Qu'est-ce qu'un ransomware ?
Les ransomware prennent en otage les appareils et les données des victimes jusqu'à ce qu'une rançon soit payée. Découvrez comment fonctionnent les ransomware, pourquoi ils ont proliféré ces dernières années et comment les organisations s'en défendent.
Regarder la vidéo (1:43) Découvrez les solutions de lutte contre les ransomware
Personne assise à son bureau regardant un ordinateur portable ouvert.
Qu'est-ce qu'un ransomware ?

Les ransomware sont des logiciels malveillants qui verrouillent les données ou le dispositif informatique d'une victime et menacent de les maintenir verrouillées (dans le meilleur des cas) à moins que la victime ne paie une rançon à l'attaquant. En 2021, les attaques de ransomware représentaient 21 % de toutes les cyberattaques et ont coûté à leurs victimes un montant global estimé à 20 milliards de dollars (lien externe à ibm.com).

Les premières attaques de ransomware demandaient une rançon pour déverrouiller les données ou un appareil. Mais les cybercriminels d'aujourd'hui ont augmenté les enjeux de manière considérable. Le rapport 2022 X-Force Threat Intelligence Index  indique que pratiquement toutes les attaques par ransomware sont aujourd'hui des attaques de « double extorsion » qui exigent une rançon pour déverrouiller les données et pour empêcher leur vol. Les attaques de « triple extorsion », qui ajoutent la menace d'une attaque par déni de service distribué (DDoS), sont également de plus en plus fréquentes.

Ces tactiques de double et triple extorsion, la multiplication des solutions de « ransomware en tant que service » et l'avènement de la crypto-monnaie comme forme de paiement intraçable sont autant de facteurs qui expliquent l'essor exponentiel des incidents de ransomware. L'Internet Crime Complaint Center du FBI a enregistré une augmentation d'environ 243 % du nombre d'incidents de ransomware signalés entre 2013 et 2020 (lien externe à ibm.com).

Les victimes de ransomware et les négociateurs hésitent souvent à divulguer les montants des rançons payées. Toutefois, selon le rapport Guide définitif des ransomware 2022 , les montants des rançons, qui n'étaient auparavant que des nombres à deux chiffres, sont passés à des montants à sept et huit chiffres. Dans les cas les plus extrêmes, les entreprises peuvent payer entre 40 et 80 millions de dollars pour reprendre le contrôle de leurs données. Mais le paiement de la rançon n'est pas le seul coût que peut entraîner une infection par ransomware. Selon l'enquête 2021 Coût d'une violation de données menée par IBM, le coût moyen d'une attaque de ransomware, sans compter la rançon, se chiffrait à 4,62 millions de dollars.

Guide définitif des ransomware 2022
Quelles sont les causes d'une infection par ransomware ?

Les attaques de ransomware peuvent utiliser plusieurs méthodes, ou vecteurs, pour infecter un appareil ou un réseau. Parmi les principaux vecteurs d'infection par ransomware, citons les suivants :

  • E-mails de hameçonnage et autres attaques d'ingénierie sociale : Les e-mails de hameçonnage incitent les utilisateurs à télécharger et à exécuter une pièce jointe malveillante (qui contient le ransomware sous la forme d'un fichier .pdf, d'un document Microsoft Word ou d'un autre fichier d'apparence inoffensive), ou à visiter un site web malveillant qui transmet le ransomware par le biais du navigateur Web de l'utilisateur. Selon l'Enquête 2021 sur les organisations cyber-résilientes d'IBM, le hameçonnage et autres techniques d'ingénierie sociale ont été à l'origine de 45 % de toutes les attaques de ransomware signalées par les participants à l'enquête, ce qui en fait le vecteur d'attaque le plus courant.  
  • Vulnérabilités des systèmes d'exploitation et des logiciels : Les cybercriminels exploitent souvent les vulnérabilités existantes pour injecter du code malveillant dans un appareil ou un réseau. Les vulnérabilités de type « zero day », qui sont des vulnérabilités soit inconnues de la communauté de sécurité, soit identifiées mais non encore corrigées, constituent une menace particulièrement importante. Certains gangs de ransomware achètent des informations sur les failles de type « zero-day » auprès d'autres pirates pour planifier leurs attaques. Des pirates ont également utilisé efficacement des vulnérabilités corrigées comme vecteurs d'attaque, comme ce fut le cas lors de l'attaque WannaCry de 2017 évoquée ci-dessous.
  • Vol de données d'identification : Les cybercriminels peuvent voler les informations d'identification des utilisateurs autorisés, les acheter sur le dark web ou les pirater par force brute. Ils peuvent ensuite utiliser ces données d'identification pour se connecter à un réseau ou à un ordinateur et déployer directement un ransomware. Le protocole RDP (Remote Desktop Protocol), un protocole propriétaire développé par Microsoft pour permettre aux utilisateurs d'accéder à un ordinateur à distance, est une cible populaire des attaquants de ransomware pour les vols de données d'identification.
  • Autres logiciels malveillants : Les pirates utilisent souvent des logiciels malveillants développés pour d'autres attaques pour transmettre un ransomware à un appareil. Le cheval de Troie Trickbot, par exemple, conçu à l'origine pour voler des données d'identification bancaires, a été utilisé pour diffuser la variante du ransomware Conti en 2021.
  • Téléchargements « drive-by » : Les pirates peuvent utiliser des sites web pour transmettre des ransomware à des appareils à l'insu des utilisateurs. Les kits d'exploitation utilisent des sites web malveillants pour analyser les navigateurs des visiteurs et rechercher les vulnérabilités des applications web qu'ils peuvent utiliser pour injecter un ransomware sur l'appareil. Le malvertising, des publicités numériques légitimes qui ont été compromises par des pirates, peut transmettre un ransomware à des appareils, même si l'utilisateur ne clique pas sur la publicité.

Les cybercriminels n'ont pas nécessairement besoin de développer leur propre ransomware pour exploiter ces vecteurs. Certains développeurs de ransomware partagent leur code malveillant avec les cybercriminels par le biais d'accords de type « ransomware en tant que service » (RaaS). Le cybercriminel ou « affilié » utilise le code pour mener une attaque, puis partage le paiement de la rançon avec le développeur. Cette relation profite aux deux parties : Les affiliés peuvent profiter de l'extorsion sans avoir à développer leur propre logiciel malveillant, et les développeurs peuvent augmenter leurs profits sans avoir à lancer des cyberattaques manuellement.

Les distributeurs de ransomware peuvent vendre des ransomware via des places de marché numériques ou recruter des affiliés directement par le biais de forums en ligne ou autres moyens similaires. Les grands gangs de ransomware ont investi d'importantes sommes d'argent pour attirer des affiliés. Le groupe REvil, par exemple, a dépensé 1 million de dollars dans le cadre d'une campagne de recrutement en octobre 2020 (lien externe à ibm.com).

Guide définitif des ransomware 2022
Les étapes d'une attaque par ransomware

Une fois que les pirates ont accédé à un appareil, une attaque par ransomware se déroule généralement selon les étapes suivantes.

Étape 1 : Reconnaissance. Les attaquants analysent le système infecté afin de mieux connaître l'appareil et le réseau, et d'identifier les fichiers qu'ils peuvent cibler, notamment les fichiers contenant des informations sensibles que l'attaquant peut utiliser pour une double ou triple extorsion. La plupart d'entre eux recherchent également des données d'identification supplémentaires qui peuvent leur permettre de se déplacer latéralement sur le réseau et de diffuser le ransomware sur d'autres appareils.

Étape 2 : Activation. Le ransomware de chiffrement commence à identifier et à chiffrer les fichiers. La plupart des ransomware de chiffrement déploient un chiffrement asymétrique utilisant une clé publique pour chiffrer le ransomware et conservant une clé privée qui permettra de déchiffrer les données. Comme les victimes ne disposent pas de la clé privée, elles ne peuvent pas déchiffrer les données chiffrées sans l'aide des pirates. Certains ransomware de chiffrement désactivent également les fonctions de restauration du système ou suppriment ou chiffrent les sauvegardes sur l'ordinateur ou le réseau de la victime afin d'augmenter la pression pour payer la clé de déchiffrement.

Un ransomware sans chiffrement verrouille l'écran de l'appareil, l'inonde de fenêtres pop-up ou empêche la victime d'utiliser l'appareil de toute autre manière.

Étape 3 : Demande de rançon. Une fois les fichiers chiffrés et/ou l'appareil désactivé, le ransomware avertit la victime de l'infection, souvent par le biais d'un fichier .txt déposé sur le bureau de l'ordinateur ou d'une notification contextuelle. La demande de rançon contiendra des instructions sur la manière de payer la rançon, généralement en crypto-monnaie ou selon une méthode similaire non traçable, en échange d'une clé de déchiffrement ou du rétablissement du fonctionnement habituel.

Types de ransomware

Il existe deux types principaux de ransomware. Le type le plus courant, appelé « ransomware de chiffrement » ou « crypto-ransomware », prend en otage les données d'un utilisateur en les chiffrant. La forme la moins courante de ransomware, parfois appelée « ransomware casier », verrouille l'ensemble de l'appareil de la victime.

Ces deux types peuvent être divisés en sous-catégories :

  • Le leakware/doxware est un ransomware qui vole, ou exfiltre, des données sensibles et menace de les publier. Alors que les premières formes de leakware ou doxware volaient souvent des données sans les chiffrer, les variantes actuelles font souvent les deux.
  • Les ransomware mobiles comprennent tous les ransomware qui affectent les appareils mobiles. Diffusés via des applications malveillantes ou des téléchargements de type « drive-by », les ransomware mobiles sont généralement des ransomware sans chiffrement. En effet, les systèmes automatisés de sauvegarde des données dans le cloud, généralement présents sur de nombreux appareils mobiles, permettent de neutraliser facilement les attaques par chiffrement.
  • Les ransomware destructeurs ou essuie-glace menacent de détruire les données si la rançon n'est pas payée, sauf dans les cas où le ransomware détruit les données même si la rançon est payée. Ce dernier cas de figure est souvent soupçonné d'être déployé par des acteurs nationaux ou des « hactivistes » plutôt que par des cybercriminels ordinaires.
  • Les logiciels alarmants sont exactement ce que leur nom indique : des ransomware qui tentent d'effrayer les utilisateurs pour qu'ils paient une rançon. Un logiciel alarmant peut se faire passer pour un message d'un organisme de police, accusant la victime d'un délit et exigeant une sanction ; il peut aussi usurper une alerte légitime d'infection virale et encourager la victime à acheter un logiciel antivirus ou antimalware. Parfois, le logiciel alarmant est un ransomware, qui chiffre les données ou verrouille l'appareil ; dans d'autres cas, il s'agit de son propre vecteur, qui ne chiffre rien mais contraint la victime à télécharger un ransomware.
Variantes connues de ransomware

Depuis 2020, les chercheurs en cybersécurité ont identifié plus de 130 familles ou variantes de ransomware actives et distinctes : des souches de ransomware uniques avec leurs propres signatures de code et fonctions. 

Parmi les nombreuses variantes de ransomware qui ont circulé au fil des ans, plusieurs souches se distinguent par l'ampleur de leur destruction, leur influence sur le développement des ransomware ou les menaces qu'elles représentent aujourd'hui encore.

CryptoLocker

Apparu pour la première fois en septembre 2013, CryptoLocker est largement connu pour avoir donné le coup d'envoi de l'ère moderne des ransomware. Propagé à l'aide d'un botnet (réseau d'ordinateurs piratés), CryptoLocker a été l'une des premières familles de ransomware à chiffrer massivement les fichiers des utilisateurs. On estime à 3 millions de dollars les sommes extorquées avant qu'une action de répression internationale ne le fasse disparaître en 2014. Le succès de CryptoLocker a donné lieu à de nombreuses imitations et a ouvert la voie à des variantes telles que WannaCry, Ryuk et Petya (décrites ci-dessous).

WannaCry

Premier cryptoworm très médiatisé (ransomware pouvant se propager à d'autres appareils sur un réseau), WannaCry a attaqué plus de 200 000 ordinateurs (dans 150 pays) sur lesquels les administrateurs avaient négligé de corriger la vulnérabilité EternalBlue de Microsoft Windows. En plus de chiffrer les données sensibles, le ransomware WannaCry menaçait d'effacer les fichiers si le paiement de la rançon n'était pas reçu dans les sept jours. Elle reste l'une des plus importantes attaques de ransomware à ce jour, avec des coûts estimés à 4 milliards de dollars.

Petya et NotPetya

Contrairement à d'autres ransomware de chiffrement, Petya chiffre la table du système de fichiers plutôt que les fichiers en soi, ce qui empêche l'ordinateur infecté de démarrer Windows. Une version fortement modifiée, NotPetya, a été utilisée pour mener une cyberattaque à grande échelle, principalement contre l'Ukraine, en 2017. NotPetya était un essuie-glace incapable de déverrouiller les systèmes, même après le paiement de la rançon.

Ryuk

Apparu pour la première fois en 2018, Ryuk a vulgarisé les attaques de type « big-game ransomware » visant le gros gibier, avec des demandes de rançon dépassant en moyenne 1 million de dollars. Ryuk peut localiser et désactiver les fichiers de sauvegarde et les fonctions de restauration du système. Un nouvelle souche dotée de capacités de cryptoworm a été découverte en 2021.

DarkSide

Géré par un groupe soupçonné d'opérer depuis la Russie, DarkSide est la variante du ransomware qui a attaqué le Colonial Pipeline américain le 7 mai 2021, considéré comme la pire cyberattaque contre une infrastructure américaine critique à ce jour. Le pipeline qui fournit 45 % du carburant de la côte Est des États-Unis a ainsi dû être temporairement fermé. En plus de lancer des attaques directes, le groupe DarkSide accorde des licences d'utilisation de ses ransomware à ses affiliés via des accords RaaS.

Locky

Locky est un ransomware de chiffrement qui utilise une méthode d'infection particulière : il utilise des macros cachées dans les pièces jointes des courriers électroniques (fichiers Microsoft Word), déguisées en factures légitimes. Lorsqu'un utilisateur télécharge et ouvre le document Microsoft Word, des macros malveillantes téléchargent secrètement le contenu du ransomware sur l'appareil de l'utilisateur.

REvil/Sodinokibi

REvil, également connu sous le nom de Sodin ou Sodinokibi, a contribué à vulgariser l'approche RaaS de la distribution des ransomware. Connu pour son utilisation dans la chasse au gros gibier et les attaques de double extorsion, REvil était derrière les attaques de 2021 contre les sociétés JBS USA et Kaseya Limited. JBS a payé une rançon de 11 millions de dollars après avoir interrompu l'ensemble de ses activités de transformation de viande bovine aux États-Unis, et après avoir fait subir un temps d'indisponibilité important à plus de 1000 clients utilisant le logiciel Kaseya. Le Service fédéral de sécurité russe a indiqué avoir démantelé REvil et inculpé plusieurs de ses membres début 2022.

Paiements de rançon

Le paiement d'une rançon est courant. Selon l'Etude de 2021 sur les organisations cyber-résilientes menée par IBM, 61 % des entreprises interrogées qui ont subi une attaque de ransomware ont déclaré avoir payé une rançon.

Cependant, les organismes de police fédérale américaines déconseillent unanimement aux victimes de payer la rançon. Selon le National Cyber Investigative Joint Task Force (NCIJTF), une coalition de 20 agences fédérales américaines chargées d'enquêter sur les cybermenaces,

« Le FBI déconseille de payer une rançon aux acteurs criminels. Le paiement d'une rançon peut inciter les adversaires à cibler d'autres organisations, encourager d'autres acteurs criminels à s'engager dans la distribution de ransomware et/ou financer des activités illicites. Le paiement d'une rançon ne garantit pas non plus que les fichiers de la victime seront récupérés ».

Les services de police recommandent aux victimes de ransomware de signaler les attaques aux autorités compétentes, comme l'Internet Crime Complaint Center (IC3) du FBI, avant de payer une rançon. Certaines victimes d'attaques par ransomware peuvent être légalement tenues de signaler les infections par ransomware, qu'une rançon soit payée ou non. Par exemple, la conformité à l'HIPAA oblige généralement les entités de soins de santé à signaler toute violation de données, y compris les attaques par ransomware, au ministère de la Santé et des Services sociaux.

Dans certaines conditions, le paiement d'une rançon peut être illégal. Selon un avis publié en 2020 par l'Office of Foreign Assets Control (OFAC) du Ministère des finances des États-Unis, le paiement d'une rançon à des attaquants provenant de pays soumis à des sanctions économiques américaines, tels que la Russie, la Corée du Nord ou l'Iran, constituerait une violation de la réglementation de l'OFAC et pourrait entraîner des sanctions civiles, des amendes ou des poursuites pénales.

Protection et réponse aux ransomware

Pour se défendre contre les menaces de ransomware, les organismes fédéraux comme le CISA, le NCIJFT et les services secrets américains recommandent aux organisations de prendre certaines mesures de précaution, notamment :

  • Maintenir des sauvegardes des données sensibles et des images du système, idéalement sur des disques durs ou d'autres dispositifs pouvant être déconnectés du réseau.
  • Appliquer régulièrement des correctifs pour aider à déjouer les attaques de ransomware qui exploitent la vulnérabilité des logiciels et des systèmes d'exploitation.
  • Mettre à jour les outils de cybersécurité, notamment les logiciels anti-malware et antivirus, les pare-feu et les passerelles web sécurisées, ainsi que les solutions de cybersécurité d'entreprise, comme les outils de détection et réponse des terminaux (EDR) et de détection et réponse étendues (XDR), qui aident les équipes de sécurité à détecter et à répondre aux ransomware en temps réel.
  • Former les employés à la cybersécurité afin d'aider les utilisateurs à reconnaître et à éviter le hameçonnage, l'ingénierie sociale et d'autres tactiques pouvant conduire à des infections par des ransomware.
  • Mettre en place des politiques de contrôle d'accès, notamment l'authentification multifactorielle, l'architecture à confiance zéro, la segmentation du réseau et des mesures similaires qui peuvent empêcher les ransomware d'atteindre des données particulièrement sensibles, et empêcher les cryptoworms de se propager à d'autres appareils sur le réseau.

Bien que des outils de déchiffrement pour certaines variantes de ransomware soient accessibles au public grâce à des projets tels que No More Ransom (lien externe à ibm.com), pour remédier à une infection active par un ransomware, il faut souvent adopter une approche à plusieurs niveaux. Consultez le Guide définitif des ransomware d'IBM Security pour obtenir un exemple de plan de réponse aux incidents de ransomware inspiré du Cycle de vie de la réponse aux incidents du National Institute of Standards and Technology (NIST).

Brève chronologie des ransomware

1989 : La première attaque de ransomware documentée, connue sous le nom de cheval de Troie AIDS ou « attaque P.C. Cyborg », a été distribuée via des disquettes. Elle masquait les répertoires de fichiers sur l'ordinateur de la victime et demandait 189 dollars pour les afficher à nouveau. Mais comme elle chiffrait les noms de fichiers et non les fichiers eux-mêmes, les utilisateurs pouvaient facilement réparer les dégâts sans payer de rançon.

1996 : En analysant les failles du cheval de Troie AIDS, les informaticiens Adam L. Young et Moti Yung ont lancé une mise en garde contre de futures formes de logiciels malveillants qui pourraient utiliser un système de chiffrement à clé publique plus sophistiqué pour prendre en otage des données sensibles. 

2005 : Après un nombre relativement faible d'attaques de ransomware au début des années 2000, une recrudescence des infections commence, principalement en Russie et en Europe de l'Est. Les premières variantes utilisant un chiffrement asymétrique apparaissent. Les nouveaux ransomware offrant des moyens plus efficaces d'extorquer de l'argent, les cybercriminels ont commencé à les diffuser dans le monde entier.

2009 : L'introduction de la cryptomonnaie, en particulier le bitcoin, donne aux cybercriminels un moyen de recevoir des paiements de rançon intraçables, ce qui entraîne un nouvel essor des activités de ransomware.

2013 : L'ère moderne des ransomware commence avec CryptoLocker qui inaugure la vague actuelle d'attaques de ransomware de chiffrement hautement sophistiqués, qui demandent un paiement en crypto-monnaie.

2015 : La variante du ransomware Tox introduit le modèle de ransomware en tant que service (RaaS).

2017 : Apparition de WannaCry, le premier cryptoworm capable de s'auto-reproduire à grande échelle.

2018 :Ryuk a vulgarisé la chasse au gros gibier

Études de cas sur les ransomware Citoyens en sécurité, communautés renforcées

Los Angeles s'associe à IBM Security pour créer un groupe de partage des cybermenaces, le premier en son genre, afin de se protéger contre la cybercriminalité.

Les obstacles de sécurité surmontés par la stratégie numérique de la banque

La Commercial International Bank S.A.E. améliore ses processus et sa sécurité en visant l'objectif Zero Trust.

Un front uni contre les cyberattaques

Ensemble, ANDRITZ et le service IBM Security accélèrent la détection et la réponse aux menaces.

Solutions connexes
Protéger les données contre les attaques de ransomware

Découvrez comment protéger les données de votre entreprise contre les menaces de ransomware qui risquent de la prendre en otage.

Découvrez les solutions de lutte contre les ransomware
Sécurité réseau

Sécuriser l'infrastructure du réseau contre les menaces avancées et les logiciels malveillants.

Explorer les solutions de sécurité réseau
Détection et réponse étendues (XDR)

Une suite modulaire et intégrée de capacités de détection et de réponse aux menaces qui fonctionne sur une plateforme de sécurité ouverte

Explorer la suite XDR
Abonnement à la réponse aux incidents IBM Security X-Force

Découvrez comment vous pouvez améliorer la préparation de la réponse aux cyberincidents et minimiser l'impact des brèches.

En savoir plus sur IBM X-Force
Orchestrer la réponse aux incidents

Obtenez des taux de réponse aux incidents plus rapides grâce à une orchestration et une automatisation intelligentes.

Explorer les solutions de réponse aux incidents
Détection et réponse gérées

La défense contre les menaces commence par une prévention, une détection et une réponse rapide 24 heures sur 24.

En savoir plus sur la solution clé en main de gestion des menaces
Sécurité des terminaux

La montée en puissance du travail à distance et de l'interconnexion des terminaux s'accompagne de son propre lot de défis en matière de cybersécurité. Pour y faire face, il est nécessaire de disposer d'un outil moderne de réponse et de détection des terminauxpiloté par l'IA, capable de bloquer et d'isoler de manière proactive les menaces de logiciels malveillants et de ransomware, et de propulser la sécurité des terminaux dans un monde de confiance zéro.

Explorer l'EDR
Gérer et contrôler les appareils mobiles

Surveillez et contrôlez en permanence tous vos appareils mobiles, applications et contenus ; exécutez des analyses de sécurité basées sur l'IA ; et maintenez la sécurité sur toutes vos plateformes.

En savoir plus sur la gestion unifiée des points de terminaison
Solutions de stockage flash

Simplifiez la gestion des données et de l'infrastructure avec la famille de plateformes unifiées IBM FlashSystem®, qui rationalise l'administration et la complexité opérationnelle dans les environnements sur site, de cloud hybride, virtualisés et conteneurisés.

Explorer les solutions de stockage flash
Ressources Atelier de cadrage et de découverte IBM Security

Comprenez votre environnement de cybersécurité et hiérarchisez les initiatives avec les architectes et consultants en sécurité seniors d'IBM lors d'une session de design thinking gratuite, virtuelle ou en personne, d'une durée de 3 heures.

X-Force Threat Intelligence Index

Comprendre les risques de cyberattaque grâce à une vue globale du contexte des menaces.

Guide définitif des ransomware 2022

Approche normative des attaques par ransomware et aperçu de techniques avancées d'atténuation des risques

Comprendre son ennemi

Votre meilleure cyberdéfense contre les ransomware et autres.

Coût d'une violation de données

Le rapport Coût d'une violation de données explore les retombées financières et les mesures de sécurité qui peuvent aider votre organisation à éviter une violation de données ou, si celle-ci n'a pas pu être évitée, à en réduire les coûts.

Qu'est-ce que la gestion des menaces ?

Les professionnels de la cybersécurité utilisent des processus de gestion des menaces pour prévenir les cyberattaques, détecter les cybermenaces et répondre aux incidents de sécurité.