Mais qu’est-ce qu’un ransomware ?
Un ransomware, également appelé « rançongiciel », est un type de logiciel malveillant particulièrement dangereux qui cible aussi bien les particuliers que les entreprises. Son fonctionnement repose sur une méthode bien spécifique : le logiciel s’infiltre dans un ordinateur ou un réseau, en exploitant une faille bien connue à l’aide d’une pièce jointe ou un lien dans un mail. Une fois infiltré, le logiciel commence à chiffrer les données de la victime. Ce chiffrement rend les fichiers, bases de données et applications totalement inaccessibles.
Une fois que la machine est devenue inutilisable, le ransomware affiche un message exigeant une rançon. Ce paiement, souvent demandé en cryptomonnaie, est présenté comme la seule solution pour obtenir une clé de déchiffrement permettant de restaurer les données. Les montants demandés varient, mais ils peuvent atteindre plusieurs centaines de milliers de francs suisses, notamment lorsqu’il s’agit de services gouvernementaux ou d’entreprise internationale.
Ce type d’attaque est particulièrement redouté, car il place les victimes devant un dilemme : céder à la demande et encourager les cybercriminels, ou risquer de perdre définitivement leurs données en refusant de payer. Les ransomwares ne se contentent pas de bloquer l’accès aux fichiers : ils peuvent aussi menacer de divulguer des données sensibles si la rançon n’est pas versée, une tactique connue sous le nom de « double extorsion ». C’est pourquoi ces attaques suscitent une inquiétude croissante dans un monde de plus en plus dépendant des technologies numériques.
Des exemples d’attaques et logiciels marquants
WannaCry
C’est le ransomware le plus connu, il a fait parler de lui en mai 2017 en s’infiltrant dans plus de 150 pays et infectant plus de 300’000 ordinateurs. Exploitant la faille EternalBlue, le groupe d’hacker Shadow Brocker a fait des dégâts globaux estimé à 4 milliards de dollars. Le National Health Service (système de santé britanniques) a été compté parmi les plus touchés avec plus de 40 hôpitaux rendu inexploitables.
Ensemble des pays touchés par WannaCry
Ryuk
Le ransomware Ryuk est apparu pour la première fois en 2018 et a rapidement gagné en notoriété en ciblant principalement les grandes entreprises et les institutions publiques. Contrairement à d’autres ransomwares, Ryuk est souvent utilisé dans des attaques ciblées, où les attaquants infiltrent les réseaux de leurs victimes avant de déployer le ransomware.
Ce ransomware est particulièrement destructeur, car il est souvent accompagné d’autres logiciels malveillants tels que TrickBot ou Emotet, qui facilitent l’accès initial et la propagation du ransomware. Les attaques de Ryuk ont causé des perturbations majeures, notamment dans des écoles, des administrations gouvernementales et les grandes entreprises, entraînant des pertes financières et opérationnelles considérables. Notamment durant la crise du COVID-19, où la dépendance aux outils numériques est devenue plus cruciale.
Message du ransomware Ryuk
LockBit
Le ransomware LockBit est apparu en 2019 et est rapidement devenu l’un des ransomwares les plus prolifiques et redoutés. LockBit fonctionne beaucoup sous le principe de Saas. Le SaaS (Service as a Service) est un modèle de distribution de logiciels dans lequel les applications sont hébergées par un fournisseur ou une entreprise et mises à disposition des utilisateurs via Internet. Cela permet à des affiliés de l’utiliser pour mener leurs propres attaques en échange d’une part des gains sans avoir besoin de tout gérer eux-mêmes. Comparé au ransomware précèdent, Lockbit est utilisé de manière plus « professionnelle ».
LockBit chiffre les fichiers des victimes et exige une rançon pour les déverrouiller. Il se distingue par sa capacité à se propager rapidement et à cibler des systèmes critiques, rendant les attaques particulièrement dévastatrices. Les attaquants utilisent souvent des techniques standards, comme le phishing et l’exploitation de vulnérabilités, pour pénétrer les réseaux.
En 2022, LockBit est devenu le ransomware le plus actif, avec environ 200 attaques revendiquées chaque mois. Les victimes incluent des entreprises de toutes tailles, des institutions publiques et des infrastructures critiques, entraînant des perturbations majeures et des pertes financières considérables.
LockBit utilise souvent une double extorsion, combinant le chiffrement des données avec leur exfiltration pour ensuite les vendre à des courtiers en donnée. Cela signifie que les attaquants, non seulement chiffrent les fichiers des victimes, mais volent également des données sensibles. Ils menacent ensuite de publier ces informations volées si la rançon n’est pas payée. Cette méthode augmente la pression sur les victimes pour qu’elles paient, car la publication des données peut entraîner des conséquences juridiques et réputationnelles graves.
Schéma de propagation de Lockbit
Comment se protéger des ransomwares ?
En réponse à ces menaces, il est crucial pour les organisations et les particuliers de renforcer la sécurité de leur environnement informatique. Voici quelques mesures à prendre pour éviter d’être victime de ce type d’attaque.
- Garder ses appareils et logiciels à jour :
Les ransomwares exploitent souvent des vulnérabilités connues et déjà corrigées par les éditeurs de logiciels. Assurez-vous que votre système d’exploitation et vos applications soient toujours à jour avec les derniers correctifs de sécurité. Cela limite déjà énormément les risques de vous faire infecter.
- Sauvegarder régulièrement vos données :
Effectuez des sauvegardes régulières de vos fichiers importants et stockez-les dans un endroit sécurisé, comme un disque dur externe ou un service de stockage cloud. Même si cela ne permet pas d’empêcher vos données de fuiter. Vous pourrez au moins restaurer vos données sans avoir à payer de rançon.
- Former vous et votre entourage :
Sensibilisez-vous et les personnes qui vous entourent aux bonnes pratiques de cybersécurité, notamment à la reconnaissance des e-mails de phishing, à l’importance de ne pas cliquer sur des liens ou des pièces jointes suspectes et de ne pas télécharger n’importe quel fichier ou et installer n’importe quel logiciel sans vérification préalable.
- Utiliser l’authentification forte et un logiciel de sécurité
Installez et maintenez à jour des logiciels de sécurité moderne, analysant le comportement de votre ordinateur afin de détecter et de stopper les menaces. En configurant en plus de cela l’authentification à facteur multiple (MFA), vous ajoutez une couche supplémentaire de sécurité.
Conclusion : Restez vigilant si vous voulez préserver l’intégrité de vos données et appareils !
Les ransomwares constituent une menace majeure pour les individus et les organisations, entraînant des pertes financières et des interruptions de service. Pour se protéger, il est essentiel de maintenir les systèmes à jour, d’utiliser des logiciels de sécurité, de sauvegarder régulièrement les données et de former les employés aux bonnes pratiques de cybersécurité.
Sam Nadir
Sources :
Trellix – What is a ransomware
WannaCry explained: A perfect ransomware storm | CSO Online
EternalBlue Exploit: What It Is And How It Works | SentinelOne
Rapport menaces et incidents – CERT-FR
Meet LockBit: The Most Prevalent Ransomware in 2022