- En matière de cybersécurité, le ransomware est probablement l'une des premières menaces qui nous viennent à l'esprit. Aujourd'hui, le ransomware figure parmi les principales menaces de cybersécurité affectant les particuliers, les entreprises et les organisations au quotidien.
- Cet article présente 5 principaux types d'attaques de ransomware, notamment le crypto-ransomware, le ransomware bloqueur, le scareware, le leakware et le ransomware à double extorsion.
- Quel que soit le type de ransomware, la sauvegarde préalable des données et l'utilisation appropriée de logiciels de sécurité peuvent réduire considérablement l'intensité d'une attaque.
Le ransomwareest l'une des stratégies les plus efficaces pour attaquer les entreprises, les infrastructures critiques et les particuliers. Ce type de logiciel malveillant infecte les ordinateurs et empêche ou limite sévèrement l'accès des utilisateurs et des logiciels externes aux appareils ou à des systèmes entiers jusqu'à ce que les demandes de rançon soient satisfaites.
Pendant longtemps, il n'existait que deux grands types de ransomware: le crypto-ransomware et le ransomware bloqueur. Aujourd'hui, malheureusement, d'autres types de ransomware sont apparus, ciblant les utilisateurs et les organisations avec des approches différentes.
5 principaux types d'attaques de ransomware
1. Crypto-ransomware
Ce type de ransomware rend indisponibles vos fichiers et données importants, y compris les documents et le multimédia, en les chiffrant et en confisquant la clé de déchiffrement. Les autres fonctionnalités des ordinateurs des victimes restent cependant intactes.
Les attaquants exigent ensuite une rançon en échange de la clé de déchiffrement. Ils affichent souvent un compte à rebours et avertissent que les fichiers seront supprimés si la rançon n'est pas payée. Les victimes ont tendance à payer la rançon en fonction de la sensibilité et de l'importance des données chiffrées. Cependant, rien ne garantit que les attaquants restitueront la clé de déchiffrement. Un exemple bien connu de crypto-ransomware estWannaCry, qui a affecté des centaines de milliers d'ordinateurs dans plus de 150 pays en 2017.
2. Ransomware bloqueur
Le ransomware bloqueur, également appelé « bloqueur d'écran », verrouille votre ordinateur une fois qu'il est attaqué, rendant tout ou partie des données et fonctionnalités du système inaccessibles. Par exemple, vous pouvez ne pas pouvoir accéder au bureau de l'ordinateur, mais vous pouvez encore utiliser la souris et le clavier avec des fonctionnalités limitées.
Ici, les attaquants ne vous permettent que d'interagir avec l'écran affichant la demande de rançon. Étant donné que les données importantes ne sont pas chiffrées, elles ne seront pas détruites. Ce type de ransomware inclut également souvent un compte à rebours pour forcer l'utilisateur à payer la rançon le plus rapidement possible.
3. Scareware
Le scareware, comme son nom l'indique, effraie les utilisateurs en les informant que leur ordinateur a été infecté par un logiciel malveillant. Il les incite à payer des frais ou à acheter un logiciel antivirus pour résoudre le problème. Le scareware apparaît généralement sous forme de fenêtres pop-up lorsque vous visitez ou installez un logiciel infecté. Et voici le stratagème: votre ordinateur n'a pas encore été infecté par un malware — mais le logiciel antivirus pour lequel le scareware vous demande de payer est malveillant.
Le scareware peut également être distribué par le biais de courriers indésirables, qui incitent les utilisateurs à acheter quelque chose sans valeur. Ces achats peuvent inclure des logiciels malveillants, qui peuvent voler des informations sensibles sur les utilisateurs. Un exemple de scareware estAntivirus Pro 2010, qui infectait les ordinateurs par le biais de publicités malveillantes et de pop-ups.
Lire aussi:Ce qu'il faut comprendre à propos des adresses IPv6 APNIC?
4. Leakware (Exfiltration)
Le leakware est un ransomware qui va plus loin que le simple chiffrement de vos données sensibles. Il menace de divulguer vos données au public ou à des tiers si vous ne payez pas la rançon demandée. C'est donc un type de ransomware plus dangereux que le crypto-ransomware traditionnel.
Comme le crypto-ransomware, le leakware chiffre l'ensemble des données, les rendant inaccessibles, et conserve la clé de chiffrement. Ils s'assurent que ces données sont confidentielles pour la ou les victimes, de sorte que leur fuite pourrait potentiellement nuire à l'individu ou à l'organisation.
5. Ransomware à double extorsion
L'attaquant chiffre les fichiers et exporte les données pour faire chanter la victime et l'obliger à payer une rançon. L'attaquant menace de publier les données volées si ses demandes ne sont pas satisfaites, même si la victime peut restaurer ses données à partir d'une sauvegarde. Un exemple de ransomware à double extorsion estRyuk, qui a ciblé plusieurs grandes entreprises aux États-Unis et en Europe en 2019 et 2020.
Lire aussi:Qu'est-ce que l'open banking? Un petit guide
Comment prévenir les attaques de ransomware?
La prévention des ransomwares est un défi majeur pour les organisations de tous types et de toutes tailles, sans solution miracle. Les experts estiment que les entreprises ont besoin d'une stratégie de prévention à multiples facettes, comprenant les éléments suivants:
Sécurité de défense en profondeur
Une approche de défense en profondeur comporte des contrôles de sécurité en couches qui fonctionnent de concert pour bloquer les activités malveillantes. Si un logiciel malveillant parvient à contourner un contrôle, l'espoir est qu'un autre mécanisme de sécurité superposé l'arrêtera.
Contrôles de sécurité avancés
Bien que les contrôles de cybersécurité de base puissent reconnaître et intercepter de nombreuses variantes connues de ransomware, les technologies de protection avancées sont plus susceptibles de découvrir de nouvelles attaques. Envisagez des outils et des stratégies tels que la détection et la réponse étendues (XDR), la détection et la réponse gérées, la périphérie de service d'accès sécurisé (SASE), le SIEM, l'analyse du comportement des utilisateurs et des entités (UEBA), la sécurité Zero Trust et la cyber-déception.
Gestion des correctifs
Lorsque l'attaque du ransomware WannaCry a frappé pour la première fois en mai 2017, elle a exploité une vulnérabilité connue pour laquelle Microsoft avait publié un correctif deux mois plus tôt — un correctif que des centaines de milliers de victimes n'avaient pas encore déployé. Étonnamment, les organisations dont les systèmes ne sont pas corrigés continuent d'être victimes de WannaCry et de nombreuses autres attaques héritées.
Sauvegardes de données
Les sauvegardes de données critiques peuvent efficacement court-circuiter une attaque de ransomware, permettant à une organisation de restaurer ses opérations sans céder aux exigences des cybercriminels. Il est crucial cependant que la sauvegarde soit inaccessible depuis l'environnement informatique principal, afin que les acteurs malveillants ne puissent pas la trouver et la chiffrer pendant l'intrusion. Il est également important de noter que si les sauvegardes constituent un élément important de la défense contre les ransomwares, elles ne sont pas une panacée, surtout en cas d'attaques à double ou triple extorsion.
Les attaques de ransomware se présentent sous de nombreuses formes et de toutes tailles. Le vecteur d'attaque est un facteur important pour les types de ransomware utilisés. Pour estimer l'ampleur et l'étendue de l'attaque, il est nécessaire de toujours considérer ce qui est en jeu ou quelles données pourraient être supprimées ou publiées. Quel que soit le type de ransomware, la sauvegarde préalable des données et l'utilisation appropriée de logiciels de sécurité peuvent réduire considérablement l'intensité d'une attaque.

