S’il y a une chose que la pandémie nous a apportée en dehors d’une « nouvelle normalité », c'est l'augmentation massive des attaques de ransomwares à travers le monde. Bien que les forces de l'ordre disent aux victimes d'éviter de payer des rançons, le montant moyen de rin 2021 a dépassé la somme énorme de 102 millions de dollars par mois. Cela signifie qu'il est presque inévitable que chaque entreprise soit confrontée tôt ou tard à une attaque de ransomware et que l'impact sur les entreprises est si important qu'elles n'ont souvent d'autre choix que de payer. Mais comment se donner une chance de lutter contre ce fléau numérique en 2022 ? Découvrons-le.
Qu’est-ce qu’un ransomware ?
Le mot malware est une combinaison des mots « malveillant » et «logiciel» Les ransomwares sont une forme de malware qui empêche les utilisateurs d'accéder à leurs appareils ou à leurs fichiers à moins qu'ils ne paient une rançon pour retrouver l'accès. Les ransomwares modernes peuvent également être sauvegardés avec des données légitimes, ce qui rend les sauvegardes presque redondantes pour la récupération.
Si les demandes de rançon ne sont pas satisfaites par l’utilisateur dans le délai imparti, les données restent indisponibles ou, pire encore, elles pourraient être supprimées par le malware. En bref, les ransomwares peuvent être un véritable cauchemar si vous n'êtes pas prêt à y faire face.
L’immense croissance des ransomwares
Pour les entreprises, il n’y a rien de plus effrayant que de découvrir que leurs données ont été cryptées avec un message exigeant qu’elles paient des milliers de dollars pour avoir accès à leurs données. Voici quelques chiffres pour accompagner les faits:
- Le paiement moyen d'un ransomware en 2021 s'élevait à 570 000 $, soit une augmentation de 81 % par rapport à l'année précédente.
- En 2021, une entreprise a été touchée par un ransomware toutes les 11 secondes.
- Le temps d'arrêt moyen rencontré par les entreprises après une attaque de ransomware est de 21 jours.
- Le coût total moyen de la récupération après une attaque de ransomware était de 1,85 million de dollars pour les entreprises en 2021.
- Le courrier électronique est responsable de 94 % des attaques de logiciels malveillants signalées.
Comment les ransomwares sont-ils distribués ?
Les ransomwares sont devenus un malware de choix pour les cybercriminels en raison de leur efficacité. Et avec l’avènement du Ransomware-as-a-Service (RaaS), il est devenu relativement plus facile à acheter et à lancer. Le RaaS permet aux personnes souhaitant lancer une attaque sans aucune compétence technique de simplement payer des experts pour le faire à leur place. Ces fournisseurs veulent des clients fidèles et s'assurent donc que leur code est de qualité supérieure. Il est désormais plus facile de lancer une attaque, ce qui, combiné au fait que les gens sont prêts à payer, signifie que ces attaques sont en augmentation.
Les cybercriminels ont mis au point de nombreuses façons innovantes de violer la cybersécurité, mais statistiquement parlant, ce sont les moyens les plus couramment utilisés par les cybercriminels pour attaquer leurs victimes.
- Phishing : au cours des dernières années, le phishing est devenu le mécanisme de diffusion le plus courant par les cybercriminels pour diffuser des ransomwares. En 2021, Statista a signalé que 54 % des attaques de ransomwares étaient menées par phishing.
Grâce à cette méthode, les pirates imitent des sources fiables en utilisant des e-mails personnalisés et soigneusement conçus, généralement conçus pour imiter les e-mails d'entreprises grand public avec lesquelles la victime est susceptible de traiter (comme un service de messagerie ou une plateforme OTT) ou de dirigeants de leur entreprise pour tromper les victimes. ouvrir une pièce jointe ou un lien contenant un logiciel malveillant. Une fois la pièce jointe ou le lien ouvert, les pirates prennent alors le contrôle des fonctions nécessaires au chiffrement des données de la victime. Avec les formes plus avancées de ransomware, le malware commencera à se propager à d’autres machines une fois qu’il aura pris pied sur une machine. Cette méthode est devenue extrêmement efficace car il suffit d’un employé inconscient pour ouvrir un lien ou une pièce jointe apparemment digne de confiance et c’est toute l’organisation qui peut être compromise.
- Téléchargements intempestifs à partir de sites Web suspects: Parfois, lorsque les utilisateurs visitent des sites Web suspects, des téléchargements malveillants peuvent avoir lieu à leur insu. Avec cette méthode, les pirates intègrent du code malveillant sur des sites Web ou redirigent les victimes sans méfiance vers un autre site Web qu’ils contrôlent. Cela donne aux cybercriminels la possibilité d'analyser silencieusement l'appareil de l'utilisateur à la recherche de faiblesses ou de vulnérabilités. Et si ces criminels trouvent une vulnérabilité qu'ils recherchent, ils exécuteront un code qui surprendra la victime avec une demande de rançon exigeant le paiement de la restitution de ses fichiers.
- USB et autres supports portables : il s'agit d'une voie physique que les cybercriminels utilisent pour pénétrer dans les environnements informatiques avec des ransomwares et des logiciels malveillants. Les clés USB et autres appareils portables sont infectés par des logiciels malveillants et, lorsqu'ils sont branchés sur un appareil ou un ordinateur, ils s'emparent des données, permettant aux cybercriminels d'exiger une rançon.
Comment fonctionnent les rançongiciels ?
Les ransomwares dépendent uniquement de l'accès au système d'un utilisateur et du chiffrement à distance de ses fichiers pour exiger une rançon en échange de ces données. Voici les trois grandes étapes d’une attaque de ransomware:
- Diffusion et infection par ransomware: comme tout autre malware, les ransomwares disposent de plusieurs mécanismes de diffusion. Cependant, comme mentionné précédemment, les cybercriminels ont tendance à utiliser certains des mécanismes de transmission des ransomwares les plus efficaces, notamment les e-mails de phishing, les téléchargements en voiture et les violations physiques.
- Chiffrement : une fois que le ransomware a pénétré le système, il commence à chiffrer les fichiers. Un système d'exploitation est doté d'une fonctionnalité de cryptage, ce qui signifie que le ransomware accédera simplement aux fichiers, les chiffrera avec une clé contrôlée par l'attaquant et remplacera les originaux par ces fichiers cryptés. Certaines variantes plus complexes de ransomware suppriment également les sauvegardes pour rendre encore plus difficile la récupération sans payer la rançon.
- Demandes : une fois tous les fichiers cryptés, le ransomware envoie une demande de rançon, généralement via une note de rançon affichée à l'écran ou sous forme de fichiers text placés dans chaque répertoire crypté. Une fois la rançon payée, le cybercriminel fournira généralement une copie de la clé privée utilisée pour chiffrer ces fichiers afin de restaurer l'accès à la victime.
Comment détecter les ransomwares ?
Vous saurez probablement que vos systèmes ont été infectés par un ransomware lorsque vous voyez une demande de rançon apparaître sur votre écran. Cependant, il existe d’autres indicateurs courants d’attaques de ransomware, notamment :
- Activité de fichier suspecte : c'est presque toujours un signal d'alarme lorsque vous voyez des centaines de modifications de fichiers ayant échoué, car cela pourrait être dû à un ransomware tentant d'analyser et de chiffrer ces fichiers.
- Perte d'accès à certains fichiers : cela peut être dû à un ransomware cryptant, supprimant ou renommant les données.
- Augmentation de l'activité du disque : lorsque l'activité de votre processeur ou de votre disque a augmenté de manière inattendue, cela peut être dû au fait qu'un ransomware tente d'accéder aux fichiers de votre système.
- Communication réseau inattendue : cela pourrait être dû à la communication entre les cybercriminels, le ransomware et votre serveur.
Meilleurs moyens de prévenir et de récupérer des ransomwares en 2022
Bien qu'il soit presque impossible d'être complètement insensible aux cybermenaces, votre entreprise peut suivre certaines bonnes pratiques pour réduire le risque d'être victime d'un ransomware et se remettre rapidement en marche en cas d'attaque malheureuse.
- Gestion des correctifs : les fournisseurs de logiciels publient périodiquement de nouvelles mises à jour ou correctifs pour leurs logiciels existants afin de corriger les vulnérabilités de sécurité et autres bugs. Cependant, suivre et garantir que tous vos appareils et correctifs de système d’exploitation sont effectués à temps peut s’avérer une tâche ardue. Intégrez une solution de gestion des correctifs dans votre réseau informatique. Cela peut aider à éviter les risques majeurs de cybersécurité dus aux vulnérabilités pouvant être corrigées.
- Éduquez vos employés : le phishing étant devenu l'arme de choix pour les attaques de ransomwares, il est essentiel que vous éduquiez vos employés sur la manière d'identifier les e-mails suspects et sur ce qu'il faut en faire. Vous pouvez également leur apprendre les signaux d'alarme courants dans les e-mails pour vous assurer qu'ils ne commettent pas l'erreur d'ouvrir une pièce jointe ou un lien.
- Explorez les solutions de sécurité de la messagerie : il existe de nombreuses solutions de sécurité de la messagerie sur le marché qui peuvent vous aider à protéger les e-mails de vos employés en les analysant et en signalant les e-mails suspects. Il existe également des solutions qui proposent des simulations de phishing afin que les utilisateurs puissent apprendre, dans un environnement sécurisé, comment repérer une attaque de phishing dans la vie réelle.
- Surveillance : gardez vos systèmes toujours surveillés pour vous assurer de détecter les signes d'activité suspecte. Restez à l’affût des activités inhabituelles et assurez-vous d’enquêter dessus. Vous pouvez également utiliser une solution de surveillance à distance qui vous permet d'identifier les problèmes sans avoir à être sur place et de les corriger immédiatement.
- Créez des sauvegardes physiques : il est important de sauvegarder les données critiques sur des appareils externes pour offrir à votre entreprise une sécurité intégrée en cas d'attaque ou d'incident.
- Utilisez la sauvegarde dans le cloud : les vulnérabilités des environnements basés sur le cloud sont plus difficiles à exploiter. Sauvegardez vos données sur des solutions de stockage cloud car elles vous permettent également de restaurer des versions précédentes de vos fichiers, vous permettant ainsi de revenir à une version non cryptée en cas d'attaque de ransomware.
- Mettez en œuvre une bonne discipline en matière de mots de passe: de nombreuses attaques proviennent d’informations d’identification compromises qui sont facilement en vente sur le dark web. De nombreux mots de passe sont très courants, les pirates ont donc tendance à les essayer en premier. Un gestionnaire de mots de passe peut vous aider à sécuriser vos mots de passe. Il existe des outils qui surveillent le dark web à la recherche d'informations d'identification en vente et vous pouvez facilement repérer celles de votre organisation - pour aider à prévenir les attaques. L’utilisation de l’authentification à deux facteurs contribuera également à vous protéger contre les attaques.