Mise à jour : 4 juin 2024
Contributeur : Matthew Kosinski
Un ransomware est un type de logiciel malveillant qui prend en otage les données sensibles ou l’appareil d’une victime en menaçant de le maintenir verrouillé, ou pire, à moins que la victime ne paie une rançon à l’attaquant.
Les premières attaques de ransomware exigeaient simplement une rançon en échange de la clé de chiffrement nécessaire pour retrouver l’accès aux données affectées ou l’utilisation de l’appareil infecté. En effectuant des sauvegardes régulières ou continues de ses données, une organisation pourrait limiter les coûts liés à ces types d’attaques par ransomware et souvent éviter de payer la rançon demandée.
Ces dernières années, les attaques de ransomware ont évolué et incluent des tactiques à double et triple extorsion qui augmentent considérablement les enjeux. Même les victimes qui effectuent rigoureusement des sauvegardes de leurs données ou qui paient la rançon initiale sont en danger.
Les attaques à double extorsion ajoutent la menace de voler les données de la victime et de les divulguer en ligne. Les attaques à triple extorsion, elles, menacent en plus d’utiliser les données volées pour attaquer les clients ou les partenaires commerciaux de la victime.
Le ransomware est l’une des formes de logiciels malveillants les plus courantes ; ces attaques peuvent coûter des millions de dollars aux entreprises qui en sont victimes.
20 % des cyberattaques enregistrées par IBM X-Force Threat Intelligence Index en 2023 impliquaient des ransomwares. Et ces attaques sont rapides. Une fois qu’ils ont pu accéder au réseau, les pirates informatiques mettent moins de quatre jours pour déployer un ransomware. Cela laisse peu de temps aux entreprises pour détecter et déjouer les attaques.
Les victimes de ransomware et les négociateurs hésitent à divulguer les montants des rançons versées, mais les cybercriminels exigent souvent des sommes à sept ou huit chiffres. Et les paiements de rançon ne font partie que du coût total d’une infection par ransomware. Selon le rapport d'IBM sur le coût d’une violation de données), le coût moyen d'une attaque par ransomware s'élève à 5,13 millions de dollars, hors rançon.
Cela dit, les équipes de cybersécurité sont de plus en plus efficaces dans la lutte contre les ransomwares. Selon le X-Force Threat Intelligence Index, les infections par ransomware ont diminué de 11,5 % entre 2022 et 2023, sans doute en raison des progrès en matière de détection et de prévention des menaces.
Améliorez vos connaissances et repensez votre plan de réponse aux incidents afin de mieux protéger votre entreprise contre les ransomwares.
Demandez notre rapport sur le coût d’une violation de données
Il existe deux grands types de ransomware. Le type le plus courant, appelé ransomware de chiffrement ou crypto-ransomware, prend en otage les données de la victime en les chiffrant. Le pirate exige ensuite une rançon en échange de la clé de chiffrement nécessaire pour déchiffrer les données.
La forme la moins courante de ransomware, appelée ransomware sans chiffrement ou ransomware à verrouillage d’écran, verrouille l’ensemble de l’appareil de la victime, généralement en bloquant l’accès au système d’exploitation. Au lieu de démarrer comme d’habitude, l’appareil affiche un écran sur lequel figure la demande de rançon.
Ces deux types de ransomwares sont divisés en plusieurs sous-catégories :
Le leakware ou doxware est un ransomware qui vole, ou exfiltre, des données sensibles et menace de les publier. Alors que les premières formes de leakware ou doxware volaient souvent des données sans les chiffrer, les variantes actuelles ont tendance à faire les deux.
Le terme de « ransomware mobile » désigne tout ransomware qui affecte les appareils mobiles. Propagés par le biais d’applications malveillantes ou de téléchargements furtifs, la plupart des ransomwares mobiles sont des ransomwares sans chiffrement. Les pirates préfèrent le verrouillage d’écran pour mener des attaques sur mobile, car les sauvegardes automatisées des données dans le cloud, normalisées pour la plupart des appareils mobiles, facilitent l’inversion des attaques par chiffrement.
Les wipers, ou ransomwares destructeurs, menacent de détruire les données si la victime ne paie pas la rançon demandée. Dans certains cas, le ransomware détruit les données même en cas de paiement. Ce dernier type de wiper est généralement déployé par des acteurs étatiques ou des hacktivistes, et non par de simples cybercriminels.
Le scareware porte bien son nom : ce ransomware tente d’effrayer (« scare » en anglais) les utilisateurs pour les amener à payer une rançon. Il peut s’agir d’un message soi-disant envoyé par un organisme public accusant le destinataire d’avoir commis une infraction et exigeant qu’il règle une amende, ou encore d’une fausse alerte d’infection virale incitant la victime à acheter un antivirus, qui s’avère être un ransomware.
Parfois, le scareware est le ransomware, qui chiffre les données ou verrouille l’appareil. dans d’autres cas, il est le vecteur du ransomware, qui ne chiffre rien mais contraint la victime à télécharger le ransomware.
Les attaques par ransomware peuvent utiliser plusieurs méthodes, ou vecteurs, pour infecter un réseau ou un appareil. Parmi les vecteurs d’infection par ransomware les plus connus, citons :
Les attaques d’ingénierie sociale amènent les victimes à télécharger et à exécuter des fichiers qui s’avèrent être des ransomwares : par exemple, un e-mail de phishing contenant une pièce jointe malveillante sous la forme d’un fichier (.pdf, document Microsoft Word, etc.) qui semble inoffensif.
Les attaques d’ingénierie sociale peuvent également amener les utilisateurs à visiter un site Web ou à scanner un QR code qui font passer le ransomware par le navigateur Web de l’utilisateur.
Les cybercriminels exploitent souvent les vulnérabilités existantes pour injecter du code malveillant dans un appareil ou un réseau.
Les vulnérabilités zero-day, qui sont des vulnérabilités soit inconnues de la communauté de la sécurité, soit identifiées mais pas encore corrigées, représentent une menace particulière. Certains groupes de création de ransomwares achètent à d’autres pirates des informations sur les failles zero-day afin de planifier leurs attaques. Les pirates ont également utilisé efficacement des vulnérabilités corrigées comme vecteurs d’attaque, comme ce fut le cas lors de l’attaque WannaCry de 2017.
Les cybercriminels peuvent voler les identifiants des utilisateurs autorisés, les acheter sur le dark web ou les craquer par le biais d’attaques par force brute. Ils utilisent ensuite ces identifiants pour se connecter à un réseau ou à un ordinateur et déployer directement un ransomware.
Le protocole RDP (Remote Desktop Protocol), un protocole Microsoft propriétaire qui permet aux utilisateurs d’accéder à un ordinateur à distance, est une des cibles de vol d’identifiants les plus populaires parmi les adeptes de l’attaque par ransomware.
Les pirates informatiques utilisent souvent des logiciels malveillants développés pour d’autres attaques afin de diffuser un ransomware sur un appareil. Les acteurs malveillants avaient utilisé le cheval de Troie Trickbot, conçu à l’origine pour voler des identifiants bancaires, afin de diffuser une variante du ransomware Conti tout au long de l’année 2021.
es pirates peuvent utiliser des sites Web pour transmettre des ransomwares à des appareils à l’insu des utilisateurs. Les kits d’exploit utilisent des sites compromis pour analyser les navigateurs des visiteurs à la recherche de vulnérabilités dans les applications Web qu’ils peuvent utiliser pour injecter un ransomware sur l’appareil.
La publicité malveillante (des annonces numériques légitimes compromises par des pirates) peut transmettre des ransomwares aux appareils, même si l’utilisateur ne clique pas sur l’annonce.
Les cybercriminels n’ont pas nécessairement besoin de développer leur propre ransomware pour exploiter ces vecteurs. Certains développeurs de ransomwares partagent le code de leurs logiciels malveillants avec d’autres cybercriminels par le biais d’accords de RaaS (ransomware en tant que service).
Le cybercriminel, ou « affilié », utilise le code pour mener une attaque et partage la rançon avec le développeur. C’est une relation mutuellement bénéfique. Les affiliés tirent parti de l’extorsion sans avoir à développer leur propre logiciel malveillant, tandis que les développeurs augmentent leur profit sans lancer d’autres cyberattaques.
Les distributeurs de ransomwares peuvent vendre les ransomwares sur les marketplaces numériques du dark web, ou recruter des affiliés par le biais de forums en ligne ou d’autres voies similaires. Les grands groupes de ransomware investissent des sommes importantes pour attirer des affiliés.
Une attaque par ransomware se déroule généralement selon ces étapes.
Selon le guide de référence sur les ransomwares d'IBM Security, les vecteurs les plus courants des attaques par ransomware sont l'hameçonnage, l'exploitation des vulnérabilités et la compromission de protocoles d'accès à distance tels que le RDP.
En fonction du vecteur d’accès initial, les pirates peuvent utiliser un outil d’accès à distance intermédiaire (RAT) ou d’autres logiciels malveillants pour pénétrer dans le système cible.
Au cours de cette troisième phase, les attaquants s’efforcent de comprendre le système local et le domaine auxquels ils ont accès. Les pirates cherchent également à accéder à d’autres systèmes et domaines, un processus appelé mouvement latéral.
À ce stade, les opérateurs de ransomware se concentrent sur l’identification des données de valeur et leur exfiltration (vol), généralement en en téléchargeant ou en en exportant une copie.
Bien que les attaquants puissent exfiltrer toutes les données auxquelles ils ont accès, ils se concentrent généralement sur les données particulièrement précieuses (identifiants de connexion, informations personnelles des clients, propriété intellectuelle) qu’ils peuvent utiliser dans le cadre d’une double extorsion.
Le crypto ransomware commence à identifier et à chiffrer les fichiers. Certains ransomwares de chiffrement désactivent également les fonctions de restauration du système, ou suppriment/chiffrent les sauvegardes sur l’ordinateur ou le réseau de la victime, afin d'augmenter la pression pour obtenir la clé de déchiffrement.
Les ransomwares sans chiffrement verrouillent l’écran de l’appareil, l’inondent de fenêtres pop-up ou empêchent la victime d’utiliser l’appareil d’une autre manière.
Une fois les fichiers chiffrés ou l’appareil inutilisable, le ransomware avertit la victime de l’infection. Cette notification arrive souvent par le biais d’un fichier .txt déposé sur le bureau de l’ordinateur ou d’une fenêtre pop-up.
Le message de rançon contient des instructions sur la manière de la payer, généralement en crypto-monnaie ou par une méthode similaire non traçable. Le paiement s’effectue en échange d’une clé de déchiffrement ou d’un retour à la normale.
À ce jour, les chercheurs en cybersécurité ont identifié des milliers de variantes distinctes, ou « familles », de ransomwares, chacune ayant ses propres signatures de code et fonctions uniques.
Plusieurs souches de ransomware sont particulièrement remarquables pour l’ampleur de leur destruction, la façon dont elles ont influencé le développement des ransomwares ou les menaces qu’elles représentent aujourd’hui.
CryptoLocker
Apparu pour la première fois en septembre 2013, CryptoLocker est largement considéré comme ayant donné le coup d’envoi de l’ère moderne des ransomwares.
Propagé à l’aide d’un botnet (réseau d’ordinateurs piratés), CryptoLocker a été l’une des premières familles de ransomwares à chiffrer fortement les fichiers des utilisateurs. Il a extorqué environ 3 millions de dollars américains avant d’être neutralisé par les forces de l’ordre internationales en 2014.
Le succès de CryptoLocker a encouragé de nombreux imitateurs et a ouvert la voie à des variantes comme WannaCry, Ryuk et Petya.
WannaCry
Premier ver de chiffrement très médiatisé capable de se propager à d’autres appareils sur un réseau, WannaCry a attaqué plus de 200 000 ordinateurs dans 150 pays. Les ordinateurs concernés étaient vulnérables car les administrateurs avaient négligé d’appliquer un correctif contre la vulnérabilité EternalBlue de Microsoft Windows.
En plus de chiffrer les données sensibles, le ransomware WannaCry menaçait d’effacer les fichiers si les victimes ne payaient pas dans les sept jours. Cela reste l’une des plus grandes attaques par ransomware à ce jour, avec un coût estimé à 4 milliards.
Petya et NotPetya
Contrairement à d’autres ransomwares de chiffrement, Petya chiffre la table du système de fichiers plutôt que des fichiers individuels, ce qui rend l’ordinateur infecté incapable de démarrer Windows.
Une version fortement modifiée, NotPetya, a été utilisée pour mener une cyberattaque à grande échelle, principalement contre l’Ukraine, en 2017. NotPetya était un wiper incapable de déverrouiller les systèmes même après le paiement de la rançon.
Ryuk
Apparu pour la première fois en 2018, Ryuk a popularisé les attaques par ransomware de type « big game hunting », ou chasse au gros gibier, contre des cibles spécifiques de grande envergure, avec des demandes de rançon dépassant en moyenne 1 million de dollars américains. Ryuk peut localiser et désactiver les fichiers de sauvegarde et les fonctionnalités de restauration système. Une nouvelle souche dotée de capacités de chiffrement a été découverte en 2021.
DarkSide
Dirigée par un groupe soupçonné d’opérer depuis la Russie, DarkSide est la variante de ransomware qui a attaqué le Colonial Pipeline le 7 mai 2021. Considérée par beaucoup comme la pire cyberattaque contre une infrastructure critique des États-Unis à ce jour, DarkSide a temporairement fermé le pipeline fournissant 45 % du carburant de la côte Est du pays.
En plus de mener des attaques directes, le groupe DarkSide octroie également des licences de ransomware à ses affiliés par le biais d’accords RaaS.
Locky
Locky est un ransomware de chiffrement avec une méthode d’infection distincte : il utilise des macros cachées dans des pièces jointes d’e-mails (fichiers Microsoft Word) déguisées en factures légitimes. Lorsqu’un utilisateur télécharge et ouvre le document Microsoft Word, les macros malveillantes téléchargent secrètement la charge utile du ransomware sur l’appareil de l’utilisateur.
REvil
REvil, également connu sous le nom de Sodin ou Sodinokibi, a contribué à populariser l’approche RaaS de la distribution des ransomwares.
Connu pour son utilisation dans la chasse au gros gibier et les attaques de double extorsion, REvil est à l’origine des attaques de 2021 contre les sociétés JBS USA et Kaseya Limited. JBS a payé une rançon de 11 millions de dollars après que les pirates ont perturbé l’ensemble des opérations de transformation de viande bovine de sa filiale américaine. Les temps d’arrêt importants ont touché un millier de clients logiciels Kaseya.
Début 2022, le Service fédéral de sécurité russe a déclaré avoir démantelé REvil et inculpé plusieurs de ses membres.
Conti
Observé pour la première fois en 2020, le « Conti gang » a mis en œuvre un vaste programme RaaS qui consistait à verser un salaire aux pirates informatiques qui utilisaient son ransomware. Conti a développé une forme unique de double extorsion, menaçant ses victimes de vendre l’accès à leur réseau à d’autres pirates si elle refusait de payer.
Conti a été dissous après la fuite de ses journaux de discussion interne en 2022, mais bon nombre de ses membres sont toujours actifs dans le paysage de la cybermenace. Selon le X-Force Threat Intelligence Index, plusieurs anciens membres Conti sont associés à des ransomwares parmi les plus répandus aujourd’hui, notamment BlackBasta, Royal et Zeon.
LockBit
Noté parmi les ransomwares les plus courants en 2023 par le X-Force Threat Intelligence Index, LockBit se distingue par son organisation quasi entrepreneuriale. À l’instar des entreprises légitimes qui acquièrent d’autres entreprises, le groupe LockBit est connu pour acquérir d’autres souches de logiciels malveillants.
Bien que les forces de l’ordre aient saisi plusieurs sites Web LockBit en février 2024 et que le gouvernement américain ait imposé des sanctions à l’un des hauts dirigeants du gang, LockBit continue de sévir.
Sachant que les demandes de rançon varient considérablement et que bon nombre de victimes choisissent de ne pas rendre public la somme qu’elles ont payée, le montant moyen des rançons est difficile à évaluer. Cela dit, selon la plupart des estimations, il s’agirait d’un nombre de six à sept chiffres. Les pirates ont demandé le paiement de rançons allant jusqu’à 80 millions de dollars américains, selon le Guide de référence sur les ransomwares publié par IBM.
Il est important de noter que le nombre de victimes qui paient une rançon a fortement chuté ces dernières années. Selon le fournisseur de solutions de réponse aux incidents d’extorsion en ligne Coveware, seules 37 % des victimes ont payé une rançon en 2023, contre 70 % en 2020.1
Les experts expliquent ce renversement de tendance par une meilleure préparation face aux cybermenaces : hausse des investissements dans la sauvegarde de données, plans de réponse aux incidents, et technologies de prévention et de détection des menaces.
Recommandations des autorités
Les organismes fédéraux américains chargés de l’application de la loi découragent unanimement les victimes de ransomware de payer les rançons demandées. Selon la National Cyber Investigative Joint Task Force (NCIJTF), une coalition de 20 agences fédérales américaines partenaires chargées d’enquêter sur les cybermenaces :
« Le FBI n’encourage pas à payer une rançon à des criminels. Le paiement d’une rançon peut enhardir les adversaires à cibler d’autres organisations, encourager d’autres acteurs malveillants à s’engager dans la distribution de ransomwares, et/ou financer des activités illicites. Le paiement d’une rançon ne garantit pas non plus la récupération des fichiers de la victime. »
Les autorités recommandent aux victimes de ransomware de signaler les attaques aux autorités compétentes, comme l’Internet Crime Complaint Center (IC3) du FBI, avant de payer une rançon.
Certaines victimes d’attaques par ransomware ont l’obligation légale de signaler les infections par ransomware, qu’elles paient ou non une rançon. Par exemple, la conformité à la loi HIPAA exige généralement que les établissements de santé signalent toute violation de données, y compris les attaques par ransomware, au ministère de la santé et des services sociaux.
Dans certaines conditions, le paiement d’une rançon peut être illégal.
L’Office of Foreign Assets Control (OFAC) du Trésor américain a indiqué que le paiement d’une rançon à des pirates provenant de pays faisant l’objet de sanctions économiques américaines (comme la Corée du Nord ou l’Iran) constituerait une violation des règlements de l’OFAC. Les contrevenants s’exposent à des sanctions civiles, des amendes ou des poursuites pénales.
Plusieurs États américains, dont la Floride et la Caroline du Nord, interdisent aux agences gouvernementales de payer une rançon.
Les experts en cybersécurité et les agences fédérales telles que la CISA (Cybersecurity and Infrastructure Security Agency) et les services secrets américains recommandent aux entreprises de prendre les mesures nécessaires pour se protéger contre les ransomwares. En voici quelques exemples :
- Sauvegarder leurs données sensibles et images système, idéalement sur disque dur ou sur d’autres appareils que l’équipe informatique peut déconnecter du réseau en cas d’attaque par ransomware.
- Appliquer régulièrement les correctifs pour aider à déjouer les attaques par ransomware qui exploitent les vulnérabilités des logiciels et des systèmes d’exploitation.
- Les outils de cybersécurité comme les logiciels antivirus, les outils de surveillance du réseau, les plateformes de détection et réponse des terminaux (EDR) et les systèmes de gestion des informations et des événements de sécurité (SIEM) permettent aux équipes de sécurité d’intercepter les ransomwares en temps réel.
- Former les employés à la cybersécurité peut les aider à reconnaître et à éviter l’hameçonnage, l’ingénierie sociale et d’autres tactiques qui peuvent conduire à des infections par ransomware.
- Mettre en œuvre des politiques de contrôle d’accès comme l’authentification à étapes ou la segmentation du réseau empêche les ransomwares d’accéder aux données sensibles. Les contrôles de gestion des identités et des accès (IAM) empêchent les vers de chiffrement d’atteindre les autres appareils du réseau.
- Les plans formels de réponse aux incidents permettent aux équipes de sécurité d'intercepter et de remédier aux violations plus rapidement. Le rapport sur le coût d’une violation de données a révélé que les organisations disposant de plans formels et d'équipes de réponse aux incidents dédiées identifient les violations 54 jours plus rapidement que celles qui n'ont ni l'un ni l'autre. Ce délai de détection plus court réduit les coûts de résolution, permettant aux organisations d'économiser en moyenne 1,49 million de dollars par violation.
Bien que les outils de déchiffrement de certaines variantes de ransomware soient accessibles au public via des projets comme No More Ransom2, la résolution d’une infection active par ransomware nécessite souvent une approche multifactorielle.
Consultez le Guide de référence sur les ransomwares d’IBM Security pour obtenir un exemple de plan de réponse à un incident de ransomware calqué sur le cycle de vie de réponse à un incident du National Institute of Standards and Technology (NIST).
1989 : Le premier ransomware documenté, connu sous le nom de « cheval de Troie AIDS » ou attaque « P.C. Cyborg », est distribué via des disquettes. Il cache des répertoires de fichiers sur l’ordinateur de la victime et demande 189 USD pour les faire réapparaître. Comme ce logiciel malveillant chiffre les noms des fichiers plutôt que les fichiers eux-mêmes, les utilisateurs peuvent facilement réparer les dégâts sans payer de rançon.
1996 : En analysant le cheval de Troie AIDS, les informaticiens Adam L. Young et Moti Yung mettent en garde contre de futures formes de logiciels malveillants qui pourraient utiliser un système de chiffrement plus sophistiqué pour prendre en otage des données sensibles.
2005 : Après un nombre relativement faible d’attaques par ransomware au début des années 2000, on assiste à une recrudescence des infections, principalement en Russie et en Europe de l’Est. Les premières variantes utilisant le chiffrement asymétrique apparaissent. Les nouveaux ransomwares offrant des moyens plus efficaces d’extorquer de l’argent, de plus en plus de cybercriminels commencent à diffuser des ransomwares dans le monde entier.
2009 : L’introduction des cryptomonnaies, en particulier le Bitcoin, donne aux cybercriminels un moyen de recevoir des paiements de rançons intraçables, ce qui stimule la prochaine flambée de l’activité des ransomwares.
2013 : L’ère moderne des ransomwares commence avec CryptoLocker qui inaugure la vague actuelle d’attaques par ransomware hautement sophistiquées basées sur le chiffrement et sollicitant un paiement en crypto-monnaie.
2015 : La variante de ransomware Tox introduit le modèle du ransomware en tant que service (RaaS).
2017 : WannaCry, le premier ver auto-répliquant largement utilisé, fait son apparition.
2018 : Ryuk popularise la chasse au gros gibier.
2019 : Les attaques par ransomware à double et triple extorsion gagnent en popularité.Depuis 2019, la quasi-totalité des incidents de ransomware auxquels l’équipe de réponse aux incidents IBM Security X-Force a répondu impliquent une double extorsion.
2022 : le détournement de fil de discussion, qui permet aux cybercriminels de s’insérer dans les conversations en ligne de leurs cibles, s’avère être un vecteur de ransomware important.
2023 : À mesure que les défenses contre les ransomwares se renforcent, de nombreux gangs de ransomwares commencent à élargir leur arsenal et à compléter leurs ransomwares par de nouvelles tactiques d'extorsion. En particulier, des gangs comme LockBit et certains vestiges de Conti commencent à utiliser des logiciels malveillants de vol d'informations qui leur permettent de voler des données sensibles et de les garder en otage sans avoir besoin de verrouiller les systèmes des victimes.
Empêchez les ransomwares d’interrompre vos opérations ; reprenez rapidement votre activité en cas d’attaque, afin de minimiser leur impact.
Le FlashCore Module 4 (FCM4) nouvelle génération offre un stockage résilient des données en cas de cyberattaque. Surveillez de façon continue les statistiques recueillies à partir de chaque E/S à l’aide de modèles de machine learning afin de détecter les anomalies telles que les ransomwares en moins d’une minute.
Protégez de manière proactive les systèmes de stockage primaires et secondaires de votre organisation contre les ransomwares, les erreurs humaines, les catastrophes naturelles, le sabotage, les pannes matérielles et autres risques de perte de données.
Inscrivez-vous au webinaire pour découvrir comment exploiter IBM Storage Defender et IBM FlashSystem pour lutter efficacement contre les ransomwares.
Regardez l'enregistrement à la demande pour découvrir les mesures pratiques que vous pouvez prendre pour construire une opération plus résiliente et sécuriser vos données.
Accédez à des informations exploitables pour vous aider à comprendre comment les acteurs malveillants mènent des attaques et comment protéger proactivement votre organisation.
Notes de bas de page
Tous les liens sont externes au site ibm.com
1 New Ransomware Reporting Requirements Kick in as Victims Increasingly Avoid Paying. Coveware. 26 janvier 2024.
2 Outils de déchiffrement. No More Ransom.