Comme tout le monde, vous savez ce qu'est un ransomware. Mais connaissez-vous les dernières tactiques utilisées par les cybercriminels pour vous forcer à payer la rançon ?
L'époque où une attaque cryptographique se contentait de verrouiller vos fichiers et de vous envoyer une demande de rançon payable en cryptomonnaie pour récupérer la clé de déchiffrement de vos fichiers est révolue. Aujourd'hui, les cybercriminels utilisent couramment des tactiques complémentaires pour faire pression sur leurs victimes et les pousser à payer même si elles parviennent à restaurer leurs fichiers.
Cet article étudie ces nouvelles tactiques particulièrement dangereuses ainsi que les moyens de les contrer.
L'évolution des attaques de ransomwares
Les gangs de ransomware utilisent des techniques de plus en plus sophistiquées et destructrices. On parle désormais de double, triple et quadruple extorsion pour désigner les récentes tactiques utilisées par les cybercriminels pour soutirer de l'argent à leurs victimes, même si ces dernières parviennent à récupérer leurs données critiques et à reprendre leur activité après une attaque cryptographique initiale. La première de ces trois tactiques gagne en popularité et fait l'objet de nombreuses études de cas.
- Le ransomware à simple extorsion, c'est-à-dire une attaque de ransomware classique, chiffre les fichiers de la victime et exige ensuite une rançon pour les déchiffrer. En général, la victime n'est pas en mesure de débloquer le chiffrement puissant utilisé pour verrouiller ses fichiers et se voit obligée de payer la rançon en échange de la clé de déchiffrement. Cette tactique a été récemment mise à mal par l'efficacité des solutions de protection des données, sous la forme de technologies et de processus de sauvegarde bien établis et testés, pour restaurer les systèmes et données chiffrés. En outre, le renforcement de la coopération entre les forces de l'ordre, les fournisseurs technologiques et la communauté d'utilisateurs visant à partager les clés de déchiffrement découvertes lors d'attaques antérieures, permet à certaines cibles de déchiffrer leurs fichiers sans avoir à payer la rançon.
- Le ransomware à double extorsion s'est largement développé pour contrer l'efficacité croissante de la restauration à partir des sauvegardes permettant aux victimes de récupérer les données chiffrées et de reprendre leur activité sans devoir céder à la tentative d'extorsion. Il s'agit pour le cybercriminel d'exfiltrer furtivement un gros volume de données sensibles depuis la cible avant de déclencher l'attaque cryptographique. La demande de rançon s'accompagne alors d'une menace de divulgation publique de ces données pour le cas où les victimes refuseraient de payer. Cette tactique peut être très efficace car la divulgation de données peut exposer la cible à diverses conséquences préjudiciables, notamment : perte de confiance des clients et des partenaires ; baisse du cours des actions d'une société cotée en bourse ; exposition inopinée d'informations sensibles d'un point de vue concurrentiel, comme un produit, des ventes et plans marketing ; exposition d'informations embarrassantes, telles que des e-mails sensibles. Les entreprises de secteurs réglementés s'exposent également à des sanctions en cas de non-respect des exigences de conformité. Dans l'Union européenne, par exemple, le RGPD oblige toute entreprise ayant des clients résidents dans l'UE à protéger la confidentialité et l'accessibilité des données de ces clients. La norme de conformité HIPAA inflige des amendes aux prestataires de soins de santé américains qui ne garantiraient pas la protection de la confidentialité des données de leurs patients.
- Le ransomware à triple extorsion hausse encore le niveau d'efficacité de la double extorsion : le cybercriminel contacte les clients et partenaires de la victime pour les avertir que certaines de leurs données sensibles détenues par la cible pourraient faire l'objet d'une divulgation publique. Il suggère à ces clients et partenaires de contacter la cible afin de l'encourager à payer la rançon pour ne pas être eux-mêmes exposés aux conséquences de la divulgation publique de leurs propres données.
Les différentes phases d'une attaque de ransomware à extorsion
Récapitulons l'utilisation de ces tactiques dans l'ordre :
Attaque à simple extorsion
- Les opérateurs de ransomwares obtiennent un accès initial par la compromission des défenses externes de la cible et installent un malware cryptographique, le plus souvent via un e-mail de phishing contenant une pièce jointe ou un lien malveillant sur lequel un utilisateur imprudent clique. Ce malware chiffre discrètement les fichiers du système cible avant d'envoyer une demande de rançon payable en cryptomonnaie (ou plus rarement par un moyen de paiement difficile à tracer comme les cartes-cadeaux) en échange de la clé de déchiffrement.
- Des versions plus sophistiquées de ransomware peuvent se propager sur le réseau local de la cible initiale et chiffrer d'autres ordinateurs de bureau, ordinateurs portables et serveurs. De nombreuses versions recherchent et chiffrent les archives de sauvegarde, les clichés instantanés et autres ressources pouvant être utilisées pour restaurer les fichiers chiffrés.
Attaque à double extorsion
- Avant de déclencher l'attaque cryptographique, les opérateurs de ransomware exfiltrent discrètement un gros volume de données sensibles en les copiant sur un serveur cloud dont ils ont le contrôle. Ils peuvent pour ce faire avoir recours à une technique d'exploitation des ressources locales (living-off-the-land) qui consiste à prendre les commandes d'un outil informatique normalement utilisé à des fins légitimes (p. ex. un logiciel de sauvegarde) afin de procéder à l'exfiltration sans être détectés. La phase de chiffrement de l'attaque est ensuite lancée.
- La demande de rançon, envoyée une fois les fichiers cibles verrouillés, est désormais accompagnée d'une menace de divulgation publique des données sensibles de la victime en cas de non-paiement de la rançon.
Attaque à triple extorsion
- Après avoir mené les phases de l'attaque à double extorsion, l'opérateur de ransomware contacte les clients et partenaires de la cible pour les avertir que certaines des données sensibles qui les concernent pourraient faire l'objet d'une divulgation publique si la victime initiale ne paye pas. Ces victimes collatérales sont encouragées à contacter l'entreprise cible pour lui recommander de payer la rançon afin de protéger leurs informations.
Attaque à quadruple extorsion
- En plus des trois tactiques décrites précédemment, la demande de rançon est cette fois accompagnée d'une menace de mise à l'arrêt des serveurs publics de la cible au moyen d'une attaque DDoS (Distributed Denial-of-Service) en cas de non-paiement de la rançon.
Les techniques à simple et double extorsion sont actuellement les plus utilisées, mais la triple extorsion est en plein essor. La quadruple extorsion reste encore rare, mais les dernières analyses de cybersécurité indiquent un gain de popularité auprès des cybercriminels comme nouveau moyen de garantir et d'accélérer le paiement des rançons.
Les attaques de ransomwares ne se contentent plus du chiffrement
La montée en puissance des nouvelles techniques d'extorsion pousse les entreprises à consolider leurs mesures de prévention contre les ransomwares, ainsi que leur capacité à récupérer d'une attaque qui serait passée sous les radars.
Les opérateurs de ransomwares, très opportunistes, ciblent toutes sortes d'entreprises, indépendamment de leur taille, de leur localisation ou du secteur dans lequel elles évoluent. Certains secteurs sont des cibles de choix. Dans les établissements de santé, par exemple, la mise à l'arrêt de systèmes critiques peut mettre en danger la vie des patients. Les établissements financiers sont régis par de multiples dispositions réglementaires sectorielles et publiques. Les établissements d'enseignement ont des budgets limités et accueillent des étudiants peu sensibles aux questions de cybersécurité. Pour les entreprises technologiques, enfin, la divulgation publique d'une attaque cybercriminelle peut porter gravement atteinte à leur réputation. Les attaques n'épargnent toutefois aucun secteur. 75 % des attaques abouties concernent des PME qui ne disposent généralement ni des ressources, ni des compétences nécessaires pour mettre en place une stratégie de cybersécurité et des mesures de restauration efficaces.
De récentes recherches et de nouveaux rapports soulignent l'augmentation de la fréquence, de la sophistication et de la portée des attaques de ransomwares :
- Selon un rapport de Cloudflare publié au mois de janvier, le nombre d'attaques DDoS associées à un ransomware a augmenté de 29 % au cours du quatrième trimestre 2021.
- Bandwidth.com, un fournisseur international de plate-forme de communication cloud, a déclaré avoir subi des pertes comprises entre 9 et 12 millions de dollars consécutives à une attaque DDoS. Il ne s'agit que d'un des nombreux exemples d'attaques ciblant des entreprises, certaines assorties de demandes de rançons de plusieurs millions de dollars.
- Le magazine The Register a révélé que la société britannique VoIP Unlimited avait été victime d'une attaque DDoS assortie d'une « demande de rançon colossale ». Le fournisseur canadien VOIP.MS a quant à lui fait l'objet d'une demande de rançon de 4,2 millions de dollars suite à une attaque DDoS. Il a fallu près de deux semaines à l'entreprise pour rétablir le service client.
- Le groupe de ransomware BlackCat utilise les techniques de quadruple extorsion pour pousser ses victimes à payer les rançons exigées. Récemment, ce groupe a porté le montant de ses demandes de rançon à 2,5 millions de dollars.
Toutes les attaques de ransomwares ne faisant pas l'objet d'un signalement, il est difficile d'en estimer le montant moyen. Le coût varie considérablement en fonction de la taille et de la nature de l'entreprise ciblée, du volume de données chiffrées et de la rançon réclamée, mais le total cumulé s'élève actuellement à plusieurs dizaines de milliards de dollars par an.
Stratégies de protection contre les ransomwares à quadruple extorsion
Pour limiter le risque d'exposition à tout type d'attaque de ransomware, les entreprises doivent investir à la fois dans des technologies de cybersécurité et des solutions de protection des données afin de pouvoir repousser les attaques, mais aussi se relever rapidement après une offensive qui aurait déjoué les mesures de prévention.
Pour mettre en place une stratégie complète de défense en profondeur afin de minimiser le risque de pertes de données et d'interruption d'activité, prenez entre autres les mesures suivantes :
- Sauvegardez régulièrement vos données. Stockez vos sauvegardes dans un emplacement sûr qui n'est pas connecté à votre réseau. Vous pourrez ainsi restaurer vos données même si votre réseau a été compromis.
- Mettez en place des mesures de sécurité telles que le filtrage des e-mails, le blocage du spam, l'authentification multifacteur (MFA) et les clés de déchiffrement universelles pour réduire la probabilité de remise des e-mails malveillants dans les boîtes de réception de vos collaborateurs.
- Veillez à maintenir à jour tous vos logiciels — y compris les systèmes d'exploitation, les navigateurs et les applications Web — en appliquant les derniers correctifs de sécurité. Vous empêcherez ainsi les cybercriminels d'exploiter des vulnérabilités connues pour accéder à vos systèmes.
- Utilisez un antivirus et un antimalware pour détecter et prévenir les attaques de ransomwares. Effectuez toutes les mises à jour de votre antivirus et de votre antimalware en appliquant les dernières définitions.
- Mettez en place des mesures de sécurité réseau telles que des pare-feu, des systèmes de détection et prévention des intrusions, et la segmentation du réseau pour empêcher les cybercriminels d'obtenir un accès à vos systèmes.
- Déployez des mesures anti-DDoS pour réduire le risque d'attaques de serveurs publics.
- Sensibilisez vos collaborateurs aux risques liés aux attaques de ransomwares et formez-les aux techniques de prévention. Apprenez-leur à reconnaître les e-mails de phishing et les liens suspects et à signaler toute attaque potentielle.
- Instaurez une stratégie d'intervention sur incidents en cas d'attaque de ransomware. Celle-ci doit consister au minimum à isoler les systèmes infectés, à les déconnecter du réseau et à avertir les forces de l'ordre. Prévoyez également un plan de restauration de vos données à partir des sauvegardes.
Protection contre les attaques de ransomwares avec Acronis Cyber Protect
Acronis Cyber Protect est une solution de cyberprotection intégrée qui aide les entreprises à se protéger contre tous les types de ransomwares. Combinant l'apprentissage automatique et l'intelligence artificielle, elle détecte et bloque les attaques de ransomwares tout en proposant des options de restauration en cas d'attaque.
Acronis Cyber Protect détecte et bloque les attaques de ransomwares au moyen d'une approche multiniveau. Une détection heuristique et basée sur les signatures identifie les ransomwares connus, tandis qu'une analyse comportementale et des technologies d'apprentissage automatique détectent les cybermenaces même inédites. La solution fait appel à l'intelligence artificielle pour surveiller les changements de comportement pouvant être le signe d'une attaque imminente.
En cas d'attaque, Acronis Cyber Protect propose plusieurs options de restauration : la restauration des fichiers ou dossiers individuels chiffrés ou du système complet. La solution permet également d'annuler les modifications apportées par le ransomware et de récupérer ainsi la version de vos données antérieure à l'attaque.
