Qu'est-ce qu'un ransomware ?

Ransomware, définition

Un ransomware est une forme de paiement malveillant qui décrit le mieux l'intention malveillante des acteurs de la menace qui cherchent à extorquer un paiement à la victime parce qu'ils ont réussi à prendre le contrôle des données ou des systèmes de la victime. Une crypto-monnaie est généralement demandée pour le paiement de la rançon.


L'attaquant peut utiliser plusieurs vecteurs d'attaque et le défaut de paiement peut avoir des conséquences, notamment les menaces suivantes :

  • Extraire et publier les données de la victime
  • Exposer les vulnérabilités de la victime et les pratiques opérationnelles qui ont conduit à la compromission
  • Chiffrer les données de la victime et en bloquer l'accès de façon permanente
  • Prendre le contrôle administratif ou racine et désactiver définitivement les systèmes compromis

En général, les acteurs malveillants cherchent à obtenir des paiements parce que leurs actions peuvent compromettre les systèmes informatiques et nuire au fonctionnement normal de leurs victimes. Bien que les logiciels malveillants soient l'une des principales méthodes d'attaque, plusieurs incidents de ransomware se sont produits sans l'utilisation de logiciels malveillants - par exemple, des incidents de ransomware avec cyber extorsion par la menace d'une attaque par déni de service (DoS) ou d'un défigement de site web. Les ransomwares en tant que service (RWaaS) ont également fait leur apparition, les acteurs de la menace ayant créé un modèle commercial permettant de lancer une attaque ciblée contre un individu ou une entreprise en tant que service payant.

Comment fonctionne un ransomware

Les ransomwares sont généralement diffusés via des e-mails de phishing ou des téléchargements de type « drive by ». Les e-mails de phishing semblent légitimes et dignes de confiance et incitent la victime à cliquer sur un lien malveillant ou à ouvrir une pièce jointe. Un drive-by download est un programme qui se télécharge automatiquement depuis Internet sans le consentement des utilisateurs et à leur insu. Il est possible que le code malveillant s'exécute après le téléchargement, sans aucune interaction de l'utilisateur. Une fois le code malveillant exécuté, l'ordinateur de l'utilisateur est infecté par un ransomware.

Le ransomware identifie ensuite les lecteurs du système infecté et commence à chiffrer les fichiers de chaque lecteur. Le chiffrement s'accompagne généralement d'une extension unique des fichiers cryptés, telle que .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault ou .petya. Une fois le chiffrement terminé, le ransomware crée et affiche un fichier ou un ensemble de fichiers contenant des informations et des instructions sur les conditions de l'attaque par le ransomware. Par exemple, une fois que la victime a rempli les conditions du ransomware, l'acteur de la menace peut fournir une clé cryptographique pour que la victime puisse déverrouiller les fichiers cryptés.

Comment les entreprises peuvent mieux résister aux attaques par ransomware

Une hygiène de sécurité de base et des pratiques opérationnelles saines peuvent aider les entreprises à prévenir les incidents liés aux ransomwares et à limiter les pertes financières, les temps d'arrêt et les perturbations.

Plusieurs points de vulnérabilité existent parmi les propres utilisateurs d'une entreprise. Les entreprises gagneraient à former les utilisateurs individuels à des pratiques sûres en matière de courrier électronique et de navigation sur Internet. Il est également important de former les utilisateurs à une utilisation sûre des plateformes de médias sociaux afin qu'ils sachent qu'un acteur malveillant peut utiliser les informations disponibles publiquement à leur sujet pour les cibler, eux ou d'autres membres de leur entreprise.

Pour renforcer les pratiques sûres, les entreprises peuvent mettre en place des contrôles techniques pour les différents systèmes que les attaquants utilisent pour propager les logiciels malveillants. Voici quelques exemples de contrôles techniques :

  • Mise en œuvre d'outils et de techniques de filtrage pour les e-mails et les plateformes de communication afin d'empêcher la diffusion de logiciels malveillants à leurs utilisateurs
  • Mise en œuvre de l'analyse anti-malware, des services de validation des liens et des techniques de sandboxing pour les serveurs de messagerie et les passerelles Internet
  • Définition et application de stratégies concernant le téléchargement et l'utilisation de codes externes et non fiables dans leur environnement, afin d'empêcher la compromission des systèmes par l'installation de logiciels malveillants ou l'exécution de scripts malveillants

Outre l'utilisation de produits de protection des points d'accès mis à jour, les entreprises doivent mettre en place des systèmes de gestion des identités et des accès (IAM), avec une approche de sécurité de type « confiance zéro ». Grâce à une authentification forte et à l'application des principes du moindre privilège, les entreprises peuvent maintenir un contrôle strict sur les systèmes critiques et les magasins de données sensibles.

En plus de contrôles d'accès stricts, les entreprises doivent imposer des limites aux outils de collaboration, aux ressources de partage de fichiers et aux autres systèmes couramment utilisés. Les entreprises peuvent imposer des défis d'authentification supplémentaires lorsque cela est nécessaire. L'élimination des connexions anonymes, des comptes génériques et de l'utilisation d'informations d'identification faibles, associée à un contrôle strict des comptes privilégiés tels que les comptes root et admin du système d'exploitation ou les comptes DBA, est essentielle pour maintenir une position de sécurité forte.

Les entreprises doivent définir et maintenir des bases de configuration de sécurité connues et déployer des systèmes conformément aux directives de configuration de sécurité. Comme les charges utiles malveillantes ciblent souvent des vulnérabilités logicielles connues, il est important d'appliquer rapidement les correctifs de sécurité.

Enfin, une autre bonne pratique qui aidera une entreprise à se remettre d'un ransomware est de stocker les sauvegardes séparément et sur un autre système d'exploitation afin qu'elles ne soient pas accessibles depuis le réseau.

Que faire si votre entreprise est la cible d'une attaque par ransomware

Lorsque les entreprises découvrent un ransomware, elles doivent tenter de limiter la propagation de la charge utile malveillante :

  • Isoler le(s) système(s) infecté(s) et le(s) retirer et le(s) désactiver de tous les réseaux
  • Remédier en temps utile à toutes les vulnérabilités liées au partage de fichiers et mettre hors ligne tout système d'exploitation non pris en charge
  • Examiner la chaîne de confiance qui existe entre les systèmes informatiques afin de prévenir l'effet en cascade d'une épidémie de logiciels malveillants
  • Séparation du réseau et des bases de données pour aider à isoler les foyers de logiciels malveillants et limiter l'impact opérationnel d'une compromission

Pour limiter l'impact d'une attaque par ransomware, les plans de remédiation d'une entreprise doivent prévoir des sauvegardes fréquentes et sûres avec des procédures de récupération efficaces et vérifiées. Avant de restaurer les systèmes, les entreprises doivent déterminer, avec un niveau de confiance raisonnable, quand et comment la compromission initiale s'est produite. Sans une diligence raisonnable, les entreprises victimes peuvent, par inadvertance, restaurer la compromission et rétablir l'infestation tout en effectuant la récupération initiale. En gardant cela à l'esprit, il peut être nécessaire d'effectuer une analyse coûts-avantages avant de choisir de restaurer un état plus ancien mais connu pour être sûr ou de restaurer un état plus récent, mais éventuellement infecté, pour minimiser les perturbations de l'activité. Comme certains logiciels malveillants sont connus pour cibler les fichiers et les ressources de sauvegarde, les entreprises doivent également assurer un contrôle efficace de ces derniers.