Les ransomwares ont beaucoup évolué depuis leur première apparition : des outils fragmentaires créés par des passionnés solitaires pour une industrie clandestine puissante qui ramène de belles récompenses aux créateurs. De plus, le coût de l’accès à ce monde obscur ne cesse de baisser.
De nos jours, les cybercriminels en devenir n’ont plus besoin de créer leur propre malware ou de l’acheter sur le dark web. Il leur suffit d’avoir accès à une plateforme RaaS (Ransomware-as-a-Service) basée sur le Cloud. Ces services, faciles à déployer et qui ne requièrent aucune compétence en programmation, permettent à n’importe qui d’utiliser des outils de ransomware, ce qui a inévitablement amené une hausse du nombre de cyber-incidents causés par un ransomware.
Une autre tendance inquiétante et assez récente est le passage d’un modèle de ransomware simple aux attaques combinées qui siphonnent les données avant de les chiffrer. Dans ces cas, le défaut de paiement n’entraîne pas la destruction des informations mais leur publication en open-source ou leur vente aux enchères (privées). Lors d’une de ces ventes aux enchères, qui a eu lieu pendant l’été 2020, les bases de données d’entreprises agricoles, volées par le ransomware REvil, ont été mises en vente au prix de départ de 55 000 dollars.
Malheureusement, de nombreuses victimes de ransomwares se sentent obligées de payer tout en sachant que rien ne leur garantit qu’elles vont récupérer leurs données. Cela s’explique par le fait que les pirates informatiques ont tendance à s’en prendre aux entreprises et organisations qui ne supportent pas d’avoir une période d’inactivité. Les dégâts provoqués par un arrêt de la production, par exemple, peuvent s’élever à des millions de dollars par jour d’autant que l’enquête de l’incident pourrait durer des semaines et ne garantit pas forcément que la situation sera rétablie. Qu’en est-il des organisations médicales ? En cas de situations urgentes, certains chefs d’entreprise pensent que la seule solution est de payer.
En automne dernier, le FBI a publié un communiqué spécial sur les ransomwares où il explique sans équivoque que personne ne doit payer la rançon demandée par les cybercriminels. Le paiement les encourage à commettre plus d’attaques et ne garantit en aucune façon que la personne va récupérer les données chiffrées.
À la une
Voici quelques incidents qui ont eu lieu pendant le premier semestre de cette année et qui montrent l’ampleur que prend ce problème.
En février, les installations de l’entreprise danoise ISS ont été victimes d’un ransomware. Les cybercriminels ont chiffré la base de données de l’entreprise et les centaines de milliers d’employés qui travaillent dans 60 pays différents ont été déconnectés des services de l’entreprise. Les danois ont refusé de payer ; il a fallu près d’un mois pour restaurer la plupart de l’activité de l’infrastructure et pour mener l’enquête, et on estime qu’au total l’entreprise a perdu entre 75 et 114 millions de dollars.
La multinationale américaine qui fournit des services informatiques, Cognizant, a été touchée par un ransomware au printemps. Le 18 avril, l’entreprise a officiellement reconnu avoir été victime du célèbre ransomware Maze. Les clients de l’entreprise utilisent ses logiciels et ses services pour fournir un soutien aux employés en télétravail, dont les activités ont été perturbées.
Dans un communiqué envoyé à ses associés immédiatement après l’attaque, Cognizant a énuméré toutes les adresses IP du serveur et tous les hash de fichiers (kepstl32.dll, memes.tmp, maze.dll) propres à Maze comme indicateurs de danger.
Il a fallu trois semaines pour reconstruire grande partie de l’infrastructure de l’entreprise et Cognizant a indiqué avoir perdu entre 50 et 70 millions de dollars lors des résultats financiers du deuxième trimestre de 2020.
En février, le conseil de l’agglomération de Redcar & Cleveland (Royaume-Uni) a été victime d’une attaque. Le journal britannique The Guardian a retranscrit les propos d’un membre du conseil qui a expliqué que pendant trois semaines (le temps nécessaire pour reconstruire de façon efficace l’infrastructure informatique utilisée par des centaines de milliers d’habitants) le conseil a dû travailler avec « une feuille et un stylo ».
Comment vous protéger
La meilleure stratégie est d’être prêt. Équipez vos services de messagerie, qui sont une éventuelle porte d’entrée pour les accès non autorisés, de filtres anti-spam pour bloquer ou mettre en quarantaine les pièces jointes exécutables.
Si malgré toute cette préparation vous êtes victime d’une attaque, minimiser la durée de la période d’inactivité et les potentiels dégâts en effectuant régulièrement des sauvegardes de toutes les informations critiques de l’entreprise. Conservez vos sauvegardes dans un Cloud sécurisé.
En plus des produits d’hygiène numérique décrits ci-dessus, vous devez utiliser des solutions spécialisées comme Kaspersky Anti-Ransomware Tool. Grâce au Cloud et à l’analyse du comportement, Kaspersky Anti-Ransomware Tool empêche le ransomware de pénétrer dans les systèmes en détectant un comportement suspect de l’application. Quant aux systèmes déjà infectés, cet outil peut retourner en arrière et annuler les actions malveillantes.
Notre solution intégrée Kaspersky Endpoint Security for Business offre une protection beaucoup plus large contre tous les types de menaces. En plus d’avoir les mêmes caractéristiques que Kaspersky Anti-Ransomware Tool, Kaspersky Endpoint Security for Business propose un large éventail de contrôles pour le Web et les dispositifs, dispose de l’outil Adaptive Anomaly Control, et donne des conseils pour bien configurer vos politiques de sécurité et notamment permettre à la solution de lutter contre les types d’attaques les plus modernes comme, par exemple, celles qui utilisent des malwares sans fichier.