QU’EST-CE QU’UN RANSOMWARE ?

Un ransomware ou rançongiciel est un type de logiciel malveillant utilisé par les cybercriminels pour empêcher l’accès à des données en échange d’une rançon. L’accès aux données contenues sur des réseaux informatiques, des appareils mobiles et des serveurs est verrouillé jusqu’à ce que la victime paie la rançon.

Les ransomwares ciblent principalement les entreprises, les particuliers ou les organisations comme les établissements d’enseignement, les administrations ou les hôpitaux. Les ransomwares peuvent être de type chiffreur ou bloqueur.

Un ransomware peut prendre plusieurs formes. L’une des méthodes d’attaque de ce type les plus courantes consiste à utiliser le phishing (hameçonnage). Le destinataire reçoit un e-mail rédigé avec soin qui l’incite à ouvrir une pièce jointe ou à télécharger un fichier. Cette action entraîne l’installation d’un ransomware vecteur qui prend le contrôle de l’ordinateur et peut infiltrer le réseau informatique pour bloquer son accès à l’ensemble des utilisateurs.

L’objectif d’un ransomware est de convaincre la victime de payer une rançon pour déverrouiller l’accès à ses données. En général, les cybercriminels exigent que le paiement se fasse sous forme de bitcoins, une cryptomonnaie impossible à tracer. Une fois le paiement obtenu, la victime reçoit un code de déverrouillage ou un fichier de déchiffrement qui libère les données sur le réseau informatique, l’appareil mobile ou les serveurs visés.

L’utilisation de ransomwares est une forme de social engineering (ingénierie sociale) utilisée par les cybercriminels pour infecter les ordinateurs, infiltrer les réseaux des entreprises et voler des données.

Quels sont les principaux types de ransomwares ?

Ransomware chiffreur

Les ransomwares de type chiffreur bloquent l’accès aux fichiers et aux données personnelles. Ils sont suffisamment intelligents pour trouver les données importantes sur les ordinateurs ou les appareils mobiles, les chiffrer et en bloquer l’accès aux victimes.

Les ransomwares chiffreurs recherchent les failles et les faiblesses sur les ordinateurs et les appareils mobiles, en visant les données qui n’ont pas été sauvegardées. Informations financières, projets de travail importants, numéros de téléphone, photos, documents fiscaux ou vidéos : tous les types de données d’importance sont ciblés.

Très ingénieux, ce type de logiciel malveillant permet de chiffrer toutes les données de valeur avant de se dévoiler à la victime. Les données sont prises en otage jusqu’à ce que la victime accepte de payer la rançon.

En général, les ransomwares chiffreurs ne bloquent pas entièrement l’accès à l’ordinateur ou à l’appareil mobile visé. Les victimes peuvent toujours accéder aux zones non chiffrées et retenues par le ransomware.

L’e-mail est composé de façon à susciter un sentiment d’urgence chez son destinataire et la nécessité de se protéger contre un acte malveillant. Le message semble provenir d’une source légitime comme le service à la clientèle d’Apple, d’une banque, de Microsoft, de PayPal ou de toute autre entreprise connue.

Les ransomwares chiffreurs sont également appelés bloqueurs de données.

Ransomware bloqueur

Les ransomwares de type bloqueur verrouillent et bloquent entièrement l’accès à l’ordinateur ou à l’appareil mobile visé. Pour en recouvrer l’accès, il est demandé aux victimes de payer une rançon.

En général, le système verrouillé donne un accès limité aux victimes, ce qui les oblige à interagir exclusivement avec le cybercriminel. Certaines sections du clavier peuvent être verrouillées ou la souris gelée de façon à ce que la victime puisse répondre uniquement aux demandes du ransomware.

La plupart des ransomwares bloqueurs n’infiltrent pas le réseau informatique dans son ensemble ou n’attaquent pas les fichiers stockés sur l’ordinateur. Il est donc plus facile de trouver le logiciel malveillant et de l’éliminer sans payer la rançon.

Comme les ransomwares bloqueurs peuvent être supprimés de l’ordinateur, les cybercriminels ont souvent recours à des tactiques de social engineering pour convaincre les victimes de payer. Par exemple, ils se font passer pour un organisme de l’administration fiscale ou un service de répression qui menace d’imposer des amendes ou d’autres pénalités suite à de supposées activités illégales en ligne. La victime panique et n’hésite pas à payer, quel que soit le prix.

Le terme « bloqueur d’ordinateur » est aussi utilisé pour désigner un ransomware chiffreur.

Quelles sont les techniques communément utilisées par les ransomwares ?

Chiffrement de fichiers

Les ransomwares chiffreurs utilisent le chiffrement de fichiers symétrique ou asymétrique. Le chiffrement symétrique permet de chiffrer et de déchiffrer les données avec la même clé. Le chiffrement asymétrique utilise une clé publique pour chiffrer les données et une clé privée pour les déchiffrer.

Le chiffrement symétrique des données est une méthode beaucoup plus rapide. Toutefois, si la victime découvre la clé, le déchiffrement des données est également plus facile. En utilisant le chiffrement asymétrique, le cybercriminel n’a pas à se soucier de protéger la clé publique puisqu’elle ne peut pas être utilisée pour le déchiffrement des données.

Les ransomwares chiffreurs les plus sophistiqués utilisent une combinaison de chiffrement symétrique et asymétrique. Les types de déchiffrement de fichiers les plus courants font appel à une clé publique téléchargée, à une clé publique intégrée et à une clé symétrique intégrée.

Verrouillage d’écran

Les ransomwares bloqueurs utilisent le verrouillage d’écran pour empêcher les victimes d’accéder à leur ordinateur ou appareil mobile. Elles n’ont plus aucun accès à leur ordinateur ou appareil mobile, y compris au système d’exploitation ou à d’autres services réseau.

Souvent, un message de demande de rançon est diffusé en continu sur l’écran. Un compte à rebours peut aussi être affiché ou le montant de la rançon augmente graduellement.

Les ransomwares bloqueurs Android, les verrouilleurs de navigateur et les ransomwares bloqueurs Windows sont les techniques de verrouillage d’écran les plus courantes.

Comment fonctionne un ransomware ?

Téléchargeurs

Lorsqu’un téléchargeur infiltre un ordinateur, il procède au téléchargement d’autres ransomwares qui viennent répandre l’infection de l’ordinateur ou de l’appareil mobile. Ce type de ransomware permet généralement aux cybercriminels de prendre le contrôle de l’ordinateur ou de l’appareil.

Publicité malveillante

De fausses publicités criminelles sont diffusées sur des sites Web légitimes et redirigent les victimes vers un site hébergeant un kit d’exploitation.

Phishing

Les e-mails de phishing ou pourriels utilisent des techniques de social engineering pour convaincre les victimes de télécharger ou d’ouvrir des pièces jointes.

Auto-propagation

Le ransomware se propage à travers le système compromis et attaque tout ordinateur ou appareil situé sur un réseau partagé.

Système de distribution du trafic

Un système de distribution du trafic est utilisé pour rediriger le trafic vers un site Web qui héberge un kit d’exploitation. Ce kit permet d’exposer les points faibles sur l’ordinateur et le ransomware est installé à l’aide d’un logiciel malveillant de téléchargement furtif.

Qui peut être la cible d’un ransomware ?

N’importe quelle administration, entreprise, organisation ou personne peut être la cible d’un ransomware (rançongiciel). Les cybercriminels ciblent quiconque est prêt à payer une rançon pour récupérer l’accès à ses réseaux informatiques, données, appareils mobiles ou serveurs.

Les cybercriminels attaquent sans distinction avec leurs ransomwares. C’est pourquoi la cybersécurité de vos employés et de votre organisation est particulièrement importante.

Les ransomwares sont très faciles à utiliser par les cybercriminels. Il est donc très important que l’ensemble des membres de votre organisation soient conscients des menaces et des risques posés par les ransomwares.

Les simulations de ransomware vous permettent d’identifier les employés les plus vulnérables et de sensibiliser votre équipe sur la facilité avec laquelle les attaques de social engineering se produisent.

Comment prévenir les ransomwares

1. Investissez dans la formation de vos collaborateurs. Mettez l’accent sur la sensibilisation à le phishing et à la sécurité afin de réduire le risque lié au facteur humain. Tirez parti des outils gratuits de simulation de phishing pour former et informer et pour identifier les risques d’attaque par ransomware.

2. Donnez à vos employés les outils et connaissances nécessaires pour reconnaître les risques d’attaque par ransomware. Informez votre équipe sur la façon et la raison d’ouvrir des pièces jointes de source inconnue.

3. En interne, formez des champions de la cybersécurité dédiés à la protection de votre organisation. Cela incitera vos employés à changer leurs comportements.

4. Utilisez des plateformes éprouvées de formation de sensibilisation à la sécurité et de simulation de ransomwares pour proposer des formations stimulantes et efficaces.

5. Favorisez la création d’un environnement de soutien propice au changement de comportement. Mettez en place des conditions de travail qui favorisent l’apprentissage et le développement d’une culture consciente de la sécurité.

6. Tirez parti des outils de formation automatisés et simples à utiliser pour maintenir un environnement d’apprentissage stimulant, instructif et facile à gérer. Lisez le guide The Human Fix to Human Risk pour vous aider à élaborer, étape par étape, un programme de sensibilisation à la sécurité efficace qui contribue à renforcer les comportements en sécurité.

7. Assurez une communication et une sensibilisation continues concernant la cybersécurité, les ransomwares et les risques pouvant prendre la forme d’adresses URL, d’e-mails ou de pièces jointes.

8. Utilisez un modèle de prestation flexible conjuguant des vidéos animées, des formations interactives en ligne, des services de sécurité gérés, des modules de microapprentissage et des simulations de phishing afin d’offrir un soutien continu.

9. Profitez d’une session de coaching de RSSI gratuite pour apprendre comment améliorer le niveau de sensibilisation actuel aux ransomwares ou comment créer un nouveau programme de sensibilisation à la sécurité.

Qu’est-ce qu’une simulation de ransomware ?

La simulation de ransomware est le meilleur outil qui soit pour sensibiliser sur les risques posés par ce type de logiciel et pour identifier les employés les plus vulnérables à ce type d’attaque.

C’est un moyen d’intégrer facilement la sensibilisation à la cybersécurité au sein de votre organisation de manière stimulante et instructive.

Les simulations de ransomware en temps réel sont un moyen rapide et pratique d’informer et former vos collaborateurs et de mieux comprendre ce type d’attaque. Ils constatent ainsi par eux-mêmes combien il est facile de se faire piéger et d’être amenés à installer un ransomware sur leur ordinateur ou appareil mobile.

Quels sont les 10 principaux avantages des simulations de ransomware ?

1. Agir en prévention plutôt qu’en réaction aux risques de cybersécurité

2. Mesurer le degré de vulnérabilité de l’entreprise et des employés

3. Éliminer le niveau de risque de cybermenace

4. Renforcer la vigilance des utilisateurs face aux risques de ransomwares et de social engineering

5. Former des champions de la cybersécurité et instaurer une culture de cybersécurité

6. Changer les comportements afin d’éliminer les réflexes de confiance automatique exploités par les cybercriminels

7. Déployer des solutions ciblées contre les ransomwares et le phishing

8. Protéger vos précieuses données d’entreprise et personnelles

9. Évaluer les impacts des formations de sensibilisation à la cybersécurité

10. Répondre aux obligations de conformité du secteur

Pour en savoir plus sur les ransomwares (rançongiciel) et apprendre comment assurer la cybersécurité de votre entreprise, consultez nos ressources de formation sur la sensibilisation à la sécurité, accessibles gratuitement :

Contactez nous au 1-866-889-5806 ou à [email protected] pour en savoir plus sur les moyens de protéger votre organisation contre les ransomwares.

Terranova Security s’engage à fournir des formations centrées sur la personne pour vous aider à améliorer la sensibilisation à la cybersécurité dans votre entreprise.