Définition du ransomware
Un rançongiciel, également appelé ransomware, est un logiciel malveillant qui prend en otage les données en bloquant l'accès à l'ordinateur ou aux fichiers. Cet exemple de risque cyber s'introduit grâce à l'ouverture d'un fichier ou après avoir cliqué sur un lien malveillant dans un email reçu ou sur un site compromis. Les cyber-criminels exigent le paiement d'une rançon, souvent sous forme de monnaie virtuelle, en échange d'une clé de déchiffrement qui permet de redonner accès aux données corrompues.
Exemples de ransomware
Ransomware à double extorsion
Le ransomware à double extorsion a pour objectif de chiffrer et de voler les données en échange d'un paiement de rançon.
En cas d'attaque par rançongiciel classique, les données sont chiffrées jusqu'à ce que la victime accepte de payer la rançon en échange de la clé de déchiffrement. Les victimes pouvant restaurer leurs données à partir de sauvegardes, cette méthode s'est révélée peu rentable pour les cyber-criminels.
Dans une attaque par ransomware à double extorsion, les attaquants vont plus loin puisqu'ils ne se contentent pas seulement de chiffrer les données mais volent également les données. Les victimes sont maintenant menacées que leurs données, souvent sensibles et/ou confidentielles, soient rendues publiques ou vendues sur le dark web. Cette méthode offre un avantage aux cyber-criminels qui leur permet de faire pression sur leurs victimes en les incitant à payer la rançon. Ainsi, même si la victime parvient à restaurer ses données, elle demeure exposée à une violation de données si elle refuse de payer la rançon exigée.
Ransomware en tant que service (RaaS)
Le ransomware en tant que service est un modèle commercial. Il permet aux développeurs de rançongiciels, qui conçoivent des logiciels malveillants, de louer leur service aux cyber-criminels afin de lancer des attaques ransomwares. Les cyber-criminels ont ainsi besoin d'aucune compétence technique pour réaliser une attaque rançongiciel et ce service est à la portée de tous du moment qu'un abonnement est souscrit.
Ransomware sans chiffrement
Une attaque par ransomware sans chiffrement ne chiffre pas les données de la victime mais a pour objectif l'exfiltration des données. Les données volées sont menacées d'être dévoilées publiquement et vendues sur le dark web si la rançon n'est pas payée.
Historique et origine du ransomware
Apparu en 1989 dans un contexte d'inquiétude sur l'émergence du virus SIDA, le AIDS Trojan est considéré comme le premier rançongiciel. Le Dr. Joseph Popp, identifié comme l'auteur de ce rançongiciel, a envoyé par voie postale des milliers de disquettes dans le monde entier. Ces disquettes contenaient des informations sur la maladie du SIDA mais également le virus informatique qui a permis de chiffrer les fichiers des postes de travail infectés. Pour obtenir la clé de déchiffrement, les victimes devaient payer une rançon de 189 dollars.
Avec l'arrivée d'internet, les rançongiciels se sont plus largement diffusés. Le ransomware de type "Locker" a pour objectif de bloquer l'accès à l'ordinateur.
Le ransomware Cryptolocker fait son apparition en 2013. Il a pour objectif de chiffrer les fichiers et est un des premiers ransomwares à exiger une rançon en bitcoin.
D'après le rapport 2023 de la FFCyber 43% des TPE/PME françaises victimes de cyberattaque en 2023 ont été victime d'un ransomware.
Importance de se protéger face à ce type de cyber-attaque
Une attaque ransomware est un exemple de risque cyber qui peut être lourd de conséquence pour une organisation.
En septembre 2023, Johnson Controls International a été victime d'un rançongiciel avec pour conséquence 27 téraoctets de données volées. La demande de rançon s'élevait à 51 millions de dollars en échange de la clé de déchiffrement et de la suppression des données volées. Le coût total de cette cyberattaque a été estimé à 27 millions de dollars pour la société, selon les déclarations officielles de l’entreprise dans les documents soumis à la Securities and Exchange Commission (SEC) des États-Unis. Ces coûts comprennent les répercussions directes sur le bénéfice net du dernier trimestre de l’année 2023, mais aussi les pertes de revenus persistantes jusqu’à la fin de l’année fiscale 2023 et au début de l’année 2024, ainsi que les dépenses engagées pour contrer et répondre à cette menace numérique.
D'après le rapport publié par IBM (2023), le coût moyen d'une attaque par rançongiciel s'élève à 5,13 millions de dollars hors rançon.
Les conséquences financières d'une attaque par ransomware peuvent être dévastatrices pour organisation allant jusqu'au redressement judiciaire. L'assurance cyber-risques est une protection financière face aux ransomwares puisque les contrats d'assurance couvrent par exemple la perte de marge de brute, les analyses forensic mais également la réparation des systèmes d'information.
Quelle est la cible des attaques aux ransomwares
Les pirates informatiques ciblent les organisations susceptibles d'avoir des données sensibles comme des informations personnelles, financières ou médicales.
D'après un rapport de Flare, les secteurs privilégiés par les cyber-criminels pour des attaques par rançongiciel sont l'industrie manufacturière, les technologies de l'information, du service et financier. Le secteur de la santé reste également une cible de choix pour les attaquants, secteur détenant un grand nombre de données sensibles.
Les dernières attaques majeures aux ransomwares
Retrouvez notre article sur le ransomware qui a touché Kaseya.
Que faire en cas d'attaque par ransomware ?
En cas d'attaque par rançongiciel, l'organisation doit :
- Isoler du réseau informatique le poste infecté en désactivant la connexion internet. Il ne faut surtout pas éteindre l'ordinateur en question.
- Alerter le service ou le prestataire informatique ainsi que son courtier en assurance si l'organisation dispose d'une couverture d'assurance. L'organisation sera ainsi mise en relation avec des experts en cybersécurité disponibles 24/7.
- Ne pas payer la rançon.
- Conserver les preuves qui aideront à signaler l'attaque aux autorités.
- Déposer plainte au commissariat de police ou à la gendarmerie dans les 72h après sa découverte et à la CNIL en cas de violation de données personnelles.
Conseils pour prévenir le risque de ransomware ou rançongiciel
Voici quelques conseils qui permettent de prévenir d'une attaque par ransomware :
- Faire une sauvegarde des données déconnectée et régulière. En cas d'attaque les données chiffrées pourront ainsi être récupérées.
- Mettre régulièrement à jour les logiciels utilisés, les attaquants exploitant les vulnérabilités des versions obsolètes pour pénétrer dans les systèmes d'information.
- Repérer les emails douteux et ne pas ouvrir les pièces jointes qu'ils contiennent. L'extension de la pièce jointe peut être un élément alarmant surtout si celle-ci est inhabituelle (.pif, .com, .bat, .exe, .vbs)
L'assurance cyber-risques ne permet pas d'être protégé face aux rançongiciels mais permet d'amortir l'impact financier. Toutes les compagnies d'assurance couvrent les attaques par ransomware et les frais liés à cette attaque comme la perte de marge brute, les frais juridiques ou encore les analyses forensic. Se tourner vers un courtier spécialisé, comme CYBER COVER, permet d'être certain que le périmètre est correctement assuré et que les limites de garanties sont en adéquation avec l'exposition au risque cyber par rapport à la taille et l'activité de l'organisation.
Découvrez notre page sur le phishing.