L’ampleur des ransomwares

Toute entreprise peut se retrouver sous la menace d’attaques de ransomware. Pourquoi ces attaques rencontrent un tel succès ? Les ransomwares font partie des menaces les plus communes et les plus nuisibles auxquelles les internautes sont confrontés. Depuis l’apparition du Cryptolocker en 2013, nous assistons à l’émergence de nouvelles variantes de ransomwares partagés par des emails de spam ayant pour objectif de prendre de l'argent aux particuliers et aux entreprises sous forme de rançon.

Selon une enquête réalisée par notre partenaire Sophos auprès de 2 700 entreprises a montré que 54 % des professionnels ont été touchées par un ransomware. Parmi les concernées, 77 % possédaient un système de sécurité à jour au moment de l’attaque.

L’impact des attaques de ransomware

 Pourquoi les attaques de ransomware passent-elles à travers les mailles du filet ?

Des techniques d’attaque précises

• Les criminels ont une démarche intelligente pour demander à l'utilisateur de lancer la procédure d'installation du ransomware,
• Les créateurs de ransomwares fournissent un outil de déchiffrement fonctionnel après le paiement de la rançon, mais sans aucune garantie.

Failles de sécurité dans les sociétés

• Des entreprises ne disposent pas de stratégie de sauvegarde suffisante,
• Négligences sur les mises à jour et correctifs des systèmes d'exploitation et des applications,
• Droits d’autorisations illimités,
• Manque de sensibilisation des utilisateurs.

Manque de prévention avancées

• Une protection de base est mis en place dans de nombreuses entreprises.
• Mise à jour constante des ransomwares pour exploiter et éviter cette protection.
• Les solutions doivent être conçues spécifiquement pour lutter contre les techniques des ransomwares.

Comment se déroule une attaque de ransomware ?

On distingue deux techniques d'attaques de ransomware : par le biais d'un email contenant une pièce jointe malveillante ou depuis un site Web compromis (souvent légitime, grand public).

Email malveillant

Aujourd'hui, les criminels créent des emails qui ressemblent exactement à des emails légitimes. Ils sont souvent bien formulés avec un style d’écriture similaire à celui utilisé dans votre entreprise.

Cependant, une fois le fichier exécuté, le ransomware va automatiquement être installé sur votre ordinateur. Dans cet exemple, le cheval de Troie est en fait un fichier JavaScript déguisé en fichier .txt, mais il existe de nombreux autres types de fichier comme par exemple un fichier Word avec des macros ou les fichiers raccourcis .lnk

Sites Web malveillants

Un autre moyen de se retrouver impacté par un malware est de visiter un site Web légitime qui a lui-même été infecté par un kit d’exploit. Les kits d’exploit sont des outils que les criminels emploient pour exploiter les vulnérabilités connues ou inconnues (tels que les exploits Zero-Day).

Dans ce cas, vous surfez sur le site Web piraté et cliquez sur un lien qui semble légitime, puis vous passez votre souris au-dessus d’une publicité ou bien regardez simplement la page. Cette manipulation est suffisante pour télécharger le ransomware sur votre ordinateur et le lancer, et bien souvent vous ne vous en rendez compte qu’une fois qu’il est trop tard.

Que se passe-t-il ensuite ?

• Le ransomware contacte votre serveur de Commande et de Contrôle pour transmettre des informations sur l'ordinateur infecté et télécharger une clé publique de chiffrement individuelle pour ce PC.
• Les types de fichiers spécifiques (qui changent selon les types de ransomwares) comme les documents issus de Microsoft Office, les fichiers de base de données, les fichiers PDF, etc. sont alors chiffrés sur l'ordinateur local, les périphériques et sur tous les lecteurs réseau accessibles.
• Les sauvegardes automatiques du système d'exploitation sont souvent supprimées pour éviter la récupération de données.
• Un message apparaît pour expliquer la démarche à suivre pour payer la rançon dans le temps imparti.