Focus sur les menaces : Les ransomwares

Focus sur les menaces : Ransomware

Version imprimable, PDF et e-mail

Les cybercriminels ciblent les administrations publiques ainsi que les établissements de santé et d'enseignement à l'aide de ransomwares. Alors qu'une augmentation des attaques était attendue en raison de la prochaine élection présidentielle, les cybercriminels profitent également de la pandémie de covid-19 et de l'essor du télétravail pour semer le chaos dans les entreprises. Bien qu'ils se servent de ransomwares depuis une vingtaine d'années, la menace s'est considérablement aggravée récemment.

Au cours des 12 derniers mois, les chercheurs de Barracuda ont identifié et analysé 74 incidents liés à des ransomwares. L'an dernier, un examen approfondi des attaques par ransomware à l'échelle locale a révélé que les collectivités territoriales étaient une cible privilégiée des cybercriminels. C'est d'ailleurs toujours le cas aujourd'hui. La plupart des attaques par ransomware passées à la loupe cette année visaient des établissements publics : administrations, écoles, bibliothèques, tribunaux, etc. L'analyse comprend également des données sur les entreprises de santé et de logistique, deux secteurs essentiels à notre bien-être physique ainsi qu'à la viabilité et à la reprise économiques durant la pandémie.

Focus sur les menaces : Ransomware

Voyons plus en détail les dernières attaques par ransomware ainsi que les solutions qui permettent de les détecter, de les bloquer et de réparer leurs éventuels dégâts.

Menaces particulièrement importantes

Ransomware Les cybercriminels utilisent des logiciels malveillants, qui se présentent sous forme de pièce jointe ou de lien dans un e-mail, pour infecter le réseau et bloquer l'accès aux e-mails, aux données et autres fichiers critiques jusqu'au paiement d'une rançon. Sophistiquées et en perpétuelle évolution, ces attaques occasionnent des dégâts et des frais importants. Elles ont en effet la capacité de gripper le fonctionnement quotidien des administrations et de semer le chaos. Il en résulte des pertes financières importantes du fait de l'interruption de service, du paiement de la rançon, des coûts liés à la reprise et d'autres dépenses imprévues et non budgétées.

La pandémie ayant assigné des millions d'employés à domicile, les cybercriminels disposent d'une plus grande surface d'attaque en raison du passage rapide et généralisé au télétravail. La faible sécurité des réseaux domestiques facilite le travail des cybercriminels pour compromettre ces réseaux, infiltrer latéralement ceux des entreprises et lancer des attaques de type ransomware.

Les détails

En plus de viser fortement les municipalités, qui sont manifestement un domaine d'intérêt et de réussite pour les cybercriminels, ces derniers se concentrent aujourd'hui sur le secteur de l'éducation et de la santé. Il n'est pas surprenant de constater une multiplication des attaques contre les établissements de santé, les pirates surfant sur la vague de la pandémie.

Les cybercriminels ciblent les administrations publiques ainsi que les établissements de santé et d'enseignement à l'aide de ransomwares.Cliquez pour tweeter

Les attaques visant le secteur de l'éducation, notamment les établissements d'enseignement supérieur, comprennent le vol d'informations personnelles et de dossiers médicaux, mais aussi de données de recherches sur les soins de santé. L'institut orthopédique de Floride et l'école de médecine UFSC ont fait la une des médias suite à deux affaires retentissantes. Le premier fait actuellement l'objet d'un recours collectif tandis que le second a dû s'acquitter d'une rançon de 1,1 million de dollars.

Les attaques visant les entreprises de logistique sont également en hausse. Six incidents notables de type ransomware ont été examinées depuis juillet dernier. Or, ces assauts peuvent sérieusement perturber le transport des marchandises, notamment du matériel médical, des équipements de protection individuelle ou encore des biens de consommation courante. Toll a été touché deux fois en trois mois, signe possible que les pirates informatiques adaptent leurs stratégies et se concentrent davantage sur des cibles qu'ils savent déjà vulnérables pour lancer des séries d'attaques.

Hausse des rançons

Alors que les attaques se multiplient, les rançons et les paiements suivent une tendance similaire. Dans une grande partie des cas en effet, les rançons, qui dépassent souvent la barre du million de dollars, ont désormais de plus grandes chances d'être payées. Parmi les affaires étudiées, 14 % des victimes avaient effectivement payé la rançon, pour un montant moyen s'élevant à 1 652 666 dollars. La palme revient à Garmin, qui aurait payé la somme astronomique de 10 millions de dollars.

Certaines municipalités se plient également au jeu des rançons. Pas moins de 15 % de celles étudiées par Barracuda ont versé une somme comprise entre 45 000 et 250 000 dollars, à noter que toutes comptaient moins de 50 000 habitants. Elles ont en effet jugé trop élevés le coût et les efforts nécessaires à la récupération manuelle des données. Cela constitue un tournant important par rapport à l'an dernier, où pratiquement aucune des municipalités touchées n'avaient payé de rançon.

La commune de Lafayette (Colorado) figure parmi les victimes de ce racket numérique. « Après avoir examiné de manière approfondie la situation et les coûts éventuels, ajouté au risque de longues et pénibles interruptions de service pour les habitants, nous avons conclu qu'obtenir l'outil de déchiffrement reviendrait bien moins cher et serait bien plus rapide que de restaurer l'ensemble des données et des systèmes », a déclaré le maire de Lafayette, Jamie Harkins, dans une déclaration vidéo.

Pour inciter les victimes à payer la rançon, outre le chiffrement des données, les cybercriminels les menacent de divulguer publiquement certaines informations susceptibles de les discréditer publiquement, de les exposer à des poursuites judiciaires ou de les condamner à de lourdes amendes. De nombreux pirates combinent aujourd'hui ransomwares et violations de données pour accentuer la pression sur leurs victimes, un scénario que l'on retrouve dans 41 % des cas étudiés. En cas de non-paiement de la rançon, les données des victimes sont balancées sur les serveurs des responsables ou mises aux enchères sur le dark Web.

Les cybercriminels augmentent également leur force de frappe pour élargir leurs filets et piéger davantage de victimes. En juin dernier, les systèmes de Barracuda ont détecté quelque 80 000 attaques perpétrées par un botnet connu à l'aide du ransomware Avaddon.

Les cybercriminels menacent les victimes de divulguer publiquement certaines informations susceptibles de les discréditer publiquement, de les exposer à des poursuites judiciaires ou de les condamner à de lourdes amendes #ransomwareCliquez pour tweeter

Se défendre contre les attaques par ransomware

L'évolution rapide de l'ensemble des menaces exige des techniques de sécurité avancées en entrée comme en sortie, bien au-delà des passerelles classiques. Il est notamment nécessaire de se protéger des erreurs humaines et techniques, afin de maximiser la sécurité et de réduire autant que possible les risques d'être victime d'attaques par ransomware particulièrement poussées.

Filtres anti-spam / Systèmes de détection de phishing

Bien que de nombreux messages malveillants soient convaincants, les filtres antispam, systèmes de détection du phishing et autres logiciels de sécurité de ce type peuvent les repérer en détectant des indices subtils. Ils bloquent alors l'accès aux messages et pièces jointes potentiellement malveillants avant qu'ils n'atteignent les boîtes de réception.

Firewalls avancés

Dans le cas où un utilisateur ouvre une pièce jointe malveillante ou clique sur un lien déclenchant un téléchargement furtif, la présence d'un pare-feu réseau avancé capable d'analyser et de détecter les malwares offre une bonne chance de bloquer l'attaque, en signalant l'exécutable au moment où il essaie de franchir la passerelle.

Détection de programmes malveillants

Lorsque des e-mails contiennent des pièces jointes malveillantes, l'analyse statique et dynamique peut détecter des éléments indiquant que le document cherche à télécharger et à lancer un exécutable, ce qu'aucun document n'est censé faire. Dans de nombreux cas, les systèmes heuristiques ou de renseignements sur les menaces permettent de mettre en évidence la nature douteuse des URL des exécutables. Lors de l'analyse statique, l'offuscation peut également indiquer la présence d'un document suspect.

Listes de blocage

Face à la pénurie croissante d'adresses IP, les spammeurs se servent de plus en plus de leur propre infrastructure. Bien souvent, les mêmes IP sont utilisées assez longtemps pour que les logiciels les détectent et les placent sur liste de blocage. Même lorsque la menace provient de sites piratés ou de botnets, une fois qu'un volume suffisant de spam a été détecté, il devient possible de bloquer temporairement les attaques par IP.

Formation des utilisateurs

Il est conseillé d'intégrer les simulations de phishing aux formations de sensibilisation à la sécurité pour vous assurer que les utilisateurs finaux seront capables d'identifier et de résister aux attaques. Souvent considérés comme un risque pour la sécurité, faites au contraire des utilisateurs une véritable ligne de défense en testant l'efficacité des formations « en conditions réelles » et en repérant les utilisateurs les plus vulnérables face aux attaques.

Backup

En cas d'attaque par ransomware, une solution de sauvegarde dans le cloud peut réduire la durée de l'interruption, éviter les pertes de données et permettre une récupération rapide de vos systèmes, que vos fichiers se situent sur des appareils physiques, des environnements virtuels ou dans le cloud public. Dans l'idéal, il est conseillé de suivre la règle de sauvegarde dite du « 3-2-1 », selon laquelle on possède trois copies des fichiers, sur deux types de supports différents dont au moins un est stocké physiquement ailleurs. Cela évite que les sauvegardes ne soient elles-mêmes touchées par une attaque par ransomware.

Protégez votre entreprise des attaques par ransomware

Remonter en haut de page
Tweeter
Partager
Partager