Les ransomware sont des logiciels malveillants qui verrouillent les données ou le dispositif informatique d'une victime et menacent de les maintenir verrouillées (dans le meilleur des cas) à moins que la victime ne paie une rançon à l'attaquant. En 2021, les attaques de ransomware représentaient 21 % de toutes les cyberattaques et ont coûté à leurs victimes un montant global estimé à 20 milliards de dollars (lien externe à ibm.com).
Les premières attaques de ransomware demandaient une rançon pour déverrouiller les données ou un appareil. Mais les cybercriminels d'aujourd'hui ont augmenté les enjeux de manière considérable. Le rapport 2022 X-Force Threat Intelligence Index indique que pratiquement toutes les attaques par ransomware sont aujourd'hui des attaques de « double extorsion » qui exigent une rançon pour déverrouiller les données et pour empêcher leur vol. Les attaques de « triple extorsion », qui ajoutent la menace d'une attaque par déni de service distribué (DDoS), sont également de plus en plus fréquentes.
Ces tactiques de double et triple extorsion, la multiplication des solutions de « ransomware en tant que service » et l'avènement de la crypto-monnaie comme forme de paiement intraçable sont autant de facteurs qui expliquent l'essor exponentiel des incidents de ransomware. L'Internet Crime Complaint Center du FBI a enregistré une augmentation d'environ 243 % du nombre d'incidents de ransomware signalés entre 2013 et 2020 (lien externe à ibm.com).
Les victimes de ransomware et les négociateurs hésitent souvent à divulguer les montants des rançons payées. Toutefois, selon le rapport Guide définitif des ransomware 2022 , les montants des rançons, qui n'étaient auparavant que des nombres à deux chiffres, sont passés à des montants à sept et huit chiffres. Dans les cas les plus extrêmes, les entreprises peuvent payer entre 40 et 80 millions de dollars pour reprendre le contrôle de leurs données. Mais le paiement de la rançon n'est pas le seul coût que peut entraîner une infection par ransomware. Selon l'enquête 2021 Coût d'une violation de données menée par IBM, le coût moyen d'une attaque de ransomware, sans compter la rançon, se chiffrait à 4,62 millions de dollars.
Les attaques de ransomware peuvent utiliser plusieurs méthodes, ou vecteurs, pour infecter un appareil ou un réseau. Parmi les principaux vecteurs d'infection par ransomware, citons les suivants :
Les cybercriminels n'ont pas nécessairement besoin de développer leur propre ransomware pour exploiter ces vecteurs. Certains développeurs de ransomware partagent leur code malveillant avec les cybercriminels par le biais d'accords de type « ransomware en tant que service » (RaaS). Le cybercriminel ou « affilié » utilise le code pour mener une attaque, puis partage le paiement de la rançon avec le développeur. Cette relation profite aux deux parties : Les affiliés peuvent profiter de l'extorsion sans avoir à développer leur propre logiciel malveillant, et les développeurs peuvent augmenter leurs profits sans avoir à lancer des cyberattaques manuellement.
Les distributeurs de ransomware peuvent vendre des ransomware via des places de marché numériques ou recruter des affiliés directement par le biais de forums en ligne ou autres moyens similaires. Les grands gangs de ransomware ont investi d'importantes sommes d'argent pour attirer des affiliés. Le groupe REvil, par exemple, a dépensé 1 million de dollars dans le cadre d'une campagne de recrutement en octobre 2020 (lien externe à ibm.com).
Une fois que les pirates ont accédé à un appareil, une attaque par ransomware se déroule généralement selon les étapes suivantes.
Étape 1 : Reconnaissance. Les attaquants analysent le système infecté afin de mieux connaître l'appareil et le réseau, et d'identifier les fichiers qu'ils peuvent cibler, notamment les fichiers contenant des informations sensibles que l'attaquant peut utiliser pour une double ou triple extorsion. La plupart d'entre eux recherchent également des données d'identification supplémentaires qui peuvent leur permettre de se déplacer latéralement sur le réseau et de diffuser le ransomware sur d'autres appareils.
Étape 2 : Activation. Le ransomware de chiffrement commence à identifier et à chiffrer les fichiers. La plupart des ransomware de chiffrement déploient un chiffrement asymétrique utilisant une clé publique pour chiffrer le ransomware et conservant une clé privée qui permettra de déchiffrer les données. Comme les victimes ne disposent pas de la clé privée, elles ne peuvent pas déchiffrer les données chiffrées sans l'aide des pirates. Certains ransomware de chiffrement désactivent également les fonctions de restauration du système ou suppriment ou chiffrent les sauvegardes sur l'ordinateur ou le réseau de la victime afin d'augmenter la pression pour payer la clé de déchiffrement.
Un ransomware sans chiffrement verrouille l'écran de l'appareil, l'inonde de fenêtres pop-up ou empêche la victime d'utiliser l'appareil de toute autre manière.
Étape 3 : Demande de rançon. Une fois les fichiers chiffrés et/ou l'appareil désactivé, le ransomware avertit la victime de l'infection, souvent par le biais d'un fichier .txt déposé sur le bureau de l'ordinateur ou d'une notification contextuelle. La demande de rançon contiendra des instructions sur la manière de payer la rançon, généralement en crypto-monnaie ou selon une méthode similaire non traçable, en échange d'une clé de déchiffrement ou du rétablissement du fonctionnement habituel.
Il existe deux types principaux de ransomware. Le type le plus courant, appelé « ransomware de chiffrement » ou « crypto-ransomware », prend en otage les données d'un utilisateur en les chiffrant. La forme la moins courante de ransomware, parfois appelée « ransomware casier », verrouille l'ensemble de l'appareil de la victime.
Ces deux types peuvent être divisés en sous-catégories :
Depuis 2020, les chercheurs en cybersécurité ont identifié plus de 130 familles ou variantes de ransomware actives et distinctes : des souches de ransomware uniques avec leurs propres signatures de code et fonctions.
Parmi les nombreuses variantes de ransomware qui ont circulé au fil des ans, plusieurs souches se distinguent par l'ampleur de leur destruction, leur influence sur le développement des ransomware ou les menaces qu'elles représentent aujourd'hui encore.
Apparu pour la première fois en septembre 2013, CryptoLocker est largement connu pour avoir donné le coup d'envoi de l'ère moderne des ransomware. Propagé à l'aide d'un botnet (réseau d'ordinateurs piratés), CryptoLocker a été l'une des premières familles de ransomware à chiffrer massivement les fichiers des utilisateurs. On estime à 3 millions de dollars les sommes extorquées avant qu'une action de répression internationale ne le fasse disparaître en 2014. Le succès de CryptoLocker a donné lieu à de nombreuses imitations et a ouvert la voie à des variantes telles que WannaCry, Ryuk et Petya (décrites ci-dessous).
Premier cryptoworm très médiatisé (ransomware pouvant se propager à d'autres appareils sur un réseau), WannaCry a attaqué plus de 200 000 ordinateurs (dans 150 pays) sur lesquels les administrateurs avaient négligé de corriger la vulnérabilité EternalBlue de Microsoft Windows. En plus de chiffrer les données sensibles, le ransomware WannaCry menaçait d'effacer les fichiers si le paiement de la rançon n'était pas reçu dans les sept jours. Elle reste l'une des plus importantes attaques de ransomware à ce jour, avec des coûts estimés à 4 milliards de dollars.
Contrairement à d'autres ransomware de chiffrement, Petya chiffre la table du système de fichiers plutôt que les fichiers en soi, ce qui empêche l'ordinateur infecté de démarrer Windows. Une version fortement modifiée, NotPetya, a été utilisée pour mener une cyberattaque à grande échelle, principalement contre l'Ukraine, en 2017. NotPetya était un essuie-glace incapable de déverrouiller les systèmes, même après le paiement de la rançon.
Apparu pour la première fois en 2018, Ryuk a vulgarisé les attaques de type « big-game ransomware » visant le gros gibier, avec des demandes de rançon dépassant en moyenne 1 million de dollars. Ryuk peut localiser et désactiver les fichiers de sauvegarde et les fonctions de restauration du système. Un nouvelle souche dotée de capacités de cryptoworm a été découverte en 2021.
Géré par un groupe soupçonné d'opérer depuis la Russie, DarkSide est la variante du ransomware qui a attaqué le Colonial Pipeline américain le 7 mai 2021, considéré comme la pire cyberattaque contre une infrastructure américaine critique à ce jour. Le pipeline qui fournit 45 % du carburant de la côte Est des États-Unis a ainsi dû être temporairement fermé. En plus de lancer des attaques directes, le groupe DarkSide accorde des licences d'utilisation de ses ransomware à ses affiliés via des accords RaaS.
Locky est un ransomware de chiffrement qui utilise une méthode d'infection particulière : il utilise des macros cachées dans les pièces jointes des courriers électroniques (fichiers Microsoft Word), déguisées en factures légitimes. Lorsqu'un utilisateur télécharge et ouvre le document Microsoft Word, des macros malveillantes téléchargent secrètement le contenu du ransomware sur l'appareil de l'utilisateur.
REvil, également connu sous le nom de Sodin ou Sodinokibi, a contribué à vulgariser l'approche RaaS de la distribution des ransomware. Connu pour son utilisation dans la chasse au gros gibier et les attaques de double extorsion, REvil était derrière les attaques de 2021 contre les sociétés JBS USA et Kaseya Limited. JBS a payé une rançon de 11 millions de dollars après avoir interrompu l'ensemble de ses activités de transformation de viande bovine aux États-Unis, et après avoir fait subir un temps d'indisponibilité important à plus de 1000 clients utilisant le logiciel Kaseya. Le Service fédéral de sécurité russe a indiqué avoir démantelé REvil et inculpé plusieurs de ses membres début 2022.
Le paiement d'une rançon est courant. Selon l'Etude de 2021 sur les organisations cyber-résilientes menée par IBM, 61 % des entreprises interrogées qui ont subi une attaque de ransomware ont déclaré avoir payé une rançon.
Cependant, les organismes de police fédérale américaines déconseillent unanimement aux victimes de payer la rançon. Selon le National Cyber Investigative Joint Task Force (NCIJTF), une coalition de 20 agences fédérales américaines chargées d'enquêter sur les cybermenaces,
« Le FBI déconseille de payer une rançon aux acteurs criminels. Le paiement d'une rançon peut inciter les adversaires à cibler d'autres organisations, encourager d'autres acteurs criminels à s'engager dans la distribution de ransomware et/ou financer des activités illicites. Le paiement d'une rançon ne garantit pas non plus que les fichiers de la victime seront récupérés ».
Les services de police recommandent aux victimes de ransomware de signaler les attaques aux autorités compétentes, comme l'Internet Crime Complaint Center (IC3) du FBI, avant de payer une rançon. Certaines victimes d'attaques par ransomware peuvent être légalement tenues de signaler les infections par ransomware, qu'une rançon soit payée ou non. Par exemple, la conformité à l'HIPAA oblige généralement les entités de soins de santé à signaler toute violation de données, y compris les attaques par ransomware, au ministère de la Santé et des Services sociaux.
Dans certaines conditions, le paiement d'une rançon peut être illégal. Selon un avis publié en 2020 par l'Office of Foreign Assets Control (OFAC) du Ministère des finances des États-Unis, le paiement d'une rançon à des attaquants provenant de pays soumis à des sanctions économiques américaines, tels que la Russie, la Corée du Nord ou l'Iran, constituerait une violation de la réglementation de l'OFAC et pourrait entraîner des sanctions civiles, des amendes ou des poursuites pénales.
Pour se défendre contre les menaces de ransomware, les organismes fédéraux comme le CISA, le NCIJFT et les services secrets américains recommandent aux organisations de prendre certaines mesures de précaution, notamment :
Bien que des outils de déchiffrement pour certaines variantes de ransomware soient accessibles au public grâce à des projets tels que No More Ransom (lien externe à ibm.com), pour remédier à une infection active par un ransomware, il faut souvent adopter une approche à plusieurs niveaux. Consultez le Guide définitif des ransomware d'IBM Security pour obtenir un exemple de plan de réponse aux incidents de ransomware inspiré du Cycle de vie de la réponse aux incidents du National Institute of Standards and Technology (NIST).
1989 : La première attaque de ransomware documentée, connue sous le nom de cheval de Troie AIDS ou « attaque P.C. Cyborg », a été distribuée via des disquettes. Elle masquait les répertoires de fichiers sur l'ordinateur de la victime et demandait 189 dollars pour les afficher à nouveau. Mais comme elle chiffrait les noms de fichiers et non les fichiers eux-mêmes, les utilisateurs pouvaient facilement réparer les dégâts sans payer de rançon.
1996 : En analysant les failles du cheval de Troie AIDS, les informaticiens Adam L. Young et Moti Yung ont lancé une mise en garde contre de futures formes de logiciels malveillants qui pourraient utiliser un système de chiffrement à clé publique plus sophistiqué pour prendre en otage des données sensibles.
2005 : Après un nombre relativement faible d'attaques de ransomware au début des années 2000, une recrudescence des infections commence, principalement en Russie et en Europe de l'Est. Les premières variantes utilisant un chiffrement asymétrique apparaissent. Les nouveaux ransomware offrant des moyens plus efficaces d'extorquer de l'argent, les cybercriminels ont commencé à les diffuser dans le monde entier.
2009 : L'introduction de la cryptomonnaie, en particulier le bitcoin, donne aux cybercriminels un moyen de recevoir des paiements de rançon intraçables, ce qui entraîne un nouvel essor des activités de ransomware.
2013 : L'ère moderne des ransomware commence avec CryptoLocker qui inaugure la vague actuelle d'attaques de ransomware de chiffrement hautement sophistiqués, qui demandent un paiement en crypto-monnaie.
2015 : La variante du ransomware Tox introduit le modèle de ransomware en tant que service (RaaS).
2017 : Apparition de WannaCry, le premier cryptoworm capable de s'auto-reproduire à grande échelle.
2018 :Ryuk a vulgarisé la chasse au gros gibier
Los Angeles s'associe à IBM Security pour créer un groupe de partage des cybermenaces, le premier en son genre, afin de se protéger contre la cybercriminalité.
La Commercial International Bank S.A.E. améliore ses processus et sa sécurité en visant l'objectif Zero Trust.
Ensemble, ANDRITZ et le service IBM Security accélèrent la détection et la réponse aux menaces.
Découvrez comment protéger les données de votre entreprise contre les menaces de ransomware qui risquent de la prendre en otage.
Sécuriser l'infrastructure du réseau contre les menaces avancées et les logiciels malveillants.
Une suite modulaire et intégrée de capacités de détection et de réponse aux menaces qui fonctionne sur une plateforme de sécurité ouverte
Découvrez comment vous pouvez améliorer la préparation de la réponse aux cyberincidents et minimiser l'impact des brèches.
Obtenez des taux de réponse aux incidents plus rapides grâce à une orchestration et une automatisation intelligentes.
La défense contre les menaces commence par une prévention, une détection et une réponse rapide 24 heures sur 24.
La montée en puissance du travail à distance et de l'interconnexion des terminaux s'accompagne de son propre lot de défis en matière de cybersécurité. Pour y faire face, il est nécessaire de disposer d'un outil moderne de réponse et de détection des terminauxpiloté par l'IA, capable de bloquer et d'isoler de manière proactive les menaces de logiciels malveillants et de ransomware, et de propulser la sécurité des terminaux dans un monde de confiance zéro.
Surveillez et contrôlez en permanence tous vos appareils mobiles, applications et contenus ; exécutez des analyses de sécurité basées sur l'IA ; et maintenez la sécurité sur toutes vos plateformes.
Simplifiez la gestion des données et de l'infrastructure avec la famille de plateformes unifiées IBM FlashSystem®, qui rationalise l'administration et la complexité opérationnelle dans les environnements sur site, de cloud hybride, virtualisés et conteneurisés.
Comprenez votre environnement de cybersécurité et hiérarchisez les initiatives avec les architectes et consultants en sécurité seniors d'IBM lors d'une session de design thinking gratuite, virtuelle ou en personne, d'une durée de 3 heures.
Comprendre les risques de cyberattaque grâce à une vue globale du contexte des menaces.
Approche normative des attaques par ransomware et aperçu de techniques avancées d'atténuation des risques
Votre meilleure cyberdéfense contre les ransomware et autres.
Le rapport Coût d'une violation de données explore les retombées financières et les mesures de sécurité qui peuvent aider votre organisation à éviter une violation de données ou, si celle-ci n'a pas pu être évitée, à en réduire les coûts.
Les professionnels de la cybersécurité utilisent des processus de gestion des menaces pour prévenir les cyberattaques, détecter les cybermenaces et répondre aux incidents de sécurité.