Les Ransomwares détiennent l’appareil et les informations de la victime en otage jusqu’à ce que la rançon demandée soit payée. Dans cet article, découvrez comment fonctionne le ransomware, pourquoi les ransomwares ont explosés au fil du temps et comment les entreprises peuvent riposter.
Les attaques ransomwares : de quoi s’agit-il ?
Un ransomware est l’un des logiciels malveillants qui verrouille les informations ou l’appareil informatique d’une victime et menace de le garder verrouillé (au mieux) et propose à la victime un paiement de rançon pour réparer le mal causé. Au cours de l’année 2021, les attaques de ransomwares sont estimées à 21 % de l’ensemble des cyberattaques, coûtant aux victimes environ 20 milliards de dollars dans le monde.
Au début, les attaques de rançongiciels exigeaient une rançon afin de déverrouiller les fichiers et les appareils. Mais les cybercriminels d’aujourd’hui placent la barre très haute. Il semblerait que pratiquement toutes les attaques de rançongiciels d’aujourd’hui soient des « doubles attaques de rançongiciels » qui imposent une rançon pour libérer des données et empêcher le vol. Les triples attaques d’extorsion, qui comportent également le risque d’attaques par DDoS, sont aussi très courantes.
Ces attaques de double et triple dip, la prévalence des moyens de ransomware comme service et la montée des crypto-monnaies en tant que méthodes de paiement intraçables contribuent toutes à la croissance exponentielle des attaques de ransomware.
Les victimes sont souvent confrontées à deux principaux types de rançongiciels. La forme la plus courante, est connu sous le nom de « crypto ransomware » ou « rançongiciel de cryptage », qui crypte et retient les données de l’utilisateur en otage. L’autre forme la moins utilisée de la ransomware, est appelé « casier de ransomware« , qui verrouille l’intégralité de l’appareil de l’utilisateur.
Protégez et répondez aux ransomwares.
Pour lutter contre les attaques de rançongiciels, nous vous conseillons de prendre en considération certaines précautions, notamment :
- Conservez des sauvegardes de vos informations et fichiers sensibles, ainsi que des photos système, sur des disques de stockage ou d’autres appareils susceptibles de se déconnecter du réseau.
- Correctifs réguliers pour aider à prévenir les menaces de ransomwares qui exploitent les vulnérabilités des systèmes d’exploitation et des logiciels.
- Restez à jour avec les mesures de cybersécurité, y compris les logiciels antivirus (profiter de l’examen approfondi de l’antivirus Norton) et anti-malware, les firewall, les portails Web sécurisés, et les moyens de cybersécurité pour les organisations, telles que la détection et la réponse des points finaux (EDR), la détection et la réponse étendues (XDR), aidant les opérateurs en charge de la sécurité de détecter et de répondre aux ransomwares immédiatement.
- Formez les salariés par rapport à la cybersécurité pour les aider à vite reconnaître et éviter le phishing, l’ingénierie sociale ainsi que d’autres méthodes pouvant conduire à une exposition aux infections ransomwares.
- Mettez en œuvre des protocoles de surveillance d’accès, y compris l’authentification multifacteur, les architectures sans confiance, la segmentation réseau et d’autres mesures similaires pouvant empêcher les ransomwares d’accéder à des informations particulièrement sensibles et empêcher le ver de chiffrement d’infecter d’autres appareils connectés au réseau.
Étapes de l’attaque par rançongiciel.
Une fois qu’un pirate a accès à votre appareil, l’attaque par ransomware suit généralement ces étapes :
· Reconnaissance.
Les pirates analysent les systèmes infectés pour obtenir des informations sur les périphériques et le réseau afin d’identifier les données qui peuvent être ciblés, tels que les fichiers sensibles que les attaquants peuvent utiliser pour un double ou triple chantage. La majorité d’entre eux cherchent aussi des informations d’identification supplémentaires dans le but de se déplacer librement au sein du réseau pour propager le ransomware à d’autres appareils.
· Activation.
Le ransomware de cryptage commence à repérer et à crypter les fichiers. La majeure partie des programmes de crypto ransomware utilisent un chiffrement asymétrique, qui chiffre le ransomware avec une clé publique et détient une clé privée qui permet de décrypter les informations. Comme la victime ne possède pas la clé privée, elle ne peut pas décrypter les données cryptées sans l’aide du pirate.
Certains rançongiciels de cryptage désactivent la fonctionnalité de restauration, suppriment ou crypte les sauvegardes effectuer sur le réseau ou l’ordinateur de la victime pour augmenter la pression à payer pour les clés de déchiffrement. Les rançongiciels sans cryptage verrouillent l’écran de l’appareil, inondent les fenêtres contextuelles ou empêchent les utilisateurs d’utiliser l’appareil.
· Demande d’un paiement de rançon.
Une fois qu’il arrive à crypter les données ou à désactiver les appareils du réseau, le ransomware informe les victimes de l’infection, généralement via un fichier .txt ou une notification contextuelle déposée sur le bureau de l’ordinateur. La note de rançon contient des consignes à suivre sur la façon dont la rançon sera payée. Le paiement s’effectue souvent en crypto-monnaie ou par des méthodes similaires introuvables, en échange de la clé de décryptage ou de la restauration du fonctionnement normal.
Laisser un commentaire