Guide complet des rançongiciels

- - Qu'est-ce qu'un ransomware ? Le guide complet
    Les rançongiciels sont des logiciels malveillants conçus pour bloquer l'accès à un système informatique ou publier en ligne les données d'une victime. L'attaquant demande une rançon à la victime, promettant - pas toujours sincèrement - de restaurer l'accès aux données après paiement.
    
    Depuis les années 1980, la dernière décennie a vu une augmentation de la surface de divers chevaux de Troie de ransomware, mais la véritable opportunité pour les attaquants s'est accrue depuis l'introduction du Bitcoin. Cette crypto-monnaie permet aux attaquants de collecter facilement de l'argent auprès de leurs victimes sans passer par les canaux traditionnels.
    
    Attaque par ransomware : Comment le cybercriminel intervient-il ?
    
    Une attaque par ransomware commence lorsqu'un logiciel malveillant est téléchargé sur un appareil. Il peut s'agir par exemple d'un ordinateur portable, d'un smartphone ou d'un ordinateur de bureau. Le logiciel malveillant est généralement téléchargé à la suite d'une erreur de l'utilisateur ou de protocoles de sécurité inadéquats.
- Voici quelques exemples de variantes de ransomwares célèbres développées par ces groupes au cours des dernières années :
- 2024 AKIRA, SEXi ransomware
  2023 Lockbit, AlpVM, Clop (sometimes written “Cl0p”, Royal
  2022 BlackBasta
  2021 Black cat
  2020 NetWalker
  2019 REvil /Sodinokibi , MedusaLocker, Maze, DoppelPaymer, Anatova
  2018 Ryuk, GandCrab
  2017 WannaCry, Dharma, BitPaymer, BadRabbit
  2016 Petya NotPetya, Locky, Cerber
  2015 SamSam
  2014 Emotet
  2013 Cryptolocker
- Une vue d'ensemble des groupes de menaces et de leurs variantes est disponible à l'adresse suivante: https://github.com/cert-orangecyberdefense/ransomware_map
  
  Suis-je une cible pour les ransomwares ?
  
  Dans le monde en ligne d'aujourd'hui, la question n'est pas de savoir si une organisation sera attaquée, mais quand et dans quelle mesure elle sera préparée.
- Si vous lisez les nouvelles, vous aurez remarqué que des organisations de différents secteurs et industries ont été victimes d'attaques par ransomware. Des soins de santé aux compagnies aériennes, les attaquants ne semblent pas avoir de préférence quant à leur cible, ou du moins en ont-ils une ?
- Un attaquant choisira normalement une organisation à frapper en fonction de deux éléments :
  
  1. L'opportunité
  2. Gain financier potentiel
  
  Opportunité

Si une organisation dispose d'une petite équipe de sécurité, manque de ressources informatiques et possède une base d'utilisateurs qui partage de nombreux fichiers, c'est-à-dire une université, un pirate peut la considérer comme une cible facile.

Gain financier potentiel

Les organisations qui ont besoin d'un accès immédiat à leurs fichiers, par exemple les cabinets d'avocats ou les agences gouvernementales, peuvent être plus enclines à payer rapidement une rançon. Les organisations qui possèdent des données sensibles peuvent également être disposées à payer pour que la nouvelle de la violation de données ne soit pas divulguée.

Dois-je payer la rançon ?

On pourrait penser que le fait de payer une rançon pour avoir accès à ses données est déjà assez grave, mais ce n'est pas le cas en comparaison des coûts des dommages réels liés à une attaque. Les autres conséquences sont les suivantes

Dommages et destruction (ou perte) de données
Perte de productivité
Perturbation du cours normal des affaires après l'attaque
Enquête médico-légale
Restauration et suppression des données et systèmes pris en otage
Atteinte à la réputation
Formation des employés en réponse directe aux attaques

Si l'on tient compte de ce qui précède, il n'est pas étonnant que les dommages causés par les ransomwares soient appelés à augmenter. La plupart des experts en cybercriminalité conseillent vivement de ne pas payer les rançons, car le fait de financer les attaquants de ransomwares ne fera que contribuer à la création de nouveaux ransomwares. Mais pourquoi les organisations paient-elles leurs attaquants ?

Si le refus de payer un ransomware est suggéré à l'ensemble des entreprises, il n'est pas forcément la meilleure solution pour l'entreprise elle-même. Lorsque l'entreprise risque de perdre définitivement l'accès à des données vitales, de se voir infliger des amendes par les autorités de régulation ou de faire faillite, les options qui s'offrent à elle peuvent sembler bien maigres. Pour la plupart d'entre elles, le choix entre payer une rançon relativement modeste et rester en activité ou refuser de payer pour aider l'ensemble de la communauté des affaires n'est pas une question de réflexion. Dans certains cas de ransomware, la rançon demandée est souvent fixée à un niveau tel qu'elle vaut la peine d'être payée par l'attaquant, mais elle est suffisamment basse pour être moins chère que le paiement par la victime d'une reconstitution de ses données perdues. Des réductions sont également parfois proposées si la victime paie dans un certain délai, par exemple trois jours.

C'est pourquoi certaines entreprises constituent des réserves de bitcoins spécialement destinées au paiement des rançons.

Comment prévenir une attaque de ransomware

Les variantes de ransomware ciblent différents secteurs d'activité. Les personnes exposées doivent prendre des précautions pour réduire les risques et atténuer les effets d'une attaque.L'un des plans les plus importants que votre organisation doit mettre en place est un plan de reprise après sinistre. Si vous n'en avez pas, il y a de fortes chances que les conséquences soient graves. De nombreuses entreprises qui subissent des pertes de données et des interruptions de service pendant dix jours ou plus déposent leur bilan dans les 12 mois qui suivent.

Plan de reprise après sinistre

Un plan de reprise après sinistre décrit différents scénarios permettant de reprendre rapidement le travail après un sinistre, par exemple une attaque de ransomware. Un élément clé du plan de continuité des activités d'une organisation doit permettre une récupération informatique suffisante et la prévention de la perte de données. Un plan de reprise après sinistre décrit divers scénarios permettant de reprendre rapidement le travail après un sinistre, par exemple une attaque de ransomware. Une partie essentielle du plan de continuité des activités d'une organisation doit inclure un plan de reprise après sinistre qui permette une reprise informatique suffisante et la prévention de la perte de données.

N'oubliez pas de tenir le plan à jour et d'en conserver des versions imprimées. En effet, s'il se trouve sur un serveur ou un lecteur crypté, même le meilleur plan d'urgence ne sert à rien. Si vous n'avez pas de plan de reprise après sinistre, vous pouvez télécharger notre modèle gratuit ici.

Voici d'autres recommandations :

Veillez à disposer de sauvegardes à jour - ainsi, en cas d'incident, la restauration de vos fichiers à partir d'une sauvegarde est le moyen le plus rapide de retrouver l'accès à vos données.
Préparez-vous en testant régulièrement les sauvegardes. Les entreprises doivent savoir ce qui est stocké dans les archives de sauvegarde et s'assurer que les données les plus critiques sont accessibles au cas où un ransomware ciblerait les sauvegardes.
Organisez des formations pour les utilisateurs afin de vous assurer que tous les employés sont en mesure de repérer une attaque potentielle. Assurez-vous que les employés connaissent les meilleures pratiques pour éviter de télécharger accidentellement un ransomware ou d'ouvrir le réseau à des personnes extérieures.
Mettez en œuvre des politiques de sécurité. Utilisez les derniers logiciels antivirus, anti-malware et de détection des points d'extrémité et surveillez-les en permanence pour prévenir les infections.
Assurez-vous que vos serveurs de messagerie sont dotés d'un système d'analyse et de filtrage du contenu. Recherchez les menaces connues dans chaque courriel entrant et bloquez tout type de pièce jointe susceptible de constituer une menace.
Élaborez des politiques informatiques qui limitent les infections sur d'autres ressources du réseau. Les entreprises doivent mettre en place des mesures de protection afin que, si un appareil est infecté par un ransomware, celui-ci ne se propage pas à l'ensemble du réseau.
Sécuriser les ressources des équipes de spécialistes des incidents et des spécialistes de la récupération des données Ontrack en période de calme avec des accords de services principaux pour les cas d'urgence.
La communication est essentielle en temps de crise. Créez des adresses électroniques à utiliser en cas d'urgence (pour les décideurs les plus importants) qui sont séparées de l'environnement de l'entreprise, par exemple avec un fournisseur de messagerie en nuage gratuit tel que gmx, yahoo, etc. Inscrivez-les, y compris les données de connexion, dans le plan d'urgence. Un groupe whatsapp à l'échelle de l'entreprise s'est également avéré utile pour les entreprises touchées. Un serveur de partage de fichiers externe est également utile. Cela permet d'accélérer et de faciliter la communication après un incident.

Réduire l'exposition au cyberrisque : gérer le cycle de vie des données

La gestion des données tout au long de leur cycle de vie n'est souvent pas prise en compte par de nombreuses organisations. Pourtant, en l'absence d'une stratégie de gestion du cycle de vie des données, une organisation s'expose à des risques et à des coûts importants en matière de sécurité. Aujourd'hui, le coût d'une protection inefficace des données est trop élevé.

Il n'y a pas que les attaques de ransomware dont les organisations doivent se méfier, les violations de données, les atteintes à la réputation, la perte de clients, les temps d'arrêt et les amendes importantes sont autant de risques potentiels pour une organisation qui ne gère pas efficacement le cycle de vie de ses données. Les organisations qui prennent le temps d'investir les efforts et les ressources nécessaires dans la gestion du cycle de vie des données peuvent minimiser les risques et les coûts de leurs données critiques à tous les stades.

Comment Ontrack a aidé les organisations touchées par le ransomware

Chez Ontrack, nous suivons continuellement les différents types de ransomware. Les ransomwares changent et se développent en permanence, c'est pourquoi nous voulons nous assurer que nous surveillons et étudions les derniers changements et avancées. L'étude des ransomwares et de leurs formes en constante évolution permet d'acquérir des connaissances et une expérience supplémentaires, ce qui augmente la probabilité de récupérer les données perdues à la suite d'une attaque. Lorsqu'il s'agit de données inaccessibles, il est toujours préférable de faire appel à un expert. Si vous êtes attaqué par un ransomware, contactez un expert comme Ontrack pour vous aider à accéder à vos données.

Vous trouverez ci-dessous quelques exemples de cas de récupération de données par ransomware que nous avons menés à bien.

Bases de données hospitalières sauvées d'un ransomware

Tirer parti des erreurs commises par les pirates lors d'une attaque par ransomware

Share Print Page

Supports de stockage

Solutions informatiques

Secteurs d'activité

Récupération de données

Bandes magnétiques

Service d'effacement de données

Autres services

Ontrack EasyRecovery

Ontrack PowerControls

Solutions logicielles d'effacement

Solutions matérielles d'effacement

Ontrack Partenaire

Partenaires Technologiques

Partenaires Technologiques