Les attaques de ransomware se multiplient – 8 mesures pour se protéger

Les attaques de ransomware peuvent vous empêcher d’accéder à votre ordinateur en quelques secondes. Pire encore, même si vous payez la rançon, vous n’avez aucune garantie de récupérer votre argent.

Grâce à l’IA, les cybercriminels affinent leurs attaques et personne n’est à l’abri.

Que vous soyez un particulier ou une entreprise, nous vous guiderons à travers tout ce que vous devez savoir sur les attaques de ransomware, y compris :

• à quoi ressemblent les attaques de ransomware ;
• comment repérer une attaque de ransomware
• 8 mesures à prendre dès aujourd’hui pour protéger vos fichiers des pirates informatiques.

Entrons dans le vif du sujet.

Mailfence - Obtenez votre email gratuit et sécurisé.

4.1 sur base de 177 avis utilisateurs

Créer un compte

Mailfence - Obtenez votre email gratuit et sécurisé.

Créer un compte

4.1 sur base de 177 avis utilisateurs

Qu’est-ce qu’une attaque par ransomware ?

Ransomware est la contraction des mots « ransom » et « software ». Il s’agit en fait d’un logiciel qui « verrouille votre ordinateur » jusqu’à ce que vous payiez une rançon.

Plus précisément, une attaque par ransomware « brouille » ou crypte votre contenu (documents, vidéos, photos, données stockées dans les applications, etc.) Vous avez un document financier à modifier ? Impossible d’y accéder. Vous avez une vidéo de vos enfants en vacances ? Impossible de la regarder.

Les pirates vous contacteront alors et vous demanderont une rançon. En échange, ils vous promettent de vous donner la clé qui vous permettra de décrypter vos données et de retrouver l’accès à tous vos fichiers. Mais il y a plusieurs problèmes :

• Premièrement, la rançon n’est pas bon marché. Selon le rapport State of Ransomware 2024 de Sophos, le paiement moyen d’un ransomware était estimé à 2 millions de dollars américains en 2024 ;
  
• Cependant, ces dernières années, les attaquants ont commencé à adapter leurs demandes de rançon à leurs victimes. Par exemple, ils peuvent vous demander « seulement » une rançon de quelques milliers de dollars pour augmenter les chances que vous payiez ;
  
• enfin, qu’est-ce qui dit que les pirates vous donneront effectivement accès à vos données ? Pourquoi ne pas exiger encore plus d’argent ?

Les attaques de ransomware sont donc extrêmement stressantes. Si vous en êtes victime, il n’y a pas toujours de moyen de récupérer vos données (mais nous y reviendrons plus tard).

Les rançongiciels, tout comme les autres types de virus, s’introduisent souvent dans votre ordinateur par le biais de courriels d’hameçonnage. Ils peuvent également utiliser diverses techniques d’ingénierie sociale pour inciter leur victime à installer le logiciel malveillant.

Les attaques par ransomware peuvent être de deux natures :

• Encrypting ransomware : incorpore des algorithmes de chiffrement avancés conçus pour rendre les fichiers illisibles. Les victimes sont invitées à payer pour obtenir la clé permettant de décrypter le contenu bloqué.
  
• Locker ransomware : le Locker ransomware bloque la victime hors du système d’exploitation, rendant impossible l’accès au bureau et à toute application ou fichier. Les victimes doivent payer pour débloquer leurs données.

3 exemples concrets d’attaques de ransomware

Il est important de comprendre que les attaques par ransomware peuvent viser aussi bien les entreprises que les particuliers. Dans les prochains exemples, nous examinerons plusieurs cas très médiatisés d’attaques de ce type, leur déroulement et les vulnérabilités qu’elles ont exploitées.

L’attaque du gazoduc colonial

En mai 2021, l’attaque du ransomware de Colonial Pipeline a fait la une des journaux dans tous les États-Unis.

Colonial Pipeline, l’un des plus grands fournisseurs de carburant aux États-Unis, a été victime du ransomware DarkSide, un logiciel malveillant sophistiqué développé par un groupe cybercriminel russe présumé.

Grâce à un seul mot de passe compromis divulgué sur le dark web, les attaquants ont pu accéder au réseau informatique de Colonial Pipeline. En outre, certaines des vulnérabilités qui ont permis l’attaque sont les suivantes :

• l’absence d’authentification multifactorielle (MFA ou 2FA) : le compte violé n’était protégé que par un mot de passe, ce qui permettait aux pirates d’y accéder facilement.
  
• une architecture de réseau plate : les systèmes informatiques étaient interconnectés, ce qui a permis à l’attaque par ransomware de se propager plus profondément dans l’infrastructure critique.
  
• retard dans la réponse à l’incident : l’entreprise a découvert la faille le 7 mai 2021 mais a mis du temps à réagir, ce qui a permis aux logiciels malveillants de se propager et de crypter des données essentielles.

Cette attaque par ransomware a eu des conséquences majeures pour le public américain, en forçant l’arrêt de l’ensemble du réseau de distribution de carburant, ce qui a provoqué des pénuries de gaz sur la côte est des États-Unis.

En coordination avec le FBI, Colonial Pipeline a fini par payer 4,4 millions de dollars en bitcoins. Près de la moitié de la valeur des bitcoins a été récupérée par la suite.

Vous pouvez en savoir plus sur les détails de cette attaque de ransomware sur le site web du ministère américain de la justice.

L’épidémie de ransomware WannaCry

L’épidémie de ransomware WannaCry en mai 2017 (également connue sous le nom de WannaCrypt) a été l’une des cyberattaques les plus répandues de l’histoire, infectant plus de 300 000 ordinateurs dans plus de 150 pays en l’espace d’une seule journée.

L’attaque a été alimentée par une vulnérabilité de Windows appelée EternalBlue, qui a été volée à l’Agence nationale de sécurité des États-Unis (NSA) et divulguée par un groupe de pirates informatiques appelé The Shadow Brokers (les courtiers de l’ombre).

WannaCry est ce que l’on appelle un « cryptoworm ransomware » :

• après avoir infecté un ordinateur, il demanderait une rançon à payer en bitcoins (« crypto- » ;
• il était également capable de se propager de manière autonome (« ver »).

Parmi les vulnérabilités exploitées au cours de cette attaque, on peut citer

• des systèmes Windows non corrigés : WannaCry a ciblé des ordinateurs utilisant des versions obsolètes de Windows (Windows 7, XP, Server 2003) qui ne disposaient pas de mises à jour de sécurité essentielles.
  
• un logiciel malveillant qui se reproduit de lui-même : contrairement aux attaques de ransomware habituelles, WannaCry s’est propagé de manière autonome, ce qui lui a permis d’infecter des réseaux entiers sans interaction de la part des utilisateurs.
  
• la lenteur de la réaction des organisations : Microsoft avait publié un correctif de sécurité (MS17-010) deux mois avant l’attaque, mais de nombreuses organisations n’ont pas mis à jour leurs systèmes à temps.

Au Royaume-Uni, l’attaque du ransomware WannaCry a paralysé le service national de santé (NHS), avec des dizaines de fermetures d’hôpitaux.

De nombreuses multinationales, telles que FedEx et Nissan, ont également été contraintes d’interrompre leurs activités. L’attaque a ensuite été attribuée au Lazarus Group de Corée du Nord, qui a utilisé les paiements de rançon pour financer d’autres opérations de cyberguerre.

Pour en savoir plus sur cette attaque , consultez le billet de blog dédié de Microsoft.

L’attaque de Kaseya VSA

En juillet 2021, un ransomware développé par le groupe REvil a été utilisé pour exploiter une vulnérabilité de type « zero-day » dans Kaseya VSA, un logiciel de gestion informatique à distance utilisé par des milliers d’entreprises dans le monde.

En piratant le système centralisé de distribution de logiciels de Kaseya, REvil a pu envoyer des mises à jour de ransomware aux clients de Kaseya, infectant ainsi plus de 1 500 entreprises d’un seul coup.

L’attaque du ransomware s’est appuyée sur plusieurs vulnérabilités clés :

• les attaquants ont découvert et exploité une faille non corrigée dans le logiciel de Kaseya avant que l’entreprise ne puisse y remédier ;
  
• attaque de la chaîne d’approvisionnement : Kaseya VSA était un outil de gestion à distance de confiance, il avait donc un accès direct aux systèmes des clients, ce qui facilitait la distribution de logiciels malveillants sans déclencher d’alertes de sécurité.
  
• absence de segmentation des réseaux informatiques : de nombreuses entreprises touchées n’avaient pas de séparation entre les outils de gestion informatique et les systèmes critiques, ce qui a permis à l’attaque de se propager rapidement sur les réseaux.

Ce qui différencie cette attaque des autres que nous avons couvertes, c’est la façon dont le ransomware-as-a-service (RaaS) est utilisé pour étendre la cybercriminalité.

Dans un modèle RaaS, les développeurs de ransomwares créent les logiciels malveillants mais s’appuient sur des affiliés pour les déployer. Dans ce cas, REvil opère essentiellement comme une société SaaS criminelle, vendant l’accès à ses outils de ransomware en échange d’un pourcentage sur les paiements de rançon. Les affiliés de REvil étaient chargés de cibler les systèmes de Kaseya et d’y pénétrer. En retour, les affiliés conservaient une part (souvent de 60 à 80 %) de toute rançon payée, tandis que REvil prenait le reste.

Au total, plus de 1 500 entreprises dans le monde ont été infectées, notamment des supermarchés, des entreprises informatiques et des institutions financières.

L’impact de l’IA sur les attaques de ransomware

L’avènement du ChatGPT et la popularisation massive de l’IA générative en 2022 ont révolutionné de nombreux secteurs d’activité. Les cybercriminels n’échappent pas à cette tendance et ont massivement adopté l’utilisation de l’IA pour affiner les attaques.

Voici 5 façons dont l’IA aide les attaquants à rendre leurs attaques de ransomware plus sophistiquées.

Courriels d’hameçonnage hautement personnalisés

Comme nous l’avons expliqué précédemment, les courriels de phishing restent l’un des principaux vecteurs d’attaque des ransomwares.

L’IA peut désormais explorer efficacement les médias sociaux, les courriels et les bases de données qui ont fait l’objet de fuites afin de créer des messages de phishing sur mesure qui semblent très convaincants. Au lieu de recevoir des spams génériques, les victimes reçoivent des courriels imitant de vraies conversations, des factures ou des alertes de sécurité urgentes.

Ransomware polymorphe

Les ransomwares traditionnels sont plus faciles à détecter car ils suivent des modèles connus. Les ransomwares polymorphes pilotés par l’IA modifient constamment leur code, ce qui les rend invisibles pour les programmes antivirus basés sur des signatures. Chaque infection est légèrement différente, ce qui rend presque impossible l’établissement d’une liste noire.

Sélection et déploiement automatisés des cibles

L’IA analyse en temps réel d’énormes ensembles de données, identifie les entreprises vulnérables dont la cybersécurité est faible et donne la priorité aux cibles de grande valeur. Les cybercriminels peuvent alors lancer des attaques contre plusieurs entreprises simultanément, maximisant ainsi leurs profits avec un minimum d’efforts.

En outre, les robots alimentés par l’IA peuvent s’infiltrer automatiquement dans les réseaux d’entreprise, rechercher des vulnérabilités et déployer des ransomwares sans intervention humaine.

L’utilisation d’outils de piratage alimentés par l’IA a entraîné une augmentation des attaques de ransomware entièrement automatisées, dont l’exécution nécessite moins d’expertise humaine.

L’évasion par l’IA

Les outils de cybersécurité modernes s’appuient sur l’apprentissage automatique pour détecter les schémas de ransomware, mais les attaquants utilisent l’IA contre l’IA pour échapper à la détection.

Par exemple, les cybercriminels peuvent entraîner leurs ransomwares contre les outils de sécurité alimentés par l’IA, en testant différentes méthodes d’attaque jusqu’à ce qu’ils contournent la détection.

Certains ransomwares pilotés par l’IA simulent le chiffrement dans un premier temps, faisant croire aux outils de sécurité que l’attaque s’est arrêtée, alors qu’ils continuent à chiffrer les fichiers en mode furtif.

Négociation de la rançon

L’IA modifie même la manière dont les cybercriminels négocient les rançons, en la rendant plus efficace et plus psychologiquement manipulable.

Au lieu de laisser des pirates humains s’occuper des négociations, des robots sont désormais utilisés pour communiquer avec les victimes.

Ces robots analysent les réactions des victimes, ajustent les demandes de rançon et font pression sur les entreprises pour qu’elles paient plus rapidement.

L’Ai est également utilisé pour analyser les documents financiers, les polices d’assurance et les rapports publics sur les bénéfices afin de calculer la rançon la plus élevée qu’une entreprise est susceptible de payer.

Victime d’une attaque de ransomware : Que pouvez-vous faire ?

Vous avez été victime d’une attaque de ransomware ? Dans ce cas, suivez immédiatement les trois étapes suivantes :

1. Arrêtez la propagation. La première chose à faire est d’interrompre l’attaque. Les rançongiciels peuvent rapidement infecter des réseaux entiers, chaque seconde compte. Déconnectez immédiatement votre appareil du Wi-Fi, de l’Ethernet et du stockage externe (USB, lecteurs de sauvegarde). Si vous vous trouvez sur un réseau d’entreprise, alertez immédiatement la sécurité informatique afin qu’elle puisse contenir la menace avant qu’elle ne paralyse l’ensemble du système.
   
2. Connaissez votre ennemi. Les attaques de ransomware ne sont pas toutes identiques. Certains disposent d’outils de décryptage connus, tandis que d’autres peuvent supprimer définitivement vos fichiers même si vous payez. Faites une capture d’écran de la demande de rançon : elle contient souvent des indices sur l’attaque. Utilisez ensuite des outils en ligne tels que ID Ransomware(https://id-ransomware.malwarehunterteam.com/) pour identifier la variante du ransomware. Vous pouvez également consulter le projet No More Ransom(https://www.nomoreransom.org/) pour vérifier s’il existe un outil de décryptage gratuit.
   
3. Signalez l’attaque. Avant de payer une rançon, faites appel à des professionnels de la cybersécurité et aux forces de l’ordre. Le paiement ne garantit pas la récupération des fichiers. Signalez l’attaque à l’Internet Crime Complaint Center(IC3) du FBI(https://www.ic3.gov/), ainsi qu’à l’agence de cybersécurité de votre pays (CISA aux États-Unis, Europol, etc.). Enfin, faites appel à votre équipe informatique ou à votre fournisseur de services de cybersécurité.

Cependant, sachez que tous les ransomwares ne peuvent pas être décryptés à nouveau. Dans de nombreuses attaques de ransomware, les données sont malheureusement perdues. C’est pourquoi la prévention reste votre meilleure ligne de protection contre les attaques futures.

8 conseils pour prévenir les attaques de ransomware

Vous avez désormais compris la menace réelle que représentent les attaques de ransomware. Nous allons donc passer en revue 8 conseils faciles à suivre que vous pouvez mettre en place pour prévenir de telles attaques.

#1 : Sauvegardes régulières

Les sauvegardes sont de loin le meilleur moyen de se protéger contre les attaques de ransomware… à condition de les effectuer efficacement.

Pour chaque sauvegarde, il est essentiel de faire plusieurs copies de vos fichiers et de les conserver sur des supports différents. Dans l’idéal, vous devriez stocker chaque copie séparément et à des endroits différents. Idéalement, l’une d’entre elles devrait être conservée hors ligne (sur un disque externe sécurisé), et l’autre pourrait être laissée sur un service en nuage sécurisé et privé.

Évitez également de laisser le support de sauvegarde (par exemple, un disque dur externe) connecté au système informatique après une sauvegarde. En cas d’infection de votre système, le disque dur externe risquerait lui aussi d’être infecté, ce qui rendrait votre sauvegarde inutile.

Lisez nos conseils pour sauvegarder vos données en toute sécurité afin d’effectuer des sauvegardes efficaces !

#2 : Utilisez des logiciels à jour

Les mises à jour de logiciels contiennent souvent des « correctifs de sécurité » destinés à remédier aux vulnérabilités que les pirates informatiques pourraient exploiter pour lancer des cyberattaques (y compris des attaques par ransomware).

C’est pourquoi il est essentiel de télécharger les mises à jour de ces logiciels, appareils et périphériques dès que vous recevez une notification de leur existence. Car si vous avez reçu cette notification, vous n’êtes pas le seul… Désormais, les pirates savent qu’il y a une faille dans l’appareil ou le logiciel en question.

Une autre bonne idée consiste à limiter au strict minimum les programmes installés sur votre ordinateur ou votre système. Désinstallez tous les logiciels inutilisés. N’oubliez pas de supprimer également les plugins obsolètes de votre navigateur. Il en va de même pour votre smartphone : désinstallez toutes les applications que vous n’utilisez plus.

#3 : Utiliser le principe du moindre privilège (PoLP)

Pour prévenir les attaques de ransomware, vous pouvez également suivre le PoLP. Cela signifie que vous devez diviser l’utilisation de votre appareil/système informatique en deux comptes distincts :

• un compte standard que vous utiliserez quotidiennement, comprenant les fonctionnalités minimales ;
  
• un compte d’administrateur vous permettant d’accéder au cœur de votre appareil/système informatique (pour modifier les paramètres, installer ou supprimer des logiciels, par exemple). Il vous donnera tous les privilèges d’exploitation sur le système, et vous ne vous connecterez à ce compte que lorsque vous aurez besoin d’effectuer ces tâches.

En cas d’attaque par un ransomware, les dommages seront limités à votre compte standard. Le ransomware ne pourra pas accéder aux composants essentiels de votre ordinateur, car ces accès sont contrôlés par le compte admin.

#4 : Détecter et éviter les tentatives d’hameçonnage

De nombreuses attaques de ransomware sont lancées par des courriels de phishing, de spear-phishing ou de whaling , ou encore de smishing. C’est souvent en téléchargeant une pièce jointe contenue dans ces messages que les victimes permettent au ransomware de s’introduire dans leur ordinateur, leur téléphone ou leur système informatique.

C’est pourquoi vous ne devez ouvrir que les pièces jointes et les liens provenant de sources réellement fiables. Pour être sûr de suivre ce conseil, évitez de cliquer sur un lien dans un courriel. Même une mention apparemment innocente telle que « cliquez ici pour vous désabonner » peut cacher un redoutable ransomware. Au lieu de cela, connectez-vous au site web concerné en utilisant l’URL que vous utilisez habituellement.

#5 : Dites non aux macros

N’ouvrez jamais un fichier Microsoft Office contenant des macros sans avoir obtenu au préalable la confirmation de l’expéditeur du message que le fichier provient bien de lui et que ces macros ne sont pas nuisibles.

#6 : Installez un antivirus fiable pour détecter les attaques de ransomware

Il va de soi que vous devez protéger votre appareil contre les logiciels malveillants à l’aide d’un antivirus. Malheureusement, la protection offerte sera limitée, car un antivirus ne peut reconnaître que les logiciels malveillants déjà détectés ailleurs. Mais au moins, vous pouvez éviter les attaques de ransomware déjà connues, ce qui est déjà une bonne chose.

#7 : Utilisez un VPN

Il est utile d’utiliser un VPN lorsque vous surfez sur des réseaux Wi-Fi publics. En effet, ces réseaux n’offrent aucune protection contre le piratage et sont très populaires auprès des pirates pour cette raison. L’utilisation d’un VPN empêchera l’interception potentielle de données qui pourraient être utilisées pour infiltrer vos appareils ou votre système informatique.

#8 : Utiliser une machine virtuelle

Les machines virtuelles sont principalement utilisées pour dupliquer un système informatique afin de tester un nouveau logiciel, ou pour faire fonctionner deux systèmes d’exploitation distincts sur le même ordinateur.

Mais ils peuvent également être utilisés pour prévenir toute attaque de logiciels malveillants. À cet égard, ils peuvent donc vous aider à éviter les attaques de ransomware. Sachez toutefois qu’ils ne sont pas toujours efficaces. Les ransomwares puissants peuvent être particulièrement dangereux.

Prévenir les attaques de ransomware : Comment Mailfence peut vous aider

C’est tout pour ce guide sur les attaques de ransomware ! Nous espérons que vous avez maintenant une meilleure compréhension du fonctionnement de ces attaques et de ce que vous pouvez faire pour vous protéger.

Êtes-vous prêt à faire passer votre cybersécurité personnelle au niveau supérieur ?

Dans ce cas, la première chose à faire est d’opter pour un fournisseur d’accès à la messagerie privée et sécurisée. Contrairement à Gmail ou Yahoo, Mailfence place votre vie privée et votre sécurité au-dessus des profits. En particulier, nous sommes fiers de vous offrir :

• Outils de sécurité avancés: cryptage de bout en bout, cryptage symétrique, signatures numériques, et bien plus encore.
  
• Pas de suivi ni de publicité. Nous n’utilisons pas de traceurs publicitaires ou marketing de tiers. Nous ne suivons pas votre activité dans l’application. Mailfence ne contient aucune publicité.
  
• Des lois strictes en matière de protection de la vie privée. Les serveurs de Mailfence sont basés en Belgique, où des lois strictes protègent la vie privée. Seule une décision de justice belge valide peut nous obliger à divulguer des données.

Vous souhaitez passer à la vitesse supérieure en matière de protection de la vie privée et de cybersécurité ? Créez votre compte gratuit dès aujourd’hui !

Mailfence - Obtenez votre email gratuit et sécurisé.

4.1 sur base de 177 avis utilisateurs

Créer un compte

Mailfence - Obtenez votre email gratuit et sécurisé.

Créer un compte

4.1 sur base de 177 avis utilisateurs