Ransomware
Comme son nom l’indique, le ransomware est un malware qui empêche un utilisateur d’accéder à une ressource jusqu’au paiement d’une rançon. La ressource ainsi chiffrée, et donc inaccessible, peut être un fichier unique, voire un système entier. Les attaques de ransomware chiffrent généralement une grande quantité de fichiers particulièrement sensibles afin de mettre les entreprises sous pression et les pousser à payer la rançon pour limiter les dégâts.
D’après le rapport 2023 de l’ENISA sur le paysage des menaces, les ransomwares étaient la menace la plus signalée entre 2022 et 2023, ce qui représente plus de 30 % de tous les incidents dans le monde. Le rapport établit en outre que les attaques de ransomware ciblent les entreprises de tous les grands secteurs ; les plus touchés étant la production industrielle, la santé, l’administration publique et les services. Si les attaques signalées étaient pour la plupart motivées par l’appât du gain, il est à noter que certaines s’inscrivent dans le cadre d’une volonté géopolitique, d’une idéologie ou encore d’une opération d’espionnage.
Si les attaques de ransomware touchent des victimes dans le monde entier, les rapports de l’ENISA indiquent que plus de la moitié des attaques enregistrées ont eu lieu aux États-Unis.
L’Internet Crime Complaint Center (IC3), dont le siège est situé aux États-Unis et qui se donne pour mission d’analyser les cyberattaques du monde entier, révèle que les attaques de ransomware en 2022 ont touché des entreprises de toutes les tailles et de tous les secteurs.
Les pertes signalées auprès de l’IC3 en 2022 s’élevaient à 34,3 M$ (USD). Au cours de cette période, l’IC3 a observé une hausse des tentatives d’extorsion de la part des hackers, par exemple en menaçant les victimes de faire fuiter des données sensibles ou en exfiltrant des données avant de les chiffrer (les systèmes de sauvegarde deviennent donc inefficaces). Parmi les secteurs les plus touchés, on retrouve les domaines publics et privés de la santé, la production de composants critiques, les infrastructures gouvernementales et l’informatique.
Les conclusions de l’ENISA et de l’IC3 rejoignent celles d’autres institutions. Dans son rapport 2023 Cost of a Data Breach, IBM révèle que les ransomwares représentaient 24 % de toutes les attaques malveillantes. Autre donnée importante : le coût moyen d’une attaque de ransomware atteignait les 5,13 M$ (USD) en 2023, soit 13 % de plus que l’année précédente. Les attaques de ransomware ont par ailleurs coûté 470 000 $ (USD) de plus aux entreprises qui n’avaient pas fait appel aux services de police pour résoudre l’incident. Ces mêmes entreprises ont également payé des rançons environ 10 % plus élevées et un délai plus long de 33 jours pour identifier et contenir la violation par ransomware (306 jours en moyenne).
Les coûts d’une attaque par ransomware vont bien au-delà de la rançon. Il faut en effet tenir compte d’autres aspects qui font monter l’addition : temps d’arrêt, perte de données, non-conformité, attrition des clients, mauvaise publicité et conséquences juridiques.
L’émergence du ransomware-as-a-service (RaaS) a dopé les attaques de ransomwares. En l’échange d’un abonnement, les hackers reçoivent un kit prêt à l’emploi pour lancer leur attaque, comprenant le code du ransomware et la clé de déchiffrement. Avec le RaaS, même les hackers sans compétence particulière peuvent poser une menace sérieuse pour la cybersécurité des entreprises.
Les attaques de ransomwares font fréquemment les gros titres, car les hackers s’en prennent à des institutions vulnérables. Les ransomwares présentent de nombreuses variantes, dont plusieurs ont beaucoup fait parler d’elles en raison de leurs conséquences désastreuses. En voici la liste ci-dessous.
LockBit
Au cours des dernières années, LockBit s’est imposé comme un ransomware de premier plan. Entre 2022 et 2023, il a été responsable de près de la moitié des incidents (46,78 %) signalés à l’ENISA. D’après la Cybersecurity & Infrastructure Security Agency (CISA), LockBit était le ransomware le plus employé dans le monde en 2022 et continue d’être largement utilisé dans le cadre d’attaques lancées en 2023.
LockBit touche des entreprises de toutes tailles et de tous secteurs. Les variantes du ransomware fonctionnent selon un modèle RaaS, qui permet aux hackers d’exploiter les menaces et l’infrastructure des opérateurs RaaS pour orchestrer des attaques individuelles. Vu les profils variés des acteurs malveillants qui utilisent LockBit, leurs tactiques, techniques et procédures (TTP) peuvent s’avérer très différentes.
BlackCat (ALPHV)
Le cybergang BlackCat, également appelé « ALPHV » et « Noberus », est un des plus prolifiques depuis son apparition en novembre 2021. Son ransomware, basé sur le modèle RaaS, est la deuxième variante la plus observée entre 2022 et 2023, d’après l’ENISA. BlackCat s’attaque à des entreprises de toutes tailles et de tous secteurs. Les hackers utilisent un code de ransomware écrit en Rust, un langage de programmation prisé pour ses capacités d’évitement, sa sécurité et sa flexibilité. Le groupe de ransomware a également recours à une tactique de triple extorsion. Dans ce schéma, les données sensibles sont exfiltrées avant leur chiffrent (double extorsion) et les hackers menacent leur victimes d’une attaque par déni de service distribué (DDoS) en cas de refus de payer la rançon (triple extorsion).
BianLian
Il s’agit d’un autre groupe de ransomware qui cible des secteurs à l’infrastructure critique, et ce depuis au moins juin 2022. D’après l’ENISA, BianLian est le troisième groupe de ransomware le plus actif entre 2022 et 2023, et est responsable à lui seul de 14 % des incidents signalés. Le rapport de la CISA nous en apprend davantage sur le mode opératoire de BianLian, qui subtilise ou utilise les identifiants Remote Desktop Protocol (RDP) pour se frayer un premier accès, emploie des outils open source pour effectuer un mouvement latéral dans les systèmes de la victime et collecter des identifiants, et pratique l’exfiltration de données sensibles. BianLian menace ensuite sa victime de représailles si cette dernière refuse d’accéder à ses demandes. L’analyse de l’ENISA indique que BianLian a principalement ciblé des organismes de santé pendant la période 2022-2023, sur laquelle porte son rapport.
CL0P
CL0P est un cybergang russe également connu sous le nom de « TA505 ». Ses premiers exploits remontent à 2019 et l’opérateur RaaS est considéré comme le plus grand opérateur de phishing et de malspam du monde d’après la CISA. Ainsi, CL0P est soupçonné d’avoir compromis plus de 3 000 entreprises basées aux États-Unis et 8 000 entreprises dans le monde. Plus récemment, le groupe a défrayé la chronique à l’international après avoir exploité une vulnérabilité des injections SQL utilisées dans le cadres des transferts de fichiers MOVEit. CL0P exfiltre les données des systèmes de sa victime et exige un paiement en échange de la non-divulgation de ces données. D’après l’ENISA, CL0P était le quatrième groupe de ransomware le plus actif entre 2022 et 2023, et est responsable à lui seul de 13 % des incidents signalés.
Royal
Le groupe Royal a ciblé plus de 350 victimes identifiées à travers le monde depuis septembre 2022, et ses demandes de rançon dépassent les 275 M$ (USD). Pour accéder aux systèmes de ses victimes, Royal procède généralement en envoyant des emails de phishing. Le groupe de ransomware est d’ailleurs responsable de plus de deux tiers de tous les incidents signalés. Une fois introduits dans les systèmes de leur victime, les hackers effectuent un mouvement latéral pour exfiltrer des données en vue d’une tentative d’extorsion. En cas de refus d’obtempérer de la victime, les données sensibles sont publiées sur un site prévu à cet effet. Royal était le cinquième groupe de ransomware le plus actif entre 2022 et 2023, et est responsable à lui seul de 10 % des incidents signalés.
Les malwares les plus sophistiqués sont capables d’adapter leur comportement à l’environnement qu’ils détectent. Ils peuvent ainsi rester dormants, modifier leur code et même se transformer en de nouvelles structures.
Voici quelques-uns des vecteurs fréquents de remise des ransomwares :
- Emails de phishing : ces emails usurpent l’identité d’une marque bien connue afin d’induire le destinataire en erreur et de le pousser à cliquer sur un lien malveillant ou à télécharger une pièce jointe piégée avec un malware.
- Attaques par force brute contre le RDP (Remote Desk Protocol) : les hackers exécutent des programmes pour tenter de deviner le mot de passe d’un compte RDP et ainsi accéder à un système sans autorisation.
- Vulnérabilités de serveur : les hackers exploitent des vulnérabilités ou failles des serveurs pour y déployer des menaces, obtenir un accès non autorisé, etc.
- Kits d’exploit : ces suites d’outils malveillants recherchent des vulnérabilités dans les applications et systèmes en vue de les exploiter.
- Comptes compromis : comptes auxquels les hackers ont un accès direct, par exemple après avoir volé des identifiants.
Bien que les attaques de ransomware puissent prendre diverses formes, l’email reste le premier vecteur de transmission de cette menace. C’est la raison pour laquelle la plupart des solutions de sécurité de l’email proposent au moins une protection basique contre les attaques de ransomware.
Les technologies, comme les passerelles Web sécurisées (SEG) s’appuient sur l’analyse basée sur la réputation et l’empreinte pour détecter les emails malveillants. Pour contourner ce problème, les hackers ont imaginé des techniques sophistiquées, notamment :
- Obfuscation du code : manipulation du code des fichiers et macros pour le rendre incompréhensible ou masquer son véritable objectif.
- « Excès de bruit » : ajout de code superflu ou inutile aux fichiers et macros pour modifier son empreinte et tromper le filtre. Cette technique peut générer des millions d’octets de données inutiles destinées à épuiser les sandboxes.
- Sensibilité à l’environnement : fonctions visant à contrer les analyses en étudiant l’environnement avant l’exécution. Les malwares sensibles à leur environnement sont conçus pour ne s’exécuter que dans certains cas. Ils détectent les sandboxes et restent dormants pendant l’analyse.
Pour se protéger des attaques de ransomware, il est nécessaire d’adopter une approche exhaustive de la cybersécurité.
1. Adoptez une solution de sécurité de l’email intégrée
L’email étant le premier vecteur des menaces, il s’agit d’une surface que vous devez absolument protéger. Pour cela, adoptez une solution de sécurité tierce et intégrée. Cette alternative aux passerelles Web sécurisées est à même de renforcer les fonctions de sécurité natives de votre environnement interne et de vous protéger efficacement contre les menaces venues de l’intérieur. Surtout, ces solutions réalisent une analyse comportementale des emails pour vous protéger des attaques dynamiques et inconnues que les solutions de vérification d’empreinte ne parviennent pas à détecter.
Pour une protection optimale, privilégiez les solutions qui utilisent des algorithmes d’IA avancés, alimentés par des informations sur les menaces prélevées en temps réel par un réseau international. En parallèle, ne négligez pas l’importance de disposer d’une solution qui privilégie le suivi de la réponse aux incidents et de la collecte d’informations sur les menaces via un tableau de bord unifié et centralisé. Cette interface doit également vous fournir des données sur la remédiation multitenant, l’intégration d’autres outils de cybersécurité, le téléchargement sécurisé et l’inspection des fichiers, etc.
2. Assurez une formation de sensibilisation au phishing
Le phishing est la première tactique d’orchestration des attaques de ransomware. D’où l’importance de proposer une formation de sensibilisation au phishing, pour apprendre aux utilisateurs à reconnaître et signaler les menaces par email afin de déclencher leur remédiation.
Pour des résultats optimaux, choisissez des programmes de formation qui comprennent des simulations, qui sont automatiquement déclenchés au moment le plus opportun et qui offrent un degré de personnalisation adapté au poste et au contexte de chaque utilisateur. Ces fonctions sont indispensables pour assurer la pertinence de la formation prodiguée à vos utilisateurs et permettent de proposer un contenu à la demande sans aucune intervention humaine.
3. Optez pour la sécurité multicouche avec Remote Browser Isolation (RBI)
Les solutions de Remote Browser Isolation (RBI) étendent la protection contre les ransomwares à la navigation Internet, en particulier sur les appareils mobiles. Chaque fois qu’un utilisateur clique ou appuie sur un lien contenu dans un email, RBI exécute un conteneur sécurisé entièrement isolé de l’appareil local et hébergé sur un serveur distant. Si l’utilisateur choisit de consulter un site malveillant, il sera quand même prémuni de la compromission.
Compte tenu de la vulnérabilité des appareils mobiles, RBI est crucial, d’autant plus que ces appareils font désormais partie intégrante de la vie professionnelle. En effet, d’après Statista, les utilisateurs consultent environ 43 % de leurs emails sur un appareil mobile. En parallèle, l’enquête 2022 de Verizon sur l’indice de sécurité mobile montre que près d’une entreprise sur deux a été confrontée à une compromission sur appareil mobile en 2021. Parmi les victimes, 73 % évoquaient un incident « majeur ».
4. Adoptez un système de gestion des vulnérabilités
Les solutions de gestion des vulnérabilités vous aident à évaluer l’état de votre infrastructure informatique pour y détecter des failles existantes ou potentielles que des hackers pourraient exploiter. Ces solutions offrent des capacités continues d’analyse, de priorisation, de remédiation, de vérification et de signalement. Ces solutions jouent un rôle important dans l’identification des failles de votre posture de sécurité et vous permettent d’y répondre rapidement et efficacement.
5. Mettez régulièrement à jour vos logiciels et systèmes d’exploitation
Des mises à jour sont régulièrement proposées pour corriger des bugs de vos logiciels et systèmes d’exploitation. Tenez-vous au courant pour empêcher l’exploitation de ces failles. Vous pourrez ainsi bénéficier des derniers correctifs mis au point pour résoudre les problèmes de sécurité de votre infrastructure informatique.
6. Installez un logiciel antivirus
B.a.-ba de la sécurité, l’antivirus protège vos terminaux contre les attaques de ransomware connues. Cette solution analyse vos appareils en local, vos réseaux et vos applications afin de détecter des malwares dont la signature est connue. Bien que la protection des antivirus soit limitée, des organisations telles que la CISA recommandent leur adoption et la mise à jour régulière des définitions de malwares.
7. Déployez un pare-feu
Les pare-feux analysent et contrôlent le trafic de votre réseau sur la base de règles prédéterminées et peuvent empêcher les ransomwares de toucher les utilisateurs. En réponse aux limites importantes des pare-feu traditionnels, une nouvelle génération de pare-feux (NGFW) est arrivée pour bloquer les menaces de ransomware les plus sophistiquées. Ces pare-feux sont équipés de nouvelles fonctions qui incluent Deep Packet Inspection (DPI) ou encore les systèmes de prévention des intrusions (IPS).
Les solutions de cybersécurité de Vade vous protègent des attaques de ransomware modernes, dynamiques et avancées. Nos solutions de sécurité intégrée de l’email se dotent de fonctions avancées de détection des menaces et de réponse aux incidents, notamment via l’interception et la neutralisation des variantes de ransomware les plus sophistiquées, qu’elles soient connues ou inconnues.
De plus, Vade Remote Browser Isolation (RBI) assure une protection robuste, de la messagerie au navigateur, sur tous les appareils. Vade RBI offre la tranquillité d’esprit aux utilisateurs en leur permettant de cliquer sur les liens contenus dans les emails et de naviguer en toute sécurité sans risque de compromission. Vade Threat Coach™ fournit par ailleurs une formation automatisée de sensibilisation au phishing avec des instructions personnalisées, au moment où l’utilisateur est confronté à une menace.
