Définition
La lutte entre les cyberattaques et la cybersécurité ne s'arrête pas, c'est pourquoi la cybersécurité ne peut jamais être laissée pour compte par les pirates.
Pour commencer à comprendre ce qu'est un Ransomware, comment il fonctionne, ses types, etc., nous voulons commencer par une brève définition.
Alors qu'est-ce qu'un Ransomware ? Il s'agit d'un type de logiciel malveillant, ou logiciel malveillant, qui détourne des fichiers et parfois des ordinateurs entiers ou des appareils mobiles.
On peut le définir selon ce comportement : les pirates demandent le paiement d'une rançon en échange du décryptage de vos fichiers et ainsi de vous redonner accès à ceux-ci.
Lorsqu'une organisation est attaquée, elle s'en aperçoit immédiatement car, de par sa manière d'agir, l'accès au(x) dispositif(s) infecté(s) sera coupé et, normalement, elle trouvera les documents choisis par l'attaquant cryptés.
Après vous en être rendu compte, vous ne pourrez probablement plus accéder aux données vitales et même la vie privée des travailleurs pourrait en être affectée. Les cybercriminels contacteront le représentant de l'entreprise pour mettre leurs revendications sur la table.
Ils promettent généralement de déverrouiller l'ordinateur ou les documents concernés si une rançon est payée.
Ce n'est que l'année dernière que ce type de mau courant il a augmenté de plus de 700% si on le compare aux données collectées en 2019, selon la société de cybersécurité Kaspersky.
pourquoi c'est appelé comme ça?
Ransomware est formé en joignant les mots "ransom" (de l'anglais, ransom) et "ware" (produit ou marchandise, en anglais).
Une fois que le criminel a crypté les données, il demande une rançon à la victime, par le biais d'un message ou d'une fenêtre contextuelle, réalisant un enlèvement virtuel.
Ce message au ton menaçant avertit la victime que le seul moyen de déchiffrer ses fichiers, de récupérer le système ou d'éviter une éventuelle fuite d'informations est de payer une rançon.
Ils incluent généralement un délai de paiement, avant la destruction totale des fichiers piratés, leur publication ou une augmentation de la valeur de la rançon, si celle-ci n'est pas payée à temps. Généralement, la rançon est demandée via certaines crypto-monnaies (monnaie virtuelle) telles que les bitcoins. Il est courant qu'ils utilisent des "muleros", qui sont des intermédiaires qui transfèrent l'argent
En échange d'un paiement, les cybercriminels promettent de fournir le mécanisme pour déverrouiller l'ordinateur ou décrypter les fichiers. Cependant, cela ne garantit pas à 100% que les cybercriminels respectent l'accord ; pour cette raison, il est recommandé de ne pas payer la rançon pour éviter la prolifération de ce type de menace.
Renflouement de la crypto-monnaie, pourquoi ?
Les crypto-monnaies sont des monnaies virtuelles qui permettent un paiement quasi anonyme entre particuliers, rendant difficile leur traçabilité.
Ils sont accessibles depuis le réseau anonyme Tor ; là, les fonds de différents portefeuilles sont mélangés, réalisant une sorte de blanchiment de la crypto-monnaie qui rend difficile le suivi des transactions. Cela permet aux cybercriminels d'extorquer plus facilement de l'argent à leurs victimes sans que la police ne puisse les retrouver immédiatement.
Comment se produit l'infection ?
Comme c'est le cas avec d'autres types de logiciels malveillants, les cybercriminels utilisent une ou plusieurs de ces voies pour infecter la victime ; Ils profitent des failles de sécurité (vulnérabilités) présentes dans les logiciels informatiques, les systèmes d'exploitation et les applications.
Types et performances
Chaque type de Ransomware agit et pénètre la sécurité d'une manière différente, bien qu'ils soient tous basés sur la même caractéristique. De la moindre à la plus grande importance, nous pouvons les classer en :
Rançongiciel canular : Il simule le cryptage en utilisant des techniques d'ingénierie sociale pour extorquer de l'argent à l'utilisateur, exigeant un paiement pour récupérer ses fichiers ou empêcher leur suppression.
Logiciels effrayants : utilise l'appât d'un faux logiciel ou support. Généralement, il apparaît sous la forme d'une publicité pop-up qui informe d'une supposée infection virale et fournit une solution rapide et facile, en téléchargeant un programme de nettoyage qui est presque toujours un malware.
Casiers d'écran : ils empêchent l'utilisation de l'appareil en affichant une fenêtre qui occupe tout l'écran et ne peut pas être fermée. Deux types de messages peuvent apparaître dans la fenêtre : d'une part, elle informe sur le cryptage des fichiers et la procédure pour les récupérer, mais les fichiers sont intacts. De l'autre, un message des forces de sécurité apparaît indiquant que des activités illégales ont été détectées et qu'une astreinte est demandée pour déverrouiller l'appareil. Il est également connu sous le nom de virus de la police.
Rançongiciel de chiffrement : considéré comme le plus dangereux de tous. Son objectif principal est le cryptage des informations pour exiger une rançon. Les cybercriminels utilisent les dernières avancées en matière de cryptage 2 Ransomware.
Dans cette variante, il y a un appel essuie-glace, il ne rend pas l'accès aux fichiers, il les supprime simplement.
Il existe aussi la variante Doxware qui utilise une technique dite de « doxing », celle-ci consiste à menacer l'utilisateur de rendre publiques les données personnelles extraites.
Prévention / Penser comme un hacker :
De nombreux experts affirment que la meilleure prévention contre les ransomwares est de se mettre à la place des pirates et de penser comme ils le feraient. Pour prévenir et anticiper il faut mettre le masque. Pour de nombreuses entreprises, il n'est pas honteux d'embaucher des hackers éthiques ou d'anciens hackers pour améliorer la sécurité de leur entreprise.
-
- Sensibilisation et formation des employés et des utilisateurs.
- Antivirus mis à jour.
-
- demandes installation pop-up dangereuse.
- Cliquez sur les liens.
-
- téléchargements des demandes de sources inconnues.
- Sauvegardes.
-
- Actualisation du système d'exploitation et des applications.
- Contrôle des privilèges.
-
- Solution anti-hameçonnage pour le courrier électronique.
- Plan d'action.
Avec cette carte en temps réel créée par Kaspersky, toutes sortes d'attaques (y compris Ransomware) peuvent être observées en temps réel.
La sensibilisation est la première étape de la prévention, c'est pourquoi Ransomware n'est pas l'une des plus grandes cyberattaques en nombre, bien que voir l'augmentation par seconde ait un impact.
L'Espagne est le 9ème pays le plus attaqué selon les graphiques obtenus par Kaspersky. Avec ce graphique, nous pouvons également voir le besoin mondial de cybersécurité.
Dois-je payer la rançon ?
D'un point de vue objectif, la rançon demandée ne devrait jamais être payée, car le paiement, qui se chiffre généralement en millions, finance le progrès des organisations qui génèrent ces attaques.
De plus, payer une rançon tombe dans le piège des cybercriminels puisque personne ne peut garantir que les informations seront récupérées et même l'extorsion peut continuer après le paiement. Malgré tout, de nombreuses entreprises décident de payer la rançon.
L'Union européenne envisage la mise en place d'une nouvelle loi, interdisant et pénalisant les entreprises qui paient les extorsions demandées.
En cas d'attaque, le meilleur moyen de récupérer l'activité de l'entreprise et les données est de s'adresser à un professionnel ou spécialiste des cyberattaques afin qu'il puisse vous conseiller.
La plupart des rançons sont payées avec la célèbre crypto-monnaie Bitcoin (BTC).
Ce modus operandi s'est établi chez les hackers car les crypto-monnaies permettent au destinataire de rester anonyme et peuvent facilement disparaître avec l'argent.
Pourquoi est-il important de ne pas payer la rançon ?
La raison en est que le paiement n'offre pas de garantie de récupération d'accès aux données. De plus, en acceptant de payer la rançon, vous deviendrez probablement la cible d'autres attaques, puisque les cybercriminels savent déjà que vous êtes prêt à offrir vos ressources financières.
Plan de réponse à l'attaque :
Il est très important d'avoir un plan d'action ou une réponse aux incidents.
La première chose que nous devons prendre en compte est de savoir qui doit gérer les incidents au sein de l'entreprise, puis où se trouve la documentation nécessaire sur les systèmes et réseaux utilisés dans l'organisation.
Il faudra définir quelle est l'activité normale qui nous permet de détecter les activités suspectes qui sont des indices d'incidents.
Il est également essentiel de savoir qui nous devrons contacter en cas d'incident. Par exemple, dans le cas de services externalisés, le responsable est le prestataire.
Dans ce type de situation, chaque seconde compte, donc si nous avons un plan bien structuré avec toutes les informations nécessaires, nous pouvons agir rapidement.
Attaques récentes :
Kaseya :
Le vendredi 2 juillet 2021, l'attaque Ransomware contre le distributeur de logiciels Kaseya s'est produite. Cela a non seulement affecté l'entreprise, mais également environ 1 500 entreprises qui travaillaient avec elle, car des données confidentielles de toutes ont été divulguées.
Les attaquants ont exigé une rançon de 70 millions de dollars via la crypto-monnaie Bitcoin. Kaseya a affirmé via ses réseaux qu'il avait refusé de payer la rançon, prenant trois semaines pour découvrir où se trouvait la vulnérabilité dans son système, en l'occurrence un décrypteur universel d'un tiers.
Le fait que Kaseya, pionnier dans son secteur, n'ait pas payé la rançon en faisant face aux conséquences préméditées des hackers devrait servir d'exemple sur la manière de gérer ces situations pour les entreprises.
Canalisation coloniale :
Une autre attaque survenue cette année 2021 concernait le pipeline Colonial Pipeline.
C'est une entreprise sur laquelle les États-Unis dépendent en raison de la réduction de la capacité de raffinage dans le nord-est du pétrole et du gaz.
Cette organisation a transporté trois millions de barils de carburant par jour du Texas à New York sur plus de 8 800 kilomètres.
L'organisation de hackers qui a attaqué le pipeline s'appelle DarkSide, qui a exigé 4,4 millions de dollars pour la rançon.
Les figures
Selon ITSM 4U, à travers une enquête auprès de plus de 5000 responsables informatiques d'organisations de taille moyenne dans 30 pays à travers le monde, révèle que 37% des organisations ont subi une attaque de ransomware au cours des 12 derniers mois. Le même rapport révèle que le l'impact financier de ces attaques a augmenté passant de 700 000 dollars en moyenne durant 2020, à 1,85 million de dollars en 2021.
Le coût moyen de récupération contre une cyberattaque sur les entreprises espagnoles a doublé par rapport aux années précédentes, passant de 260 000 euros en 2020 à une moyenne de 500 000 euros en 2021 ; selon ISTM 4U.
Plus d'un million d'utilisateurs sous licence
Plus de 5 millions de destinataires
Contactez-nous pour plus d'informations: [email protected]