Qu'est-ce qu'un rançongiciel ?

Le rançongiciel est une forme de logiciel malveillant qui menace de détruire ou de cacher les données ou les fichiers de la victime à moins de payer une rançon au pirate pour déchiffrer et restaurer l'accès aux données.

Une personne est assise au bureau tout en regardant l'ordinateur portable ouvert devant elle.

Fonctionnement du rançongiciel

Logiciel malveillant avec une demande de rançon 
Le rançongiciel est un logiciel malveillant utilisé par les acteurs de menace qui vise à extorquer de l'argent aux victimes. Cette forme de cyberagression est l'un des modèles commerciaux criminels les plus prolifiques qui existent aujourd'hui. Les attaques par rançongiciel peuvent coûter des millions de dollars à une organisation et peuvent nécessiter des centaines d'heures pour reconstruire les appareils et restaurer les données détruites lors d'une attaque.

Les organisations découvrent souvent leur cyberattaque lorsqu'elles reçoivent une notification d'une machine infectée les informant que leurs données ont été ciblées. Il y a généralement quelques étapes dans une attaque par rançongiciel classique. Premièrement, le système ou le serveur de contrôle est compromis pour installer le logiciel malveillant. Ensuite, le logiciel malveillant prend le contrôle de la machine en chiffrant les données avec le rançongiciel. Ensuite, la machine compromise affiche un message avec la « demande de rançon » avec les revendications du pirate informatique pour l'individu ou l'entreprise, lui disant que ses fichiers cryptés ne seront pas accessibles tant que la rançon n'aura pas été payée. 

Paiements de rançon
Le paiement est souvent exigé sous forme de crypto-monnaie, carte de crédit ou cartes-cadeaux, mais cela ne garantit pas que la victime retrouvera l'accès. Si la victime choisit de payer la rançon, les pirates peuvent fournir la clé de déchiffrement pour restaurer l'accès aux données de la victime. Parfois, la victime peut payer et les pirates ne fournissent pas la clé de déchiffrement, entraînant à la fois des pertes de données et des pertes financières. Parfois, une victime choisit de ne pas payer la rançon et s'appuie sur les reconstructions du système et les sauvegardes de données pour restaurer ses opérations informatiques. Les victimes qui sont ciblées une fois sont souvent ciblées par les mêmes cybercriminels une nouvelle fois, en particulier si elles ont déjà manifesté leur volonté de payer. 

Selon le rapport « Combatting Destructive Malware », en moyenne, une seule attaque par rançongiciel coûte 239 millions de dollars aux grandes entreprises multinationales et détruit 12 316 postes de travail informatiques. Le paysage des cybermenaces évolue et s'étend constamment avec de nouveaux rançongiciels en raison de la complexité des réseaux, du cloud, de la virtualisation à distance et de l'IoT.


Quelles sont les causes d'une infection par rançongiciel ?

Les rançongiciels peuvent pénétrer dans votre ordinateur ou votre système de plusieurs manières. L'une des plus courantes est le courrier électronique d' hameçonnage  et le courrier indésirable avec des messages contenant une pièce jointe ou un lien malveillant menant à un site Web compromis. Une fois que l'utilisateur ouvre la pièce jointe ou clique sur le lien, le rançongiciel peut infecter l'ordinateur et se propager à l'ensemble du réseau.

Un autre vecteur d' attaque par rançongiciel passe par un kit d'attaque qui tire parti d'une vulnérabilité, ou d'une faille de sécurité, dans le système ou le programme. WannaCry est un exemple d' infection par rançongiciel qui a affecté des centaines de systèmes dans le monde entier via une attaque dans le système d'exploitation Microsoft Windows  en 2018. Il peut également prendre la forme d'une fausse mise à jour logicielle, invitant les utilisateurs à activer les fonctionnalités d'administration et à exécuter le code malveillant.

Hameçonnage, ingénierie sociale et autres tactiques
Les rançongiciels existent depuis 1989 et le paysage des attaques s'étend constamment à mesure que le réseau et l'infrastructure du monde deviennent de plus en plus complexes, du cloud au mobile en passant par l'IoT.

Les rançongiciels pénètrent souvent dans les organisations par des e-mails d' hameçonnage contenant des pièces jointes malveillantes ou des liens vers des sites malveillants. Par exemple, le rançongiciel Locky infecte les victimes via un document Microsoft Word avec des macros malveillantes intégrées.

Les rançongiciels peuvent être difficiles à combattre, mais une combinaison de formation des utilisateurs, de planification proactive et pratique de la réponse aux incidents et d'hygiène de sécurité de base telle qu'une gestion agressive des correctifs et des solutions de protection des terminaux peut aider. La pratique de la cyber-résilience englobe la protection des données, la récupération des données, les meilleures pratiques de résilience et la formation aux rançongiciels pour les utilisateurs finaux.  Pour les organisations qui ont déplacé des données sur le cloud ou qui utilisent le cloud comme emplacement de sauvegarde, l'utilisation d'outils tels que le chiffrement des données dans le cloud peut aider à réduire le risque et le coût d'une attaque par rançongiciel.


Types d'attaques par rançongiciel

 

Il existe deux classes principales de rançongiciel, et les deux sont destinées à perturber les opérations commerciales pour un gain financier pour les pirates informatiques.

Crypto-rançongiciel

Le

crypto -rançongiciel empêche l'accès aux fichiers ou aux données via le cryptage avec une clé symétrique générée aléatoirement différente pour chaque fichier. La clé symétrique est ensuite chiffrée avec une clé publique asymétrique ; les pirates exigent alors le paiement de la rançon pour accéder à la clé asymétrique.

Doxware

Doxware est une forme de crypto -rançongiciel où les victimes sont menacées non seulement de perdre l'accès à leurs fichiers, mais aussi de voir leurs fichiers et données privés rendus publics par le « doxing ».

Rançongiciel Locker

Le rançongiciel Locker verrouille l'ordinateur ou l'appareil en empêchant les utilisateurs de se connecter ; une machine infectée peut afficher un message officiel avertissant l'utilisateur. Ce type de logiciel malveillant ne chiffre pas en fait les fichiers sur l'appareil.

Si vous avez un ordinateur infecté

Le ministère de la Sécurité intérieure a publié une alerte sur les rançongiciels (le lien réside en dehors d'IBM) et les variantes récentes avec des conseils pour les organisations et les particuliers. Leur principale recommandation est d'avoir un processus sécurisé de sauvegarde et de récupération des données.

Le DHS a conseillé aux organisations de :

  • Mettre en œuvre un plan de sauvegarde et de récupération pour toutes les données critiques ;
  • Tester régulièrement les sauvegardes pour limiter l'impact d'une violation de données et accélérer le processus de récupération ; et
  • Isoler les sauvegardes critiques du réseau pour une protection maximale si les sauvegardes connectées au réseau sont affectées par un rançongiciel.

La récupération d'un rançongiciel consiste à maintenir le contrôle de vos données aussi efficacement et en toute sécurité que possible.  Des réglementations telles que le RGPD en Europe et le California Consumer Privacy Act imposent de nouvelles exigences pour les notifications de violation de données qui affectent la façon dont vous devez gérer une attaque par rançongiciel. Le FBI recommande de signaler toutes les attaques par rançongiciel aux forces de l'ordre fédérales afin qu'elles puissent se coordonner avec les agences des forces de l'ordre locales aux États-Unis  pour suivre les attaques et identifier les pirates.

Si vous rencontrez un incident de cyber-sécurité , contactez l'équipe IBM Security X-Force pour obtenir une aide immédiate.

 


Solutions liées

Protégez les données contre les attaques par rançongiciel

Découvrez comment protéger les données de votre organisation contre les menaces de rançongiciel qui peuvent la prendre en otage.

Sécurité Internet

Infrastructure de réseau sécurisée contre les menaces avancées et les logiciels malveillants.

Information de sécurité et de gestion des événements (SIEM)

Bénéficiez d'une visibilité centralisée pour détecter, enquêter et répondre aux menaces de cybersécurité.

IBM Security X-Force Incident Response Retainer

Découvrez comment vous pouvez améliorer la préparation à la réponse aux cyberincidents et minimiser l'impact des violations.

Orchestrer la réponse aux incidents

Obtenez des taux de réponse aux incidents plus rapides avec une orchestration et une automatisation intelligentes.

Détection et réponse gérées

La défense contre les menaces commence par une prévention, une détection et une réponse rapide 24 heures sur 24.

Répondez plus rapidement

Évitez de payer un rançongiciel en isolant des copies de données immuables. En cas d'attaque, les copies peuvent être rapidement restaurées pour une récupération en toute confiance.

Gérer et contrôler les appareils mobiles

Surveillez et contrôlez en permanence tous vos appareils mobiles, applications et contenus ; exécutez des analyses de sécurité basées sur l'IA ; et maintenez la sécurité sur toutes vos plateformes.

Solutions de stockage flash

Simplifiez la gestion des données et de l'infrastructure avec la famille de plateformes unifiées IBM® FlashSystem, qui rationalise l'administration et la complexité opérationnelle dans les environnements sur site, de cloud hybride, virtualisés et conteneurisés.


Ressources