Qu’est-ce qu’un ransomware ?

Les premières attaques de ransomware exigeaient simplement une rançon en échange de la clé de chiffrement nécessaire pour retrouver l’accès aux données affectées ou l’utilisation de l’appareil infecté. En effectuant des sauvegardes régulières ou continues de ses données, une organisation pourrait limiter les coûts liés à ces types d’attaques par ransomware et souvent éviter de payer la rançon demandée.

Ces dernières années, les attaques de ransomware ont évolué et incluent des tactiques à double et triple extorsion qui augmentent considérablement les enjeux. Même les victimes qui effectuent des rigoureusement des sauvegardes de leurs données ou qui paient la rançon initiale sont en danger.

Les attaques à double extorsion ajoutent la menace de voler les données de la victime et de les divulguer en ligne. Les attaques à triple extorsion, elles, menacent en plus d’utiliser les données volées pour attaquer les clients ou les partenaires commerciaux de la victime.

Le ransomware est l’une des formes de logiciels malveillants les plus courantes ; ces attaques peuvent coûter des millions de dollars aux entreprises qui en sont victimes.

20 % des cyberattaques enregistrées par IBM X-Force Threat Intelligence Index en 2023 impliquaient des ransomwares. Et ces attaques sont rapides. Une fois qu’ils ont pu accéder au réseau, les pirates informatiques mettent moins de quatre jours pour déployer un ransomware. Cela laisse peu de temps aux entreprises pour détecter et déjouer les attaques.

Les victimes de ransomware et les négociateurs hésitent à divulguer le montant des rançons versées, mais les cybercriminels exigent souvent des sommes à sept ou huit chiffres. Et le paiement des rançons ne représente qu’une partie du coût total d’une infection par ransomware. Selon le rapport d’IBM  sur le coût d’une violation de données, le coût moyen d’une attaque par ransomware s’élève à 5,68 millions de dollars, hors rançon.

Cela dit, les équipes de cybersécurité sont de plus en plus efficaces dans la lutte contre les ransomwares. Selon le X-Force Threat Intelligence Index, les infections par ransomware ont diminué de 11,5 % entre 2022 et 2023, sans doute en raison des progrès en matière de détection et de prévention des menaces.

Il existe deux grands types de ransomware. Le type le plus courant, appelé ransomware de chiffrement ou crypto-ransomware, prend en otage les données de la victime en les chiffrant. Le pirate exige ensuite une rançon en échange de la clé de chiffrement nécessaire pour déchiffrer les données.

La forme la moins courante de ransomware, appelée ransomware sans chiffrement ou ransomware à verrouillage d’écran, verrouille l’ensemble de l’appareil de la victime, généralement en bloquant l’accès au système d’exploitation. Au lieu de démarrer comme d’habitude, l’appareil affiche un écran sur lequel figure la demande de rançon.

Ces deux types de ransomwares sont divisés en plusieurs sous-catégories :

Le leakware ou doxware est un ransomware qui vole, ou exfiltre, des données sensibles et menace de les publier. Alors que les premières formes de leakware ou doxware volaient souvent des données sans les chiffrer, les variantes actuelles ont tendance à faire les deux.

Le terme de « ransomware mobile » désigne tout ransomware qui affecte les appareils mobiles. Propagés par le biais d’applications malveillantes ou de téléchargements furtifs, la plupart des ransomwares mobiles sont des ransomwares sans chiffrement. Les pirates préfèrent le verrouillage d’écran pour mener des attaques sur mobile, car les sauvegardes automatisées des données dans le cloud, normalisées pour la plupart des appareils mobiles, facilitent l’inversion des attaques par chiffrement.

Les wipers, ou ransomwares destructeurs, menacent de détruire les données si la victime ne paie pas la rançon demandée. Dans certains cas, le ransomware détruit les données même en cas de paiement. Ce dernier type de wiper est généralement déployé par des acteurs étatiques ou des hacktivistes, et non par de simples cybercriminels.

Le scareware porte bien son nom : il s’agit d’un ransomware qui tente d’effrayer (« scare » en anglais) les utilisateurs pour qu’ils paient une rançon. Le scareware peut se faire passer pour un message d’un organisme chargé de l’application de la loi, accusant la victime d’un délit et exigeant une amende. Il peut aussi usurper une alerte légitime d’infection virale, encourageant la victime à acheter à son insu un ransomware en pensant qu’il s’agit d’un antivirus.

Parfois, le scareware est le ransomware, qui chiffre les données ou verrouille l’appareil. Dans d’autres cas, il est le vecteur du ransomware, qui ne chiffre rien mais contraint la victime à télécharger le ransomware.

Les attaques par ransomware peuvent utiliser plusieurs méthodes, ou vecteurs, pour infecter un réseau ou un appareil. Parmi les vecteurs d’infection par ransomware les plus connus, citons :

Les attaques d’ingénierie sociale amènent les victimes à télécharger et à exécuter des fichiers qui s’avèrent être des ransomwares : par exemple, un e-mail d’hameçonnage contenant une pièce jointe malveillante sous la forme d’un fichier (.pdf, document Microsoft Word, etc.) qui semble inoffensif.

Les attaques d’ingénierie sociale peuvent également amener les utilisateurs à visiter un site Web ou à scanner un QR code qui font passer le ransomware par le navigateur Web de l’utilisateur.

Les cybercriminels exploitent souvent les vulnérabilités existantes pour injecter du code malveillant dans un appareil ou un réseau.

Les vulnérabilités zero-day, qui sont des vulnérabilités soit inconnues de la communauté de la sécurité, soit identifiées mais pas encore corrigées, représentent une menace particulière. Certains groupes de création de ransomwares achètent à d’autres pirates des informations sur les failles zero-day afin de planifier leurs attaques. Les pirates ont également utilisé efficacement des vulnérabilités corrigées comme vecteurs d’attaque, comme ce fut le cas lors de l’attaque WannaCry de 2017.

Les cybercriminels peuvent voler les identifiants des utilisateurs autorisés, les acheter sur le dark Web ou les craquer par le biais d’attaques par force brute. Ils utilisent ensuite ces identifiants pour se connecter à un réseau ou à un ordinateur et déployer directement un ransomware.

Le protocole RDP (Remote Desktop Protocol), un protocole Microsoft propriétaire qui permet aux utilisateurs d’accéder à un ordinateur à distance, est une des cibles de vol d’identifiants les plus populaires parmi les adeptes de l’attaque par ransomware.

Les pirates informatiques utilisent souvent des logiciels malveillants développés pour d’autres attaques afin de diffuser un ransomware sur un appareil. Les acteurs de la menace avaient utilisé le cheval de Troie Trickbot, conçu à l’origine pour voler des identifiants bancaires, afin de diffuser une variante du ransomware Conti tout au long de l’année 2021.

Les pirates peuvent utiliser des sites web pour transmettre des ransomwares à des appareils à l’insu des utilisateurs. Les kits d’exploit utilisent des sites compromis pour analyser les navigateurs des visiteurs à la recherche de vulnérabilités dans les applications web qu’ils peuvent utiliser pour injecter un ransomware sur l’appareil.

La publicité malveillante (des annonces numériques légitimes compromises par des pirates) peut transmettre des ransomwares aux appareils, même si l’utilisateur ne clique pas sur l’annonce.

Les cybercriminels n’ont pas nécessairement besoin de développer leur propre ransomware pour exploiter ces vecteurs. Certains développeurs de ransomwares partagent le code de leurs logiciels malveillants avec d’autres cybercriminels par le biais d’accords de RaaS (ransomware en tant que service).

Le cybercriminel, ou « affilié », utilise le code pour mener une attaque et partage la rançon avec le développeur. C’est une relation mutuellement bénéfique. Les affiliés tirent parti de l’extorsion sans avoir à développer leur propre logiciel malveillant, tandis que les développeurs augmentent leur profit sans lancer d’autres cyberattaques.

Les distributeurs de ransomwares peuvent vendre les ransomwares sur les marketplaces numériques du dark Web, ou recruter des affiliés par le biais de forums en ligne ou d’autres voies similaires. Les grands groupes de ransomware investissent des sommes importantes pour attirer des affiliés. 

Une attaque par ransomware se déroule généralement selon ces étapes.

À ce jour, les chercheurs en cybersécurité ont identifié des milliers de variantes distinctes, ou « familles », de ransomwares, chacune ayant ses propres signatures de code et fonctions uniques.

Plusieurs souches de ransomwares sont particulièrement remarquables pour l’ampleur de leur destruction, la façon dont elles ont influencé le développement des ransomwares ou les menaces qu’elles représentent aujourd’hui.

Apparu pour la première fois en septembre 2013, CryptoLocker est largement considéré comme ayant donné le coup d’envoi de l’ère moderne des ransomwares.

Propagé à l’aide d’un botnet (réseau d’ordinateurs piratés), CryptoLocker a été l’une des premières familles de ransomwares à chiffrer fortement les fichiers des utilisateurs. Il a extorqué environ 3 millions d’USD avant d’être neutralisé par les forces de l’ordre internationales en 2014.

Le succès de CryptoLocker a encouragé de nombreux imitateurs et a ouvert la voie à des variantes comme WannaCry, Ryuk et Petya.

Premier ver de chiffrement très médiatisé capable de se propager à d’autres appareils sur un réseau, WannaCry a attaqué plus de 200 000 ordinateurs dans 150 pays. Les ordinateurs concernés étaient vulnérables, car les administrateurs avaient négligé d’appliquer un correctif contre la vulnérabilité EternalBlue de Microsoft Windows.

En plus de chiffrer les données sensibles, le ransomware WannaCry menaçait d’effacer les fichiers si les victimes ne payaient pas dans les sept jours. Cela reste l’une des plus grandes attaques par ransomware à ce jour, avec un coût estimé à 4 milliards.

Contrairement à d’autres ransomwares de chiffrement, Petya chiffre la table du système de fichiers plutôt que des fichiers individuels, ce qui rend l’ordinateur infecté incapable de démarrer Windows.

Une version fortement modifiée, NotPetya, a été utilisée pour mener une cyberattaque à grande échelle, principalement contre l’Ukraine, en 2017. NotPetya était un wiper incapable de déverrouiller les systèmes même après le paiement de la rançon.

Apparu pour la première fois en 2018, Ryuk a popularisé les attaques par ransomware de type « big game hunting », ou chasse au gros gibier, contre des cibles spécifiques de grande envergure, avec des demandes de rançon dépassant en moyenne 1 million de dollars américains. Ryuk peut localiser et désactiver les fichiers de sauvegarde et les fonctionnalités de restauration système. Une nouvelle souche dotée de capacités de chiffrement a été découverte en 2021.

Dirigée par un groupe soupçonné d’opérer depuis la Russie, DarkSide est la variante de ransomware qui a attaqué le Colonial Pipeline le 7 mai 2021. Considérée par beaucoup comme la pire cyberattaque contre une infrastructure critique des États-Unis à ce jour, DarkSide a temporairement fermé le pipeline fournissant 45 % du carburant de la côte Est du pays.

En plus de mener des attaques directes, le groupe DarkSide octroie également des licences de ransomware à ses affiliés par le biais d’accords RaaS.

Locky est un ransomware de chiffrement avec une méthode d’infection distincte : il emploie des macros cachées dans des pièces jointes d’e-mails (fichiers Microsoft Word) déguisées en factures légitimes. Lorsqu’un utilisateur télécharge et ouvre le document Microsoft Word, les macros malveillantes téléchargent secrètement la charge utile du ransomware sur l’appareil de l’utilisateur.

REvil, également connu sous le nom de Sodin ou Sodinokibi, a contribué à populariser l’approche RaaS de la distribution des ransomwares.

Connu pour son utilisation dans la chasse au gros gibier et les attaques de double extorsion, REvil est à l’origine des attaques de 2021 contre les sociétés JBS USA et Kaseya Limited. JBS a payé une rançon de 11 millions de dollars après que les pirates ont perturbé l’ensemble des opérations de transformation de viande bovine de sa filiale américaine. Les temps d’arrêt importants ont touché un millier de clients logiciels Kaseya.

Début 2022, le Service fédéral de sécurité russe a déclaré avoir démantelé REvil et inculpé plusieurs de ses membres.

Observé pour la première fois en 2020, le gang Conti a mis en œuvre un vaste programme RaaS qui consistait à verser un salaire aux pirates informatiques qui utilisaient son ransomware. Conti a développé une forme unique de double extorsion, menaçant ses victimes de vendre l’accès à leur réseau à d’autres pirates si elle refusait de payer.

Conti a été dissous après la fuite de ses journaux de discussion interne en 2022, mais bon nombre de ses membres sont toujours actifs dans le paysage de la cybermenace. Selon le X-Force Threat Intelligence Index, plusieurs anciens membres Conti sont associés à des ransomwares parmi les plus répandus aujourd’hui, notamment BlackBasta, Royal et Zeon.

Noté parmi les ransomwares les plus courants en 2023 par le X-Force Threat Intelligence Index, LockBit se distingue par son organisation quasi entrepreneuriale. À l’instar des entreprises légitimes qui acquièrent d’autres entreprises, le groupe LockBit est connu pour acquérir d’autres souches de logiciels malveillants.

Bien que les forces de l’ordre aient saisi plusieurs sites Web LockBit en février 2024 et que le gouvernement américain ait imposé des sanctions à l’un des hauts dirigeants du gang, LockBit continue de sévir. 

Sachant que les demandes de rançon varient considérablement et que bon nombre de victimes choisissent de ne pas rendre public la somme qu’elles ont payée, le montant moyen des rançons est difficile à évaluer. Cela dit, selon la plupart des estimations, il s’agirait d’un nombre de six à sept chiffres. Les pirates ont demandé le paiement de rançons allant jusqu’à 80 millions de dollars américains, selon le Guide de référence sur les ransomwares publié par IBM.

Il est important de noter que le nombre de victimes qui paient une rançon a fortement chuté ces dernières années. Selon le fournisseur de solutions de réponse aux incidents d’extorsion en ligne Coveware, seules 37 % des victimes ont payé une rançon en 2023, contre 70 % en 2020.¹

Les experts expliquent ce renversement de tendance par une meilleure préparation face aux cybermenaces : hausse des investissements dans la sauvegarde de données, plans de réponse aux incidents, et technologies de prévention et de détection des menaces.

Les organismes fédéraux américains chargés de l’application de la loi découragent unanimement les victimes de ransomware de payer les rançons demandées. Selon la National Cyber Investigative Joint Task Force (NCIJTF), une coalition de 20 agences fédérales américaines partenaires chargées d’enquêter sur les cybermenaces :

« Le FBI n’encourage pas à payer une rançon à des criminels. Le paiement d’une rançon peut enhardir les adversaires à cibler d’autres organisations, encourager d’autres acteurs malveillants à s’engager dans la distribution de ransomwares, et/ou financer des activités illicites. Le paiement d’une rançon ne garantit pas non plus la récupération des fichiers de la victime. »

Les autorités recommandent aux victimes de ransomware de signaler les attaques aux autorités compétentes, comme l’Internet Crime Complaint Center (IC3) du FBI, avant de payer une rançon.

Certaines victimes d’attaques par ransomware ont l’obligation légale de signaler les infections par ransomware, qu’elles paient ou non une rançon. Par exemple, la conformité à la loi HIPAA exige généralement que les établissements de santé signalent toute violation de données, y compris les attaques par ransomware, au ministère de la santé et des services sociaux.

Dans certaines conditions, le paiement d’une rançon peut être illégal.

L’Office of Foreign Assets Control (OFAC) du Trésor américain a indiqué que le paiement d’une rançon à des pirates provenant de pays faisant l’objet de sanctions économiques américaines (comme la Corée du Nord ou l’Iran) constituerait une violation des règlements de l’OFAC. Les contrevenants s’exposent à des sanctions civiles, des amendes ou des poursuites pénales.

Plusieurs États américains, dont la Floride et la Caroline du Nord, interdisent aux agences gouvernementales de payer une rançon.

Les experts en cybersécurité et les agences fédérales telles que la CISA (Cybersecurity and Infrastructure Security Agency) et les services secrets américains recommandent aux entreprises de prendre les mesures nécessaires pour se protéger contre les ransomwares. En voici quelques exemples :

• Sauvegarder leurs données sensibles et images système, idéalement sur disque dur ou sur d’autres appareils que l’équipe informatique peut déconnecter du réseau en cas d’attaque par ransomware.
  
  
• Appliquer régulièrement les correctifs pour aider à déjouer les attaques par ransomware qui exploitent les vulnérabilités des logiciels et des systèmes d’exploitation.
  
  
• Les outils de cybersécurité tels que les logiciels antivirus, les outils de surveillance du réseau, les plateformes de détection et réponse des terminaux (EDR) et les systèmes de gestion des informations et des événements de sécurité (SIEM) permettent aux équipes de sécurité d’intercepter les ransomwares en temps réel.
  
  
• Former les employés à la cybersécurité peut les aider à reconnaître et à éviter l’hameçonnage, l’ingénierie sociale et d’autres tactiques qui peuvent conduire à des infections par ransomware.
  
  
• Mettre en œuvre des politiques de contrôle d’accès comme l’authentification à étapes ou la segmentation du réseau empêche les ransomwares d’accéder aux données sensibles. Les contrôles de gestion des identités et des accès (IAM) empêchent les vers de chiffrement d’atteindre les autres appareils du réseau.
  
  
• Les plans formels de réponse aux incidents permettent aux équipes de sécurité d’intercepter et de remédier aux violations plus rapidement. Le rapport sur le coût d’une violation de données a révélé que les organisations disposant de plans formels et d’équipes de réponse aux incidents dédiées identifient les violations 54 jours plus rapidement que celles qui n’ont ni l’un ni l’autre. Ce délai de détection plus court réduit les coûts de résolution, permettant aux organisations d’économiser en moyenne un million de dollars par violation.

Bien que les outils de déchiffrement de certaines variantes de ransomware soient accessibles au public via des projets comme No More Ransom², la résolution d’une infection active par ransomware nécessite souvent une approche multifactorielle.

Consultez le Guide de référence sur les ransomwares d’IBM Security pour obtenir un exemple de plan de réponse à un incident de ransomware calqué sur le cycle de vie de réponse à un incident du National Institute of Standards and Technology (NIST). 

1989 : Le premier ransomware documenté, connu sous le nom de « cheval de Troie AIDS » ou attaque « P.C. Cyborg », est distribué via des disquettes. Il cache des répertoires de fichiers sur l’ordinateur de la victime et demande 189 USD pour les faire réapparaître. Comme ce logiciel malveillant chiffre les noms des fichiers plutôt que les fichiers eux-mêmes, les utilisateurs peuvent facilement réparer les dégâts sans payer de rançon.

1996 : En analysant le cheval de Troie AIDS, les informaticiens Adam L. Young et Moti Yung mettent en garde contre de futures formes de logiciels malveillants qui pourraient utiliser un système de chiffrement plus sophistiqué pour prendre en otage des données sensibles.

2005 : Après un nombre relativement faible d’attaques par ransomware au début des années 2000, on assiste à une recrudescence des infections, principalement en Russie et en Europe de l’Est. Les premières variantes utilisant le chiffrement asymétrique apparaissent. Les nouveaux ransomwares offrant des moyens plus efficaces d’extorquer de l’argent, de plus en plus de cybercriminels commencent à diffuser des ransomwares dans le monde entier.

2009 : L’introduction des cryptomonnaies, en particulier le Bitcoin, donne aux cybercriminels un moyen de recevoir des paiements de rançons intraçables, ce qui stimule la prochaine flambée de l’activité des ransomwares.

2013 : L’ère moderne des ransomwares commence avec CryptoLocker qui inaugure la vague actuelle d’attaques par ransomware hautement sophistiquées basées sur le chiffrement et sollicitant un paiement en crypto-monnaie.

2015 : La variante de ransomware Tox introduit le modèle du ransomware en tant que service (RaaS).

2017 : WannaCry, le premier ver auto-répliquant largement utilisé, fait son apparition.

2018 : Ryuk popularise la chasse au gros gibier.

2019 : Les attaques par ransomware à double et triple extorsion gagnent en popularité.Depuis 2019, la quasi-totalité des incidents de ransomware auxquels l’équipe de réponse aux incidents IBM Security X-Force a répondu impliquent une double extorsion.

2022 : le détournement de fil de discussion, qui permet aux cybercriminels de s’insérer dans les conversations en ligne de leurs cibles, s’avère être un vecteur de ransomware important.

2023 : À mesure que les défenses contre les ransomwares se renforcent, de nombreux gangs de ransomwares commencent à élargir leur arsenal et à compléter leurs ransomwares par de nouvelles tactiques d'extorsion. En particulier, des gangs comme LockBit et certains vestiges de Conti commencent à utiliser des logiciels malveillants de vol d'informations qui leur permettent de voler des données sensibles et de les garder en otage sans avoir besoin de verrouiller les systèmes des victimes.