Un ransomware est un type de logiciel malveillant qui prend en otage les données ou l’appareil d’une victime en menaçant de le maintenir verrouillé, ou pire, à moins que la victime ne paie une rançon à l’attaquant.
Selon IBM Security X-Force Threat Intelligence Index 2023, les attaques par ransomware représentaient 17 % de l’ensemble des cyberattaques en 2022.
Les premières attaques de ransomware exigeaient simplement une rançon en échange de la clé de chiffrement nécessaire pour retrouver l’accès aux données affectées ou l’utilisation de l’appareil infecté. En effectuant des sauvegardes régulières ou continues de ses données, une organisation pourrait limiter les coûts liés à ces types d’attaques par ransomware et souvent éviter de payer la rançon demandée.
Mais ces dernières années, les attaques de ransomware ont évolué et incluent des attaques à double et triple extorsion qui augmentent considérablement les enjeux. Même les victimes qui effectuent des rigoureusement des sauvegardes de leurs données ou qui paient la rançon initiale sont en danger. Les attaques à double extorsion ajoutent la menace de voler les données de la victime et de les divulguer en ligne. Les attaques à triple extorsion, elles, menacent en plus d’utiliser les données volées pour attaquer les clients ou partenaires commerciaux de la victime.
L'indice X-Force Threat Intelligence 2023 a révélé que la part des ransomwares dans tous les incidents de cybersécurité a diminué de 4 % entre 2021 et 2022. Cette diminution est probablement due au fait que les défenseurs réussissent mieux à détecter et à prévenir les attaques de ransomwares. Mais ce constat positif a été éclipsé par une réduction massive de 94 % du délai moyen d’attaque, qui est passé de deux mois à moins de quatre jours. Cela laisse très peu de temps aux organisations pour détecter et contrecarrer les attaques potentielles.
Les victimes de ransomware et les négociateurs sont réticents à divulguer les montants des paiements de rançon. Cependant, selon le Guide de référence sur les ransomwares, les demandes de rançon ont atteint des montants à sept ou huit chiffres. Et les paiements de rançon ne font partie que du coût total d’une infection par ransomware. Selon le rapport 2023 d’IBM sur le Coût d’une violation de données 2023 , le coût moyen d’une violation de données causée par une attaque par ransomware était de 5,13 millions de dollars. Les attaques par ransomware devraient coûter aux victimes environ 30 milliards d’USD au total en 2023 (lien externe à ibm.com).
Restez informé des dernières tendances en matière de cybercriminalité grâce au guide définitif d'IBM sur les ransomwares.
Demandez notre rapport sur le coût d’une violation de données
Il existe deux grands types de ransomware. Le type le plus courant, appelé ransomware de chiffrement ou crypto ransomware, prend en otage les données de la victime en les chiffrant. Le pirate exige ensuite une rançon en échange de la remise de la clé de chiffrement nécessaire au déchiffrement des données.
La forme la moins courante de ransomware, appelée ransomware sans chiffrement ou ransomware à verrouillage d’écran, verrouille l’ensemble de l’appareil de la victime, généralement en bloquant l’accès au système d’exploitation. Au lieu de démarrer comme d’habitude, l’appareil affiche un écran qui présente la demande de rançon.
Ces deux types de programmes peuvent être divisés en plusieurs sous-catégories :
- Le leakware/doxware est un ransomware qui vole, ou exfiltre, des données sensibles et menace de les publier. Alors que les premières formes de leakware ou doxware volaient souvent des données sans les chiffrer, les variantes actuelles font souvent les deux.
- Le ransomware mobile comprend tous les ransomwares qui concernent les appareils mobiles. Diffusés via des applications malveillantes ou par téléchargement furtif, les ransomwares mobiles sont généralement des ransomwares sans chiffrement, car les sauvegardes automatisées des données dans le cloud, qui sont la norme sur de nombreux appareils mobiles, facilitent l’inversion de ces attaques.
- Les wipers ou ransomwares destructeurs menacent de détruire les données si la rançon n’est pas payée, sauf dans les cas où le ransomware détruit les données même si la rançon est payée. Ce dernier type de wiper est souvent soupçonné d’être déployé par des acteurs étatiques ou des activistes plutôt que par des cybercriminels ordinaires.
- Le scareware porte bien son nom : il s’agit d’un ransomware qui tente d’effrayer (« scare » en anglais) les utilisateurs pour qu’ils paient une rançon. Le scareware peut se faire passer pour un message d’un organisme chargé de l’application de la loi, accusant la victime d’un délit et exigeant une amende. Il peut aussi usurper une alerte légitime d’infection virale, encourageant la victime à acheter un antivirus ou un logiciel de protection contre les logiciels malveillants. Parfois, le scareware est un ransomware, qui chiffre les données ou verrouille l’appareil ; dans d’autres cas, il est le vecteur du ransomware, qui ne chiffre rien mais contraint la victime à télécharger le ransomware.
Les attaques par ransomware peuvent utiliser plusieurs méthodes, ou vecteurs, pour infecter un réseau ou un appareil. Parmi les vecteurs d’infection par ransomware les plus connus, on peut citer :
- Les e-mails de phishing et autres attaques d’ingénierie sociale : Les e-mails de phishing manipulent les utilisateurs pour qu’ils téléchargent et exécutent une pièce jointe malveillante. Cette pièce jointe peut contenir le ransomware sous la forme d'un fichier .pdf inoffensif, d'un document Microsoft Word ou d'un autre fichier. Ils peuvent également inciter les utilisateurs à visiter un site web malveillant qui transmet le ransomware au navigateur Web de l'utilisateur. Dans l’Étude 2021 sur les organisations cyber-résilientes d’IBM, le phishing et d’autres tactiques d’ingénierie sociale sont à l’origine de 45 % de toutes les attaques par ransomware signalées par les participants à l’enquête, ce qui en fait le vecteur d’attaque le plus courant parmi tous les vecteurs d’attaque par ransomware.
- Les vulnérabilités des systèmes d’exploitation et des logiciels :Les cybercriminels exploitent souvent les vulnérabilités existantes pour injecter du code malveillant dans un appareil ou un réseau. Les vulnérabilités zero-day, qui sont des vulnérabilités soit inconnues de la communauté de la sécurité, soit identifiées mais pas encore corrigées, représentent une menace particulière. Certains groupes de création de ransomwares achètent à d’autres pirates des informations sur les failles zero-day afin de planifier leurs attaques. Les pirates ont également utilisé efficacement des vulnérabilités corrigées comme vecteurs d’attaque, comme ce fut le cas lors de l’attaque WannaCry de 2017.
- Le vol d’identifiants : Les cybercriminels peuvent voler les identifiants des utilisateurs autorisés, les acheter sur le dark Web ou les craquer par force brute. Ils peuvent ensuite utiliser ces identifiants pour se connecter à un réseau ou à un ordinateur et déployer directement un ransomware. Le protocole RDP (Remote Desktop Protocol), un protocole propriétaire développé par Microsoft pour permettre aux utilisateurs d’accéder à un ordinateur à distance, est une des cibles de vol d’identifiants les plus populaires parmi les adeptes de l’attaque par ransomware.
- Les autres logiciels malveillants : les pirates utilisent souvent des logiciels malveillants développés pour d’autres attaques afin de diffuser un ransomware sur un appareil. Le cheval de Troie Trickbot, par exemple, conçu à l’origine pour voler des identifiants bancaires, a été utilisé pour propager la variante du ransomware Conti tout au long de l’année 2021.
- Les téléchargements furtifs : les pirates peuvent utiliser des sites Web pour transmettre des ransomwares à des appareils à l’insu des utilisateurs. Les kits d’exploit utilisent des sites compromis pour analyser les navigateurs des visiteurs à la recherche de vulnérabilités dans les applications Web qu’ils peuvent utiliser pour injecter un ransomware sur l’appareil. La publicité malveillante (des annonces numériques légitimes compromises par des pirates) peut transmettre des ransomwares aux appareils, même si l’utilisateur ne clique pas sur l’annonce.
Les cybercriminels n’ont pas nécessairement besoin de développer leur propre ransomware pour exploiter ces vecteurs. Certains développeurs de ransomwares partagent le code de leurs logiciels malveillants avec d’autres cybercriminels par le biais d’accords de RaaS (ransomware en tant que service). Le cybercriminel, ou « affilié », utilise le code pour mener une attaque, puis partage le paiement de la rançon avec le développeur. Il s’agit d’une relation mutuellement bénéfique : les affiliés peuvent tirer profit de l’extorsion sans avoir à développer leurs propres logiciels malveillants, et les développeurs peuvent augmenter leurs profits sans lancer de nouvelles cyberattaques.
Les distributeurs de ransomwares peuvent vendre des ransomwares via des marketplaces numériques, ou recruter des affiliés directement par le biais de forums en ligne ou d’autres voies similaires. Les grands groupes de ransomware ont investi des sommes importantes pour attirer des affiliés.
Une attaque par ransomware se déroule généralement selon ces étapes.
Les vecteurs d’accès les plus courants pour les attaques par ransomware restent l’hameçonnage et l’exploitation de vulnérabilités.
En fonction du vecteur d’accès initial, cette deuxième étape peut impliquer un outil d’accès à distance intermédiaire ou un logiciel malveillant avant d’établir un accès interactif.
Au cours de cette troisième phase de l’attaque, les attaquants s’efforcent de comprendre le système local et le domaine auxquels ils ont accès. Les pirates cherchent également à accéder à d’autres systèmes et domaines (ce que l’on appelle le mouvement latéral).
À ce stade, les opérateurs de ransomware se concentrent sur l’identification des données de valeur et leur exfiltration (vol), généralement en en téléchargeant ou en en exportant une copie. Bien que les attaquants puissent exfiltrer toutes les données auxquelles ils ont accès, ils se concentrent généralement sur les données particulièrement précieuses (identifiants de connexion, informations personnelles des clients, propriété intellectuelle) qu’ils peuvent utiliser dans le cadre d’une double extorsion.
Le crypto ransomware commence à identifier et à chiffrer les fichiers. Certains ransomwares de chiffrement désactivent également les fonctions de restauration du système, ou suppriment ou chiffrent les sauvegardes sur l’ordinateur ou le réseau de la victime, afin d’accroître la pression exercée pour obtenir la clé de déchiffrement. Les ransomwares sans chiffrement verrouillent l’écran de l’appareil, l’inondent de fenêtres pop-up ou empêchent la victime d’utiliser l’appareil d’une autre manière.
Une fois les fichiers chiffrés ou l’appareil désactivé, le ransomware avertit la victime de l'infection. Cette notification arrive souvent par le biais d’un fichier .txt déposé sur le bureau de l’ordinateur ou d’une fenêtre pop-up. Le message de rançon contient des instructions sur la manière de la payer, généralement en crypto-monnaie ou par une méthode similaire non traçable. Le paiement s’effectue en échange d’une clé de déchiffrement ou d’un retour à la normale.
Depuis 2020, les chercheurs en cybersécurité ont identifié plus de 130 familles ou variantes de ransomware distinctes et actives (des souches de ransomware uniques dotées de leurs propres signatures de code et fonctions).
Au fil des années, de nombreuses variantes de ransomware ont circulé. Plusieurs souches sont particulièrement remarquables pour l’ampleur de leur destruction, la façon dont elles ont influencé le développement des ransomwares ou les menaces qu’elles représentent encore aujourd’hui.
CryptoLocker
Apparu pour la première fois en septembre 2013, CryptoLocker est largement considéré comme ayant donné le coup d’envoi de l’ère moderne des ransomwares. Propagé à l’aide d’un botnet (réseau d’ordinateurs piratés), CryptoLocker a été l’une des premières familles de ransomwares à chiffrer fortement les fichiers des utilisateurs. Il a extorqué environ 3 millions d’USD avant d’être neutralisé par les forces de l’ordre internationales en 2014. Le succès de CryptoLocker a encouragé de nombreux imitateurs et a ouvert la voie à des variantes comme WannaCry, Ryuk et Petya.
WannaCry
Le premier cryptoworm-ransomware de grande envergure capable de se propager à d'autres appareils sur un réseau. WannaCry a attaqué plus de 200 000 ordinateurs dans 150 pays. Les ordinateurs concernés étaient vulnérables car les administrateurs avaient négligé d’appliquer un correctif contre la vulnérabilité EternalBlue de Microsoft Windows. En plus de chiffrer les données sensibles, le ransomware WannaCry menaçait d’effacer les fichiers en l’absence de paiement dans les sept jours. Il reste l’une des plus grandes attaques par ransomware à ce jour, avec un coût estimé à 4 milliards d’USD.
Petya et NotPetya
Contrairement à d’autres ransomwares de chiffrement, Petya chiffre la table du système de fichiers plutôt que des fichiers individuels, ce qui rend l’ordinateur infecté incapable de démarrer Windows. Une version fortement modifiée, NotPetya, a été utilisée pour mener une cyberattaque à grande échelle, principalement contre l’Ukraine, en 2017. NotPetya était un wiper incapable de déverrouiller les systèmes même après le paiement de la rançon.
Ryuk
Apparu pour la première fois en 2018, Ryuk a popularisé les attaques par ransomware de type « big game hunting », ou chasse au gros gibier, contre des cibles spécifiques de grande envergure, avec des demandes de rançon dépassant en moyenne 1 million d’USD. Ryuk peut localiser et désactiver les fichiers de sauvegarde et les fonctionnalités de restauration système ; une nouvelle souche dotée de capacités de chiffrement a été découverte en 2021.
DarkSide
Dirigée par un groupe soupçonné d’opérer depuis la Russie, DarkSide est la variante de ransomware qui a attaqué l’U.S. Colonial Pipeline le 7 mai 2021. Cette variante est considérée comme la pire cyberattaque contre une infrastructure critique des États-Unis à ce jour. À la suite de cette attaque, l’oléoduc fournissant 45 % du carburant de la côte est américaine a été temporairement fermé. En plus de lancer des attaques directes, le groupe DarkSide concède également des licences pour ses ransomwares à des affiliés via des accords RaaS.
Locky
Locky est un ransomware de chiffrement avec une méthode d’infection distincte : il utilise des macros cachées dans des pièces jointes d’e-mails (fichiers Microsoft Word) déguisées en factures légitimes. Lorsqu’un utilisateur télécharge et ouvre le document Microsoft Word, les macros malveillantes téléchargent secrètement la charge utile du ransomware sur l’appareil de l’utilisateur.
REvil/Sodinokibi
REvil, également connu sous le nom de Sodin ou Sodinokibi, a contribué à populariser l’approche RaaS de la distribution des ransomwares. Connu pour son utilisation dans la chasse au gros gibier et les attaques de double extorsion, REvil est à l’origine des attaques de 2021 contre les sociétés JBS USA et Kaseya Limited. JBS a payé une rançon de 11 millions d’USD après que l’ensemble de ses opérations de transformation du bœuf aux États-Unis a été perturbé, et plus de 1 000 clients de logiciels de Kaseya ont été impactés par des temps d’arrêt importants. Le Service fédéral de sécurité russe a déclaré avoir démantelé REvil et inculpé plusieurs de ses membres au début de l’année 2022.
Jusqu’en 2022, la plupart des victimes d’attaques par ransomware répondaient aux demandes de rançon. Par exemple, dans l’Étude 2021 sur les organisation cyber-résilientes d’IBM, 61 % des entreprises participantes ayant subi une attaque par ransomware dans les deux ans suivant l’étude ont déclaré avoir payé une rançon.
Mais des rapports récents indiquent un changement en 2022. La société de réponse aux incidents de cyber-extorsion Coveware a publié des résultats selon lesquels seulement 41 % des victimes de ransomware en 2022 ont payé une rançon, contre 51 % en 2021 et 70 % en 2020 (lien externe à ibm.com). Et Chainanalysis, un fournisseur de plateforme de données blockchain, a rapporté que les attaques par ransomware ont soutiré près de 40 % d’argent en moins aux victimes en 2022 qu’en 2021 (lien externe à ibm.com). Les experts soulignent qu’une meilleure préparation contre la cybercriminalité (y compris la sauvegarde des données) et l’augmentation des investissements dans les technologies de prévention et de détection des menaces sont les moteurs potentiels de ce renversement de tendance.
Recommandations des autorités
Les organismes fédéraux américains chargés de l’application de la loi découragent unanimement les victimes de ransomware de payer les rançons demandées. Selon la National Cyber Investigative Joint Task Force (NCIJTF), une coalition de 20 agences fédérales américaines partenaires chargées d’enquêter sur les cybermenaces :
« Le FBI n’encourage pas à payer une rançon à des criminels. Le paiement d’une rançon peut enhardir les adversaires à cibler d’autres organisations, encourager d’autres acteurs malveillants à s’engager dans la distribution de ransomwares, et/ou financer des activités illicites. Le paiement d’une rançon ne garantit pas non plus la récupération des fichiers de la victime. »
Les autorités recommandent aux victimes de ransomware de signaler les attaques aux autorités compétentes, comme l’Internet Crime Complaint Center (IC3) du FBI, avant de payer une rançon. Certaines victimes d’attaques par ransomware peuvent être légalement tenues de signaler les infections par ransomware, qu’une rançon soit payée ou non. Par exemple, la conformité à la loi HIPAA exige généralement que les établissements de santé signalent toute violation de données, y compris les attaques par ransomware, au ministère de la santé et des services sociaux.
Dans certaines conditions, le paiement d’une rançon peut être illégal. Un avis publié en 2020 par l'Office of Foreign Assets Control (OFAC) du Trésor américain le souligne. Il indique que le paiement d’une rançon à des pirates provenant de pays faisant l’objet de sanctions économiques américaines (comme la Russie, la Corée du Nord ou l’Iran) constituerait une violation des règlements de l’OFAC. Les contrevenants s'exposent à des sanctions civiles, des amendes ou des poursuites pénales.
Pour se défendre contre les menaces de ransomware, les organismes fédéraux tels que le CISA, la NCIJFT et les services secrets américains recommandent aux organisations de prendre certaines mesures de précaution, telles que :
- La réalisation de sauvegardes de données sensibles et d’images système, idéalement sur des disques durs ou d’autres appareils pouvant être déconnectés du réseau.
- Appliquer régulièrement les correctifs pour aider à déjouer les attaques par ransomware qui exploitent les vulnérabilités des logiciels et des systèmes d’exploitation.
- Mettre à jour les outils de cybersécurité , notamment les logiciels antivirus et de protection contre les programmes malveillants, les pare-feux, les outils de surveillance du réseau et les passerelles Web sécurisées. Nous utilisons également des solutions de cybersécurité d’entreprise telles que l’orchestration, l’automatisation et la réponse en matière de sécurité (SOAR), la détection et la réponse aux terminaux (EDR), la gestion des informations et des événements de sécurité (SIEM) et la détection et la réponse étendues (XDR). Ces solutions aident les équipes de sécurité à détecter les ransomwares et à y répondre en temps réel.
- Former les employés à la cybersécurité pour les aider à reconnaître et à éviter l’hameçonnage, l’ingénierie sociale et d’autres tactiques qui peuvent conduire à des infections par ransomware.
- Mettre en œuvre des politiques de contrôle d’accès, notamment l’authentification multi-facteur, l’architecture zero trust, la segmentation réseau et d’autres mesures similaires. Ces mesures peuvent empêcher les ransomwares d’atteindre des données particulièrement sensibles, et empêcher les vers de chiffrement de se propager à d’autres appareils sur le réseau.
Bien que des outils de déchiffrement pour certaines variantes de ransomware soient accessibles au public dans le cadre de projets tels que No More Ransom (lien externe à ibm.com), la résolution d’une infection active par un ransomware nécessite souvent une approche impliquant plusieurs facettes. Consultez le Guide de référence sur les ransomwares d’IBM Security pour obtenir un exemple de plan de réponse à un incident de ransomware calqué sur le cycle de vie de réponse à un incident du National Institute of Standards and Technology (NIST).
1989 : La première attaque par ransomware documentée, connue sous le nom de cheval de Troie AIDS ou « attaque P.C. Cyborg », a été distribuée via des disquettes. Il cachait des répertoires de fichiers sur l’ordinateur de la victime et demandait 189 USD pour les faire réapparaître. Mais comme il chiffrait les noms de fichiers plutôt que les fichiers eux-mêmes, il était facile pour les utilisateurs de réparer les dégâts sans payer de rançon.
1996 : En analysant les failles du virus AIDS, les informaticiens Adam L. Young et Moti Yung ont mis en garde contre de futures formes de logiciels malveillants. Selon eux, les futurs logiciels malveillants pourraient utiliser un système de chiffrement à clé publique plus sophistiqué pour prendre en otage des données sensibles.
2005 : Après un nombre relativement faible d’attaques par ransomware au début des années 2000, on assiste à une recrudescence des infections, principalement en Russie et en Europe de l’Est. Les premières variantes utilisant le chiffrement asymétrique apparaissent. Les nouveaux ransomwares offrant des moyens plus efficaces d’extorquer de l’argent, de plus en plus de cybercriminels ont commencé à diffuser des ransomwares dans le monde entier.
2009 : L’introduction des crypto-monnaies, en particulier le Bitcoin, donne aux cybercriminels un moyen de recevoir des paiements de rançons intraçables, ce qui stimule la prochaine flambée de l’activité des ransomwares.
2013 : L’ère moderne des ransomwares commence avec CryptoLocker qui inaugure la vague actuelle d’attaques par ransomware hautement sophistiquées basées sur le chiffrement et sollicitant un paiement en crypto-monnaie.
2015 : La variante de ransomware Tox introduit le modèle du ransomware en tant que service (RaaS)
2017 : WanWannaCry, le premier ver auto-repliquant largement utilisé, apparaît.
2018 : Ryuk popularise la chasse au gros gibier.
2019 : Les attaques par ransomware à double et triple extorsion commencent à se multiplier. La quasi totalité des incidents de ransomware auxquels l’équipe IBM Security X-Force Incident Reponse a répondu depuis 2019 impliquaient une double extorsion.
2022 : Le détournement de fil de discussion (où les cybercriminels s’insèrent dans les conversations en ligne des cibles) apparaît comme un vecteur de ransomware de premier plan.
Déjouez les cyberattaques grâce à une suite sécurité connectée et modernisée. Le portefeuille QRadar est doté d’une IA de niveau professionnel et offre des produits intégrés pour la sécurité des points de terminaison, la gestion des journaux, le SIEM et le SOAR, le tout avec une interface utilisateur commune, des informations partagées et des flux de travaux connectés.
Empêchez les ransomwares d’interrompre la continuité des activités et reprenez rapidement du service en cas d’attaque avec une approche Zero Trust. Cette approche peut vous aider à détecter et à réagir plus rapidement aux ransomwares et à minimiser leur impact.
Nos services de sécurité défensive, qui comprennent des programmes de préparation, de détection et d’intervention d’urgence par abonnement, peuvent vous aider à détecter, à réagir et à contenir un incident avant qu’il ne cause d’importants dommages.
Utilisez nos services de sécurité offensants, qui comprennent des tests d’intrusion, la gestion des vulnérabilités et la simulation d’adversaires, pour aider à identifier, hiérarchiser et corriger les failles de sécurité couvrant l’ensemble de votre écosystème numérique et physique.
Transformez votre entreprise et maîtrisez vos risques avec un leader mondial de la cybersécurité, du cloud et des services de sécurité gérés.
Protégez de manière proactive les systèmes de stockage primaires et secondaires de votre organisation contre les ransomwares, les erreurs humaines, les catastrophes naturelles, le sabotage, les pannes matérielles et autres risques de perte de données.
Inscrivez-vous au webinaire du 11 juin 2024 à 11:00 AM EDT pour découvrir comment vous pouvez combiner la puissance d'IBM Storage Defender et d'IBM FlashSystem pour lutter contre les ransomwares.
Regardez l'enregistrement à la demande pour découvrir les mesures pratiques que vous pouvez prendre pour construire une opération plus résiliente et sécuriser vos données.
Découvrez comment les malfaiteurs mènent leurs attaques et comment protéger votre organisation de manière proactive.
Lisez le rapport, qui en est à sa 18e édition, pour découvrir les dernières informations sur l’évolution des menaces et propose des recommandations pour gagner du temps et limiter les pertes.
Découvrez comment la gestion des informations et des événements de sécurité (SIEM) offre une surveillance et une analyse en temps réel des événements, ainsi qu’un suivi et une journalisation des données de sécurité à des fins de conformité ou d’audit.
Découvrez comment Los Angeles s’associe à IBM Security pour créer un groupe de partage unique en son genre autour des cybermenaces afin de se protéger contre la cybercriminalité.
Travaillez avec des architectes et des consultants expérimentés en sécurité IBM afin de définir des priorités parmi vos initiatives de cybersécurité dans le cadre d’une session de design thinking gratuite de 3 heures, virtuelle ou en personne.