- Le ransomware utilise des méthodes furtives comme les attaques de la chaîne d'approvisionnement, exploitant la confiance entre les utilisateurs et les fournisseurs de logiciels, ce qui le rend difficile à détecter et à prévenir.
- La récupération des données chiffrées est souvent coûteuse et incertaine en raison des algorithmes de chiffrement complexes utilisés par les ransomwares, ce qui peut entraîner une perte ou une altération des données même après leur déchiffrement.
- Les victimes risquent de subir des attaques secondaires de ransomware car les attaquants exploitent les vulnérabilités du système ou laissent des portes dérobées, ce qui entraîne des perturbations financières et opérationnelles répétées.
Le ransomware est un type particulier de logiciel malveillant qui utilise des moyens techniques pour restreindre l'accès de la victime au système ou aux données qu'il contient (documents, e-mails, bases de données, code source, etc.) et exiger une rançon. La victime doit payer une certaine somme pour retrouver le contrôle de ses données. Toute organisation ou individu peut être la cible d'une attaque par ransomware.
Tendances des attaques par ransomware
Des canaux d'attaque plus furtifs
Les attaques de la chaîne d'approvisionnement exploitent la confiance entre les utilisateurs et les fournisseurs d'applications pour détourner ou altérer des logiciels légitimes en profitant de diverses négligences ou failles chez les fournisseurs lors de la diffusion ou de la mise à jour normale des logiciels, contournant ainsi les contrôles de sécurité traditionnels. Récemment, cette technique d'attaque, observée sur plusieurs sites clients, a vu des paquets de mise à jour infectés en amont, qui ont ensuite pénétré l'ensemble du réseau après être entrés dans l'environnement réseau du client.

Difficile de contrer les attaques par des méthodes traditionnelles
Malgré l'amélioration de la sensibilisation à la sécurité des réseaux d'entreprise et le déploiement de dispositifs de sécurité réseau, les attaques par ransomware restent une menace importante. Ces attaques se caractérisent par une propagation furtive, rapide et multicanal, ce qui pose des défis aux méthodes de protection traditionnelles.
Par exemple, la technologie de comparaison basée sur les signatures peine à suivre la pénétration des attaques par ransomware, les produits de détection avancée des menaces manquent de capacités de protection multidimensionnelles et globales, et les bibliothèques de signatures de protection des terminaux ne peuvent pas suivre l'évolution rapide des variantes de virus ransomware.
À lire aussi: Quels sont les 3 facteurs de l'authentification multifacteur ?
Faible probabilité mais coût élevé de la récupération des données chiffrées
Lorsque vous êtes victime d'une attaque par ransomware, vous pouvez généralement déterminer à partir du comportement de la rançon, du chiffrement ou du verrouillage utilisé par l'organisation criminelle, l'utilisation d'un petit nombre d'algorithmes de chiffrement rendus publics sur le réseau pour tenter le déchiffrement. Cependant, en raison de la complexité des algorithmes de chiffrement utilisés par les virus ransomware, la probabilité de récupération des données est souvent extrêmement faible, et même en cas de déchiffrement réussi, cela peut entraîner une altération ou une perte de données.
Risque de rançon secondaire
Certaines victimes subissent des attaques de rançon à plusieurs reprises. Cela est lié à la grande capacité de camouflage et de furtivité des ransomwares. D'une part, parce que les victimes ne parviennent pas à éliminer complètement les programmes malveillants ou à corriger les vulnérabilités du système après la première attaque, ce qui permet aux attaquants d'exploiter des faiblesses connues pour lancer une nouvelle attaque; d'autre part, certains attaquants peuvent intentionnellement laisser une porte dérobée pour l'activer et attaquer à nouveau à l'avenir.
À lire aussi: L'authentification multifacteur est-elle efficace ?
Caractéristiques des attaques par ransomware
Virus ransomware à itération rapide et nombreuses variantes
Avec l'évolution constante de l'environnement de sécurité réseau et le développement rapide de la technologie, les virus ransomware évoluent également, présentant des caractéristiques d'attaque plus avancées et plus complexes. Le nombre de variantes de ransomware ne cesse d'augmenter, et il est difficile de suivre le rythme des changements de virus en se contentant de la défense par comparaison d'échantillons. En mars 2024, l'équipe d'experts Venut Anti-Ransom a collecté plus de 100 000 types d'échantillons de virus, et rien qu'en 2023, ce nombre a augmenté de 1 600 types.
L'industrie du ransomware constituée
Les attaques par ransomware ont donné naissance à une véritable industrie, allant du piratage des systèmes au chiffrement des fichiers, jusqu'à l'extorsion de rançon, formant un schéma d'attaque systématique. La formation de cette industrie est due aux progrès technologiques. Avec l'accélération de la transformation numérique, de plus en plus d'entreprises et de particuliers transfèrent leurs données et leurs activités en ligne, ce qui élargit constamment la surface d'attaque potentielle.
En outre, certains attaquants ont abaissé le seuil des attaques de rançon en proposant des ransomware-as-a-service (RaaS), et les attaques par ransomware prennent rapidement de l'ampleur.
Utilisation de contre-mesures
Ciblant des victimes lucratives, les attaquants n'hésitent pas à prendre le risque d'utiliser des tactiques anti-protection. Lors d'une prestation de services anti-ransomware pour un client, il a été découvert que l'attaquant avait réussi à s'infiltrer via une attaque d'ingénierie sociale, en utilisant le protocole de bureau à distance (RDP) et le réseau privé virtuel (VPN), en désinstallant le client antivirus installé sur l'équipement terminal ou en arrêtant le processus, et a pris le contrôle du terminal du client, puis s'est propagé dans les autres environnements réseau.
Modes de propagation variés
Les ransomwares peuvent se propager largement par le biais d'e-mails, de chevaux de Troie et de scripts malveillants intégrés dans des pages web. La grande majorité des utilisateurs du réseau ont une faible sensibilisation à la sécurité, utilisent uniquement des logiciels de protection de base sur leurs terminaux Internet, utilisent des logiciels open source sans précaution, cliquent sur des liens non identifiés dans les e-mails, visitent des pages web non sécurisées et deviennent sans le savoir des propagateurs de ransomware.
Comment se défendre contre les ransomwares ?
Défense côté réseau
La clé pour se défendre contre les attaques par ransomware est la prévention: intercepter l'attaque avant qu'elle ne pénètre dans l'organisation et ne cause des dommages importants. La meilleure façon d'y parvenir est de mettre en place un système de défense multicouche basé sur des pare-feu pour empêcher les attaquants de franchir une couche de défense et de s'introduire plus avant. Une politique de sécurité stricte est le moyen de protection le plus simple et le plus efficace; n'ouvrir que les services essentiels vers l'extérieur et bloquer les ports à haut risque réduit l'exposition (surface d'attaque).
Le blocage des menaces connues peut souvent amener les attaquants à abandonner des attaques qui nécessiteraient autrement la création d'un nouveau ransomware ou l'exploitation de nouvelles vulnérabilités, ce qui augmenterait inévitablement leurs coûts. De plus, l'activation du filtrage de fichiers peut empêcher les types de fichiers à haut risque de pénétrer dans le réseau; le blocage des sites web malveillants par filtrage d'URL peut empêcher les utilisateurs de télécharger involontairement des logiciels malveillants.
Défense côté hôte
Premièrement, il est recommandé de configurer les hôtes de manière unifiée via des solutions d'infrastructure informatique au niveau de l'organisation. Les stratégies de groupe pour les serveurs AD et les centres de contrôle des logiciels antivirus d'entreprise peuvent garantir que les mesures de sécurité sont en place sans dépendre de l'exécution individuelle des employés.
Deuxièmement, la formation des employés à la sécurité de l'information est également importante. De nombreux programmes de ransomware utilisent des e-mails et des tactiques d'ingénierie sociale pour inciter les employés à télécharger des logiciels malveillants ou à visiter des URL malveillantes. En n'y donnant pas suite, les employés peuvent éviter d'activer les vecteurs d'attaque. Former les employés à adopter de bonnes habitudes de bureau et à reconnaître et prévenir les tactiques d'attaque typiques grâce à la sensibilisation à la sécurité de l'information est un moyen efficace d'éviter les attaques par ransomware.

