Ransomware
Les attaques au moyen de rançongiciels augmentent en nombre et en sophistication. Si vous êtes responsables de la gestion de la sécurité et des TI dans votre organisation, il est impératif de savoir comment protéger cette dernière de ce type d’attaques.
Par exemple, une infection par rançongiciel en mai 2019 a frappé le système informatique de la ville de Baltimore. L’attaque a touché les hôpitaux, la production de vaccins, les aéroports et les distributeurs automatiques de billets. Le coût total? Il est estimé à 18 millions de dollars.
Bien que les gouvernements et les grandes entreprises soient ceux dont on entend le plus parler, ce ne sont pas eux qui souffrent le plus. Prenez en considération ces statistiques :
– On estime que les coûts découlant des attaques de rançongiciel atteindront les 20 milliards de dollars cette année1;
– Le coût associé à la période d’indisponibilité, à la perte de données et à la remise sur pied fait en sorte que les petites et les moyennes entreprises courent le plus grand risque. En fait, beaucoup de petites entreprises ne se remettent jamais de telles attaques2;
– En moyenne, le paiement d’une rançon au T4 de 2019 était de 41 198 $3;
– En moyenne, le coût associé à la période d’indisponibilité au T4 de 2019 était de 64 645 $3;
– En moyenne, la période d’indisponibilité a augmenté à 16,2 jours3;
– La cryptomonnaie demeure le mode de paiement préféré pour 98 % des attaques3.
Dans cet article de blogue, nous répondrons aux questions suivantes :
– Qu’est-ce qu’un rançongiciel?
– Comment ça fonctionne?
– Comment protéger votre organisation?

Qu’est-ce qu’un rançongiciel?

Le rançongiciel est un programme malveillant pouvant infecter un seul ordinateur ou un réseau d’ordinateurs et chiffrer les données, les rendant ainsi inaccessibles. Une fois l’infection effectuée, les cybercriminels transmettent leurs demandes; une rançon est souvent exigée pour déchiffrer les données.
D’après un sondage, 98 % des cybercriminels ont fourni un outil de déchiffrement une fois le paiement effectué2.
Toutefois, au vu des coûts engendrés, il est préférable d’éviter cette situation entièrement, ce qu’il est possible de faire en s’armant d’un réseau robuste et d’un dispositif de protection des terminaux, en formant les employés et en élaborant un plan de reprise après sinistre bien défini.

Comment fonctionnent les rançongiciel?

Un rançongiciel s’active et infecte un ordinateur lorsqu’un utilisateur :
– Clique sur un lien sur un site Web ou dans un courriel;
– Ouvre une pièce jointe dans un courriel.
Une fois activé, le programme malveillant exécute un programme de chiffrement qui bloque l’accès à l’ordinateur. À ce stade, l’appareil devient inutile. Si vous disposez d’une sauvegarde, vous pouvez éteindre l’ordinateur infecté et en redéployer rapidement un nouveau. Dans le cas contraire, vous n’avez d’autre choix que de décider si vous allez payer la rançon ou perdre les données.

Pourquoi les attaques au moyen de rançongiciels continuent-elles d’augmenter?

Parce qu’elles fonctionnent, tout simplement.
En effet, ce type d’attaques est hautement lucratif pour les cybercriminels qui y ont recours. La plupart des scripts de rançongiciels ne sont pas le produit d’efforts d’amateurs, mais bien celui de réseaux criminels très modernes d’envergure internationale étant bien financés et dirigés à la façon d’une entreprise.
Les programmeurs de rançongiciels, aussi appelé des auteurs, ont un avantage énorme à tirer de l’investissement dans le développement de nouveaux algorithmes de chiffrement plus modernes. Ils continuent également de faire évoluer la façon d’envoyer ces programmes pour prendre au piège les entreprises et les obliger à payer une rançon.
Le but des pirates n’est pas de provoquer la faillite de leurs cibles, mais bien d’infecter un plus grand nombre possible d’ordinateurs, de sorte à demander une rançon au plus de personnes possible. De plus, comme l’indiquent les statistiques mentionnées au début de l’article, la cryptomonnaie demeure le mode de paiement préféré, ce qui pose un autre problème logistique et coûteux aux organisations subissant une attaque.
Heureusement, il est possible de protéger votre organisation en optant pour une approche proactive quant à la sécurité de votre réseau et de vos terminaux.

Comment protéger son organisation des rançongiciels?

Pour vous protéger des rançongiciels, vous devez mettre en œuvre une stratégie en trois volets.
Première étape : déployer les mesures de sécurité essentielles
– Bloquez les infections afin de les empêcher d’atteindre votre réseau en sécurisant vos courriels et vos passerelles Web. Utilisez des outils d’inspection de paquets pour balayer et intercepter les courriels frauduleux et empêcher les utilisateurs d’accéder à des sites Web de logiciels malveillants (maliciels) connus.
– Apportez régulièrement les correctifs nécessaires à toutes vos applications. Les rançongiciels WannaCry et Petya, qui ont décimé des réseaux aux quatre coins du monde et qui ont par le fait même causé des dommages se chiffrant à des milliards de dollars, se sont justement servis d’un code d’exploitation pour lequel Microsoft avait distribué un correctif trois mois auparavant. Les utilisateurs qui apportaient régulièrement des correctifs à leurs systèmes n’ont pas été touchés.
– Soyez conscient que votre logiciel antivirus est votre dernière défense et non votre première. Il est tout de même important d’avoir une bonne protection antivirus à jour. Vous devez cependant comprendre que si une attaque de rançongiciel se connecte à votre réseau et à votre terminal, il se peut qu’il soit déjà trop tard. Les créateurs de maliciels changent constamment leurs vecteurs d’attaques afin d’exploiter de nouvelles vulnérabilités dans les logiciels. Garder vos fichiers de définitions de virus à jour est essentiel, mais constitue votre dernier espoir pour neutraliser les menaces les plus récentes.
Deuxième étape : sensibiliser vos utilisateurs
– Vos utilisateurs doivent savoir repérer les rançongiciels. Ils ne devraient jamais, par exemple, ouvrir un fichier envoyé d’une adresse courriel inconnue avant qu’elle ne soit confirmée. Ce n’est pas parce que le nom de l’expéditeur apparaît comme celui de votre banque qu’il s’agit bien d’elle; la véritable adresse courriel pourrait se lire comme suit : xty34ii@psdhnle.com.
– Cette étape est essentielle afin de prévenir les attaques ciblées. Plus vous êtes renseigné, plus les risques diminuent. Vous devez tout de même être réaliste, car après tout, un seul incident suffit pour compromettre un réseau entier. Les formations fréquentes aident à réduire les risques d’incident.
Troisième étape : se tenir prêt pour une attaque
– Maintenez toujours un bon réseau de sauvegarde. Avec des copies de sauvegarde, vous pourrez tout simplement retirer l’ordinateur infecté et vous remettre au travail en utilisant un autre ordinateur avec les données sauvegardées.
– Gardez vos copies de sauvegarde hors ligne ou déconnectées du réseau principal. Si le virus Petya a réussi à se transmettre rapidement, c’est grâce aux outils de gestion Windows, qui lui ont permis de se propager d’un ordinateur à l’autre, en infectant les données au passage. Les rançongiciels peuvent aussi toucher vos périphériques de stockage connectés au réseau. Si vos copies de sauvegarde sont sur le réseau, elles pourraient être cryptées et devenir inutilisables. C’est pour cette raison que les sauvegardes sur bande ont un regain de popularité. Les sauvegardes hors connexion sont aussi une manière efficace d’atténuer les infections.
– Payez et priez? Si vous avez été infecté et que vous n’aviez pas de copies de sauvegarde, devriez-vous payer la rançon? En faisant cela, vous encouragez les pirates. Si l’accès à vos données est une question de vie ou de mort, comme pour les hôpitaux ayant été infectés, vous n’aurez peut-être d’autre choix que de payer et d’espérer que ces pirates informatiques sont dotés d’une éthique et qu’ils vous retourneront réellement vos données. Ce genre de situations est l’une des principales raisons pour lesquelles l’assurance en cyber-responsabilité est devenue si populaire.

Se protéger des rançongiciels

Le nombre à la hausse de travailleurs à distance amène de plus en plus d’occasions pour les cybercriminels de causer des ravages dans les organisations de toute taille.
La mise en œuvre de la stratégie en trois volets présentée dans cet article constitue la meilleure manière de protéger votre organisation contre une attaque de rançongiciel. Si vous avez des questions à ce sujet, l’un de nos professionnels en services de gestion de sécurité se fera un plaisir de vous aiguiller. N’hésitez surtout pas à communiquer avec nous pour découvrir comment nous pouvons vous aider.
Nos solutions de sécurité des TI aideront vos équipes à rester connectées, productives et en sécurité afin que vous soyez prêt à vous épanouir, et pas seulement à survivre, sur le marché d’aujourd’hui. Apprenez-en plus sur les façons dont nous aidons les organisations à protéger leurs TI aujourd’hui tout en planifiant le futur à AgentsDeChangement.ca.
Si vous êtes prêt à vous renseigner davantage, vous pouvez lire d’autres articles sur les rançongiciels.

Références :

1 Source : Yuen Pin Yeap. « Why ransomware costs businesses much more than money », Forbes, [En ligne], 30 avril 2021. [https://www.forbes.com/sites/forbestechcouncil/2021/04/30/why-ransomware-costs-businesses-much-more-than-money/?sh=243079e771c6].

2 Source : Stu Sjouwerman. « Seven factors analyzing ransomware’s cost to business », Forbes, [En ligne], 29 juillet 2021. [https://www.forbes.com/sites/forbestechcouncil/2021/07/29/seven-factors-analyzing-ransomwares-cost-to-business/?sh=379992062e98].

3 Source : Coveware. « Ransomware costs double in Q4 as Ryuk, Sodinokibi proliferate », Coveware, [En ligne], 23 janvier 2020. [https://www.coveware.com/blog/2020/1/22/ransomware-costs-double-in-q4-as-ryuk-sodinokibi-proliferate].