Qu’est-ce que le ransomware?
Le ransomware est un type de malware précis et très pénible utilisé par les cybercriminels pour extorquer de l’argent à des individus, des organisations et des entreprises. Une infection bloque l’accès à vos données jusqu’à ce que vous payiez la rançon, après quoi vous êtes supposé retrouver l’accès à vos données.
En réalité, près de 40 % des victimes qui paient la rançon ne récupèrent jamais leurs données, et 73 % de ceux qui paient sont de nouveau ciblés plus tard. C’est la raison pour laquelle chacun doit se protéger contre les ransomware.
Célèbres attaques par ransomware
- Dharma
- Ryuk
- Sodinokibi
- Netwalker
- Maze
Impact:ÉlevéÉtat:ActifDharma
Dharma, évolution du ransomware CrySis apparu en 2016, se propage principalement sous forme de pièces jointes malveillantes dans des courriers indésirables en utilisant diverses tactiques, comme les doubles extensions de fichier, ou l'infiltration dans des fichiers d'installation de logiciels légitimes. Plus récemment, cette souche de ransomware a également été distribuée via des serveurs RDP exposés en raison de mots de passe faibles ou compromis. Le montant de la rançon tourne en général autour d'un bitcoin par infection; les principales victimes sont les PME et les particuliers. Selon le FBI, les bénéfices résultant des attaques de toutes les versions de ce malware ont dépassé les 8 millions de dollars en 2019. En mars 2020, le code source de Dharma a été mis en vente sur plusieurs forums clandestins, permettant ainsi la création de nouvelles variantes.
Dans l’actualité
Impact:ModéréÉtat:ActifRyuk Ransomware
Ryuk serait lié à Lazarus, un groupe de cyberpirates commandité par un État, et à la précédente variante de ransomware Hermes. Contrairement aux souches habituelles de ransomware qui sont distribuées dans le cadre de campagnes massives de spam et via des kits d'exploit, cette variante est principalement utilisée dans des attaques ciblées. Ryuk utilise un modèle de chiffrement à trois niveaux dans lequel les clés de chiffrement sont chiffrées avec l'algorithme RSA, l'algorithme AES étant utilisé pour chiffrer les fichiers utilisateur. Des techniques d'injection de processus sont également utilisées pour passer sous les radars des solutions antivirus. Ryuk a infecté des cibles très en vue et des rançons de plusieurs millions de dollars ont été exigées. Le FBI évalue les revenus générés par Ryuk à environ 3 millions de dollars par mois, ce qui témoigne de l'efficacité de la stratégie utilisée.
Dans l’actualité
Impact:ModéréÉlevé:ActifSodinokibi Ransomware
Sodinokibi serait distribué par des attaquants associés aux personnes ayant distribué le tristement célèbre ransomware GandCrab. Sodinokibi n’attaque en général pas les ordinateurs iraniens, russes, et provenant de pays ayant fait partie de l’URSS. Sodinokibi utilise le procédé de chiffrement intégré à courbe elliptique (Elliptic Curve Integrated Encryption Scheme – ECIES) pour générer et échanger des clés (algorithme d’échange de clés Diffie-Hellman à courbe elliptique). Ce ransomware utilise les algorithmes AES et Salsa20 pour chiffrer respectivement des clés de session et les fichiers d’un utilisateur. AES sert également à chiffrer des données réseau envoyées au serveur de contrôle. Ce ransomware exige en général 0,32806964 BTC (≈ 2 500 $) pour redonner accès aux fichiers chiffrés.
Dans l’actualité- Le ransomware Sodinokibi pourrait perturber le NASDAQ par des attaques provoquant une baisse du cours des actions
- Une attaque par le ransomware Sodinokibi paralyse le réseau informatique du constructeur automobile Gedia
- Graves répercussions de l'attaque de Travelex
En savoir plus sur Sodinokibi sur Acronis
Impact:ÉlevéStatus:ActifNetwalker
Découvert par GrujaRS, NetWalker (également connu sous le nom de Mailto) est une version actualisée du ransomware Kokoklock. Après compromission des réseaux et chiffrement de l'ensemble des appareils Windows connectés, des rançons très élevées sont demandées. Des cybercriminels ont récemment lancé une campagne par e-mail liée au coronavirus pour diffuser le ransomware NetWalker. Fin mars 2020, le groupe a lancé une campagne d'affiliation pour fournir NetWalker sous forme de RaaS (Ransomware as a Service).
Dans l’actualité- Des hôpitaux espagnols ciblés par attaques de phishing sur le thème de coronavirus visant à introduire le ransomware NetWalker
- Des professionnels de santé ciblés par une nouvelle campagne de dangereux ransomwares Windows utilisant le coronavirus comme appât
- Infection d'utilisateurs par le ransomware NetWalker dans le cadre d'une attaque de phishing sur le thème du coronavirus
Impact:ÉlevéÉtat:ActifMaze
Maze, anciennement ChaCha, est apparu pour la première fois dans le milieu du ransomware en 2019. Le groupe est actif au niveau international et diffuse des malwares en utilisant différentes méthodes, notamment le spam, les kits d'exploit et les connexions de bureau à distance avec des mots de passe faibles. Le ransomware Maze est assez complexe et contient plusieurs tactiques anti-analyse, comme la neutralisation des débogueurs et des outils d'ingénierie inverse. Maze a été l'une des premières grandes familles de ransomwares à publier des données volées si les victimes ne payaient pas la rançon demandée. Contrairement à beaucoup d'autres, le groupe aux commandes du ransomware Maze est très actif sur les réseaux sociaux où il nargue chercheurs et journalistes.
Dans l’actualité- Le cyberassureur Chubb se fait voler des données lors d'une attaque par le ransomware Maze
- Cyberattaque par le ransomware Maze contre la ville de Pensacola, avec demande de rançon d'un million de dollars
- Des cybercriminels ciblent des professionels de santé avec le ransomware Maze et publient des données médicales volées
Le lien entre ransomware et cryptopiratage
Les cybercriminels infectent les machines Windows et Linux par des malware qui piratent les ressources informatiques dans le but d’extraire des cryptomonnaies sans que l’utilisateur ne le sache. Le cryptopiratage ne se contente pas de ralentir la performance des ordinateurs : il augmente également les coûts énergétiques et endommage le matériel. Par ailleurs, l’infection injecte habituellement des ransomware afin d’optimiser la rentabilité des malware.
Heureusement, Acronis détecte et stoppe automatiquement les ransomware et les cryptopirates en temps réel, en surpassant une grande partie des principales solutions de cybersécurité des terminaux du marché.
La solution de sauvegarde la plus fiable et simple à utiliser
- Pour les particuliers
Cyber Protect Home Office
La solution de cyberprotection personnelle leader du marché, la plus rapide, la plus simple d’utilisation et la plus sécurisée, selon une étude indépendante.
Acheter maintenant - Pour les entreprises
Cyber Protect
La seule solution avec intégration native de fonctionnalités de cybersécurité, de protection des données et de gestion des terminaux, systèmes et données. Son intégration et ses capacités d'automatisation assurent une protection de pointe, augmentant votre productivité tout en réduisant le coût total de possession.
Acheter maintenant
Protection éprouvée contre les ransomware
Laboratoires indépendants, analystes en cybersécurité et groupes industriels sont unanimes: Acronis offre la meilleure protection contre les cybermenaces modernes.
Ne soyez pas une victime
Comment les solutions Acronis sauvegardent vos données, applications et systèmes
- Elles détectent les attaques
Grâce à l’intelligence artificielle, Acronis surveille votre système en temps réel : il examine les processus afin d’identifier les activités qui présentent des modèles de comportement typiques des attaques par ransomware et cryptojacking.
- Elles stoppent le chiffrement
Si un processus essaie de chiffrer vos données ou d’injecter un code malveillant, Acronis le stoppe immédiatement et vous informe instantanément qu’un élément suspect a été découvert. Vous pouvez ensuite bloquer l’activité ou l’autoriser à se poursuivre.
- Elles restaurent les fichiers affectés
Si des fichiers ont été altérés ou chiffrés avant que l’attaque n’ait été stoppée, les solutions de cyberprotection Acronis les restaurent automatiquement depuis la sauvegarde ou le cache, ce qui inverse presque immédiatement les effets de n’importe quelle attaque.
- Elles abordent les cinq vecteurs de la cyberprotection
Une cyberprotection moderne doit garantir la sûreté, l’accessibilité, la confidentialité, l’authenticité et la sécurité de toutes vos données (SACAS). Seul Acronis peut unifier toutes les technologies nécessaires (cloud hybride, IA, chiffrement et blockchain) en une seule solution simple, efficace et sécurisée.
Sécuriser le secteur
Membre fier de l’AMTSO
En tant que membre de l’Anti-Malware Testing Standards Organization (AMTSO), Acronis aide à développer des normes correctes de test des solutions de sécurité, et nous participons à des tests visant à nous conformer aux normes de l’AMTSO.
Contributeur ML à VirusTotal
Être membre de l’AMTSO a permis à Acronis d’intégrer son moteur d’apprentissage machine à VirusTotal, ce qui permet aux utilisateurs du monde entier de bénéficier de la capacité de notre technologie à détecter diverses menaces aux données en ligne.
Joel S.
Administrateur réseau
“Grâce aux caractéristiques innovantes telles qu’Acronis Active Protection contre les ransomware, nous mettons en place la meilleure cyberprotection du marché.”
Besoin d’aide ?
Foire aux questions
- Qu’est-ce qu’un ransomware ?
Un ransomware est un type de malware utilisé par les cybercriminels pour extorquer de l’argent à des particuliers, des organisations et des entreprises. Bien qu’il existe de nombreux types de ransomwares, une attaque typique chiffre les données de la victime et lui envoie dans la foulée un message exigeant une rançon, à payer généralement sous la forme de monnaie numérique telle que le Bitcoin ou le Monero.
En échange, les cybercriminels sont censés fournir une clé de déchiffrement. Soulignons toutefois que près de 40 % des victimes qui cèdent à ce chantage ne récupèrent jamais l’accès à leurs données.
- Comment éviter les attaques par ransomware ?
Les ransomwares sont généralement transmis par l’intermédiaire du courrier électronique et de sites Web infectés. La plupart recourent au phishing pour se propager, c’est-à-dire à des e-mails frauduleux qui semblent provenir d’une personne que vous connaissez ou à qui vous faites confiance. L’idée est de vous piéger en vous amenant à ouvrir une pièce jointe ou à cliquer sur un lien figurant dans le corps du message : c’est à ce moment que le ransomware est injecté dans votre système.
Redoubler de vigilance et identifier les pièces jointes et liens suspects constitue certes la première des défenses. Mais sachez que les cybercriminels sont capables de piéger les utilisateurs les plus méfiants. Se doter d’un logiciel de protection contre les ransomwares capable de protéger efficacement votre système sera donc essentiel.
Malheureusement, les antivirus classiques recherchent uniquement les souches connues de ransomwares, et se révèlent donc incapables de suivre le rythme effréné de l’évolution des menaces. Que vous cherchiez à protéger des équipements Windows 10 ou Mac, assurez-vous de choisir une technologie anti-ransomware capable de détecter les attaques en identifiant les activités suspectes. En effet, il n’y a pas de technologie plus efficace pour identifier et bloquer les attaques jour zéro que l’analyse comportementale.
- Comment éliminer un ransomware ?
Si vous êtes victime d’un ransomware, l’éliminer sera difficile. Trois options s’offrent à vous.
Tout d’abord, vous pouvez restaurer votre système à partir d’une sauvegarde. Vous devrez toutefois vous assurer que votre sauvegarde n’a pas été altérée. En effet, les nouvelles souches de ransomware vont jusqu’à s’attaquer aux fichiers et logiciels de sauvegarde.
La deuxième option consiste à reformater le disque dur, à effacer toutes les données (y compris l’infection), puis à réinstaller le système d’exploitation et les applications. Cependant, si vous ne possédez pas de sauvegarde, vous perdrez toutes vos données personnelles et vous n’en resterez pas moins confronté à la menace de nouvelles attaques par ransomware.
Enfin, vous pouvez payer la rançon, puis espérer que la clé de déchiffrement fonctionne et que vos données seront restaurées. Rappelez-vous cependant que 40 % des victimes qui acceptent de payer les criminels ne récupèrent jamais leurs données... Par conséquent, l’approche à privilégier reste la prévention.
- Quels acteurs se dissimulent derrière les ransomwares ?
En général, l’élaboration et la diffusion des ransomwares sont l’œuvre soit de groupes criminels organisés, soit d’États.
Les criminels organisés sont motivés par l’extorsion à grande échelle. Certains d’entre eux vendent d’ailleurs des kits de ransomware « prêts à l’emploi », qui ne nécessitent que très peu d’expertise technique. Ce modèle RaaS (Ransomware as a Service) favorise la propagation rapide de ces malwares redoutables. Les criminels servent d’intermédiaire pour le paiement, le déchiffrement et les autres étapes opérationnelles, et prennent une commission sur la rançon perçue.
Les États qui exploitent les ransomwares sont pour la plupart des États voyous, souvent soumis à des sanctions strictes de la part de la communauté internationale. Ils exploitent les ransomwares à la fois pour soutirer de l’argent aux victimes et pour ébranler la santé économique, communautaire et gouvernementale de leurs rivaux.
- Comment déchiffrer les fichiers ?
Étant donné le large éventail de familles de ransomware ainsi que les souches individuelles de certaines familles, le déchiffrement des données à la suite d’une attaque varie.
Dans certains cas, il existe des packages logiciels de déchiffrement disponibles en ligne pour certains types de ransomware. Ils peuvent être créés, car la souche a été minutieusement étudiée depuis son apparition, ou parce qu’un chercheur a trouvé un défaut dans le chiffrement utilisé par les criminels. Si vous pouvez déterminer le type de ransomware qui a chiffré vos fichiers, vous pouvez voir si un déchiffreur est disponible.
Cependant, dans la plupart des cas, la souche de chiffrement des ransomware populaires est si efficace qu’il est impossible de déchiffrer les fichiers, et, dans l’ensemble, il n’existe aucune option de déchiffrement pour les familles de ransomware modernes.
La meilleure option est de restaurer votre système depuis une sauvegarde sécurisée, qui restaure vos fichiers, et dans la majorité des cas, supprime le malware et donc le risque de réinfection.
Si vous possédez bien un bloqueur de ransomware basé sur le comportement, vous éviterez également de futures infections.