QU’EST-CE QU’UN RANSOMWARE ?

Un ransomware ou rançongiciel est un type de logiciel malveillant dont l’objectif est la rétention par des cybercriminels des données d’une organisation. L’accès aux données contenues sur des réseaux informatiques, des appareils mobiles et des serveurs est verrouillé jusqu’à ce que la victime paie une rançon.

Les ransomwares qui ciblent principalement des entreprises, des individus ou des organisations comme des institutions scolaires, des gouvernements ou encore des hôpitaux peuvent être de type chiffreur ou bloqueur et prendre plusieurs formes.

Le plus souvent, les attaques par ransomware consistent à utiliser des techniques d’hameçonnage (phishing). Le destinataire reçoit alors un mail rédigé avec soin qui l’incite à ouvrir une pièce jointe ou à télécharger un fichier. En cas d’ouverture du fichier malveillant, un ransomware vectoriel s’installe prenant le contrôle de l’ordinateur et cherche à s’infiltrer dans l’ensemble du réseau informatique, verrouillant l’accès de chacun à son ordinateur, au réseau et aux autres systèmes connectés.

L’objectif d’un ransomware est alors de convaincre la victime de payer une rançon pour déverrouiller l’accès à ses données. En général, les criminels exigent que le paiement se fasse sous forme de cryptomonnaie plus difficilement traçable. Une fois le paiement sécurisé, la victime reçoit un code de déverrouillage ou un fichier de décryptage qui libère les données sur le réseau informatique, l’appareil mobile ou les serveurs.

Selon le Réseau de lutte contre la criminalité financière du Trésor américain, le montant mensuel moyen des transactions liées aux ransomwares a totalisé plus de 66 millions de dollars en 2021, soit 2,2 millions de dollars par jour. La prévision selon laquelle les coûts des dommages liés aux ransomwares devraient à eux seuls dépasser 265 milliards de dollars d’ici 2031 est encore plus surprenante. Ces faits montrent bien que les mesures de protection technologiques ne peuvent à elles seules empêcher les attaques par ransomwares et autres cyberattaques.

Le ransomware est une forme d’ingénierie sociale utilisée par les criminels pour infecter les ordinateurs, infiltrer les réseaux des entreprises et voler des données.

Quels sont les principaux types de ransomwares ?

Ransomware chiffreur

Les ransomwares de type chiffreur bloquent l’accès aux fichiers et aux données personnelles. Ils sont suffisamment intelligents pour trouver les données importantes sur les ordinateurs ou les appareils mobiles, les crypter et en verrouiller l’accès pour une période indéterminée.

Les ransomwares chiffreurs parcourent les ordinateurs et les appareils mobiles à la recherche de failles et de faiblesses permettant d’accéder à des données n’ayant pas été sauvegardées. Il peut s’agir de données fiscales et financières, de projets de travail d’envergure, de coordonnées de contacts, de photos et de vidéos.

Ce type de maliciels (malware) est très ingénieux. Il permet de crypter toutes les données ayant de la valeur avant de se dévoiler à la victime. Les données sont ensuite retenues jusqu’à ce que la victime accepte de payer la rançon.

En général, les ransomwares chiffreurs ne bloquent pas l’ordinateur ou l’appareil mobile complet. Les victimes conservent l’accès aux zones qui ne sont pas cryptées ou retenues par le ransomware. Les ransomwares chiffreurs sont également appelés bloqueurs de données.

Ransomware bloqueur

Les ransomwares de type bloqueur quant à eux verrouillent et ferment complètement l’ordinateur ou l’appareil mobile. Les victimes sont ensuite sommées de payer une rançon pour récupérer l’usage de leurs appareils.

En général, le système verrouillé n’autorise qu’un accès limité. Certaines parties du clavier peuvent être verrouillées ou la souris désactivée obligeant la victime à interagir exclusivement avec le cybercriminel.

Les ransomwares bloqueurs n’infiltrent normalement pas le réseau informatique au complet ou n’attaquent pas des fichiers qui se trouvent sur l’ordinateur. Il est donc plus facile d’identifier ce type de logiciel malveillant et de l’éliminer sans payer la rançon.

Puisque les ransomwares bloqueurs peuvent être supprimés de l’ordinateur, les criminels utilisent souvent des tactiques d’ingénierie sociale pour convaincre les victimes de payer. Par exemple, le ransomware se fait passer pour un organisme de l’administration fiscale ou d’application de la loi qui menace d’imposer des amendes ou d’autres pénalités suite à de supposées activités illégales en ligne. La victime panique et n’hésite pas à payer, quel que soit le prix.

Le ransomware bloqueur est également surnommé bloqueur d’ordinateur.

Quelles sont les techniques communément utilisées par les ransomwares ?

Chiffrement de fichiers

Les ransomwares chiffreurs utilisent soit le cryptage symétrique ou asymétrique des fichiers. Le cryptage symétrique permet le cryptage et le décryptage des données avec la même clé. Le cryptage asymétrique utilise une clé publique pour le cryptage des données et une clé privée pour le décryptage.

Le cryptage symétrique des données est une méthode beaucoup plus rapide. Toutefois, en cas de découverte de la clé, le décryptage des données est également plus facile. En utilisant le cryptage asymétrique, le criminel n’a pas à se soucier de protéger la clé publique puisqu’elle ne peut pas être utilisée pour le décryptage des données.

Les ransomwares chiffreurs les plus ingénieux utilisent une combinaison de cryptage symétrique et asymétrique. Les types communs de cryptage de fichiers comprennent une clé publique téléchargée, une clé publique intégrée et une clé symétrique intégrée.

Bloqueur d’écran

Les ransomwares bloqueurs utilisent le verrouillage d’écran pour bloquer l’accès des victimes à leur ordinateur ou appareil mobile. La victime n’a alors aucun accès à son ordinateur ou à son appareil mobile, y compris au système d’exploitation ou à d’autres services réseau.

Souvent, un message de demande de rançon est diffusé en continu sur l’écran. Parfois, un compte à rebours est affiché ou le montant de la rançon augmente avec le temps.

Les types communs de verrouillage d’écran comprennent les ransomwares Android, les verrouilleurs de navigateur et les ransomwares bloqueurs qui ciblent spécifiquement Windows.

Comment fonctionne un ransomware ?

Les ransomwares fonctionnent en utilisant diverses méthodes :

Téléchargeurs

Lorsqu’un téléchargeur infiltre un ordinateur, il télécharge d’autres ransomwares qui infectent l’ordinateur ou l’appareil mobile. De façon générale, ce type de ransomware permet aux cybercriminels de prendre le contrôle de l’ordinateur ou de l’appareil.

Publicité malveillante

De fausses publicités sont diffusées sur des sites Web légitimes et redirigent les victimes vers un site hébergeant une trousse d’exploitation.

Phishing

Les mails de phishing utilisent des techniques d’ingénierie sociale pour convaincre les victimes de télécharger ou d’ouvrir des pièces jointes.

Auto-propagation

Le ransomware se propage dans le système affecté et attaque tout ordinateur ou appareil lié au réseau partagé.

Système de distribution du trafic

Dans ce cas particulier, le trafic du site Web est redirigé vers un site Web hébergeant une trousse d’exploitation. La trousse d’exploitation expose les faiblesses de l’ordinateur et le ransomware est installé à l’aide d’un logiciel malveillant de téléchargement furtif.

Exemples de ransomwares

Le modèle de simulation utilisé lors du tournoi d’hameçonnage 2021 Gone Phishing Tournament illustre parfaitement la facilité avec laquelle les cybercriminels peuvent inciter des personnes peu méfiantes à télécharger et/ou installer un ransomware.

Mail de phishing

Comme c’est le cas de nombreuses cyberattaques, les ransomwares utilisent un message de phishing cherchant à persuader le destinataire de cliquer sur un lien ou de télécharger une pièce jointe malveillante. Dans le cas du modèle de simulation de l’événement, c’est la première tactique qui a été utilisée, dirigeant les participants vers une fausse page Web par laquelle le ransomware a été diffusé.

Landing Page

Le mail et la page Web imitaient l’interface de Microsoft SharePoint pour donner une impression d’authenticité. Le message électronique contenait même des instructions sur la façon de télécharger le fichier, incitant l’utilisateur à effectuer l’action après avoir accédé à la page Web.

Ces tactiques peuvent être utilisées avec un minimum d’effort par quiconque cherche à infecter un appareil via un ransomware et à verrouiller l’accès des victimes à leurs ordinateurs, réseau et systèmes connexes.

Pour plus d’informations sur le modèle de mail utilisé ou sur le taux de clic des participants lors de la simulation d’hameçonnage du Gone Phishing Tournament 2021, téléchargez le rapport complet dès maintenant !

Qui peut être la cible d’un ransomware ?

N’importe quels gouvernements, entreprises, organisations ou individus peuvent être la cible d’un ransomware. Les cybercriminels ciblent toute personne prête à payer une rançon pour récupérer l’accès à ses réseaux informatiques, données, appareils mobiles ou serveurs et ne se soucient pas de l’identité de leurs victimes.

Raison pour laquelle il est primordial de sensibiliser ses employés et l’ensemble des acteurs de son organisation à des pratiques de travail sécuritaire.

Les simulations de ransomware permettent d’ailleurs d’identifier les employés les plus vulnérables et de sensibiliser votre équipe à la facilité de tomber dans le piège de l’ingénierie sociale.

Comment prévenir les ransomwares

1. Investissez dans la formation de vos employés. Mettez l’emphase sur la sensibilisation au phishing et à la sécurité pour réduire le risque humain. Servez-vous des outils gratuits de simulation de phishing pour informer vos collègues et identifier les risques.

2. Donnez à vos employés les outils et connaissances nécessaires pour reconnaître les tentatives d’attaque par ransomware. Informez votre équipe de quand et comment ouvrir des pièces jointes provenant d’expéditeurs inconnus.

3. À l’interne, formez des héros de la cybersécurité dédiés à garder votre organisation en sécurité. Cela augmentera la motivation de vos employés à changer leurs comportements.

4. Utilisez des plateformes de formation en sensibilisation à la sécurité et de simulation de ransomwares qui permettent d’offrir un enseignement motivant et efficace.

5. Encouragez la création d’un environnement de soutien propice au changement de comportement. L’environnement de travail doit favoriser l’apprentissage et le développement d’une culture de sécurité.

6. Profitez de formations automatisées et simples à utiliser pour maintenir un milieu d’apprentissage motivant, éducatif et facilement administrable. Consultez The Human Fix to Human Risk pour connaître les étapes à suivre afin d’élaborer un programme de sensibilisation à la sécurité efficace qui favorise les comportements sécuritaires.

7. Effectuez des communications et des campagnes en continu sur la cybersécurité, les ransomwares et les risques que représentent les URL, les mails et les pièces jointes.

8. Tournez-vous vers des formations comprenant des vidéos animées, des formations interactives en ligne, des services de sécurités gérés, des modules de microapprentissage et des simulations de phishing afin d’offrir un soutien en continu.

9. Profitez d’une séance de coaching gratuite avec un CISO pour découvrir comment améliorer la sensibilisation aux cybermenaces dans votre organisation ou créer un nouveau programme de sensibilisation à la sécurité.

10. Visionnez la webdiffusion sur le ransomware pour en apprendre davantage sur la facilité avec laquelle n’importe qui peut être victime d’un ransomware et comment vous pouvez protéger votre organisation.

Qu’est-ce qu’une simulation de ransomware ?

Une simulation de ransomware est la meilleure façon de sensibiliser les utilisateurs sur les risques qu’ils engendrent. C’est aussi le meilleur moyen d’identifier les employés les plus susceptibles de se faire prendre au piège.

Une simulation de ransomware vous permet d’intégrer la sensibilisation à la cybersécurité dans votre organisation de façon motivante et informative. En démontrant avec quelle facilité il est possible de se faire piéger et d’installer un logiciel malveillant sur leurs ordinateurs et leurs appareils mobiles, les simulations améliorent la compréhension risques cyber de vos utilisateurs.

Quels sont les 10 principaux avantages des simulations de ransomware ?

1. Agissez en prévention plutôt qu’en réaction aux risques de cybersécurité

2. Mesurez le degré de vulnérabilité de l’entreprise et des employés

3. Éliminez les risques que représentent les cybermenaces

4. Augmentez la vigilance des utilisateurs face aux risques de ransomwares et d’ingénierie sociale

5. Formez des héros de la cybersécurité et instaurez une culture de cybersécurité

6. Changez les comportements pour éliminer les réflexes de confiance automatique

7. Déployez des solutions anti-ransomwares et anti-phishings ciblées

8. Protégez vos données corporatives et personnelles

9. Évaluez les impacts de la formation en sensibilisation à la cybersécurité

10. Répondez aux exigences de l’industrie en matière de conformité

Pour en apprendre davantage sur les ransomwares et rendre votre entreprise cybersécuritaire, consultez nos ressources gratuites de formation sur la sensibilisation à la sécurité :

Contactez nous au 1-866-889-5806 ou à [email protected] pour en savoir plus sur les moyens de protéger votre organisation contre les ransomwares.

Terranova Security s’engage à fournir des formations centrées sur la personne pour vous aider à améliorer la sensibilisation à la cybersécurité dans votre entreprise.