les ransomwares, Bouygues Telecom Entreprises développe des outils de tests permettant d’identifier les éventuelles failles dans la sécurité de votre réseau.

Grâce à l’organisation de fausses campagnes de phishing, testez le comportement de vos collaborateurs face aux e-mails à risque. Nous procédons, en effet, à l’envoi de campagnes d’e-mails de phishing factices pour évaluer comment vos collaborateurs réagissent. Nous vous proposons ensuite l’analyse des résultats et la mise en place d’actions de sensibilisation des collaborateurs aux menaces et attaques potentielles.

Nos tests de vulnérabilité et d’intrusion vous permettent par ailleurs d’identifier les failles de sécurité potentielles à l’intérieur de votre réseau d’entreprise. Obtenez la cartographie de vos failles sécuritaires et l’analyse de l’étanchéité de votre système d’information. Vous pourrez ensuite bénéficier d’une recommandation personnalisée et d’un accompagnement à l’amélioration continue de la sécurité informatique de votre entreprise.

Découvrez les solutions de sécurité de Bouygues Telecom Entreprises
En savoir plus

keyboard_arrow_down Mentions légales

(1) Source : https://www.lemondeinformatique.fr/actualites/lire-avec-le-coronavirus-le-phishing-augmente-de-667-en-mars-78582.html

chevron_left Voir toutes les définitions