Qu'est-ce qu'un rançongiciel ?

Une terminologie que nous avons beaucoup entendue et lue, en particulier au cours des deux dernières années, nous avons rencontré ce jargon, principalement dans un contexte négatif où une organisation a été victime d'une attaque de ransomware, etc.

Un ransomware est un type de logiciel malveillant, également connu sous le nom de malware (un autre jargon utilisé assez fréquemment) qui constitue une menace potentielle pour restreindre les données ou les publier sur un forum public, entraînant un risque commercial potentiel. Cela se fait généralement en cryptant les données, la victime devant payer une rançon à l'attaquant pour avoir divulgué les données. Habituellement, dans de tels cas, la victime a un délai pour payer la rançon. Si la victime ne respecte pas le délai, l'attaquant effacera les données. Dans le meilleur des cas, l'attaquant augmentera la valeur de la rançon avec un délai révisé.

Les attaques de logiciels malveillants sont assez courantes de nos jours et nous avons vu de nombreuses organisations d'Amérique du Nord et d'Europe être victimes de telles attaques. Ces cyber-attaquants n'ont pas de critères définis car ils peuvent attaquer n'importe quel groupe de clients ou n'importe quelle organisation dans les secteurs verticaux de l'industrie.

De nombreuses agences telles que le FBI et certains gouvernements s'abstiennent de payer de telles rançons. En fait, il existe un projet spécial appelé le No Ransom Project, une organisation à but non lucratif qui travaille dans le but de ne pas donner de rançon aux cyber-attaquants. De plus, on observe que les victimes qui paient la rançon sont soumises à des attaques répétées de ransomwares

Contexte des attaques de ransomwares

Si nous examinons l'histoire des attaques de rançongiciels, elle remonte à 1989, lorsque le « virus du sida » a été utilisé par des cyber-attaquants pour extorquer des fonds aux victimes. Une fois que les paiements pour cette attaque ont été libérés (par courrier) au Panama, la clé de déchiffrement a également été publiée par courrier.

En 1996, deux individus Moti Yung et Adam Young de l'Université de Columbia ont introduit une définition du rançongiciel, et ils ont inventé le terme « extorsion crypto virale ». Ces deux académiciens ont présenté la première attaque de crypto virologie en 1996 lors d'une conférence de l'IEEE, qui était une conférence sur la sécurité et la confidentialité.

Au fil du temps, nous avons vu l'innovation dans le domaine des cyberattaques et des attaques de ransomwares. Les cyber-attaquants sont devenus créatifs en demandant des paiements de rançon qui sont pratiquement impossibles à suivre. De cette façon, ces cybercriminels maintiennent l'anonymat de leurs allées et venues. Alors que nous avons constaté une augmentation de l'utilisation de crypto-monnaies telles que Bitcoin, nous avons constaté une augmentation considérable des attaques de ransomwares.

Si nous examinons le modèle, les attaques de ransomwares ont fait de chaque industrie une victime, l'attaque la plus célèbre étant celle contre le Presbyterian Memorial Hospital. Ce fut une attaque massive où laboratoires, pharmacies et salles d'urgence ont tous été victimes.

Comment fonctionne un ransomware ?

Comme mentionné précédemment, le ransomware est un type de logiciel malveillant créé pour extorquer de l'argent aux organisations en cryptant leurs données et en bloquant l'accès à celles-ci. Nous voyons principalement deux types de ransomwares - un ensemble est connu sous le nom de crypteurs et l'autre ensemble est connu sous le nom de casiers d'écran. Comme le nom est explicite, les chiffreurs chiffrent les données, les rendant redondantes sans clé de déchiffrement. Cependant, les casiers d'écran bloquent simplement l'accès au système en déployant un "écran de verrouillage".

Dans ce scénario, les victimes voient généralement un écran de verrouillage contenant un message pour acheter une crypto-monnaie telle que Bitcoin pour payer la rançon. Dès que la rançon est payée, les organisations reçoivent la clé de déchiffrement et peuvent ensuite essayer de déchiffrer les fichiers. Cependant, il n'y a aucune règle ou éthique que ces cyber-attaquants suivent. Parfois, même après le paiement de la rançon, les victimes ne reçoivent pas les clés de déchiffrement. Dans le pire des cas, le logiciel malveillant est toujours installé même après le paiement de la rançon.

Habituellement, ces attaques de logiciels malveillants d'entreprise commencent par un e-mail suspect qui. Un utilisateur peut ouvrir cet e-mail sans se douter de quoi que ce soit et cela ne fait qu'ouvrir une boîte de Pandore.

Qui est à risque ?

Lorsque nous parlons de rançongiciel, tout gadget ou appareil connecté à Internet présente un risque potentiel d'être victime d'une attaque de logiciel malveillant. Les ransomwares vérifient généralement un appareil local et tout appareil connecté au réseau, ce qui signifie que le réseau local d'une organisation risque également d'en être victime.

Par conséquent, si un appareil est connecté à Internet, il devient une condition préalable pour l'organisation de s'assurer que les dernières mises à jour de sécurité et les systèmes de sécurité des terminaux sont en place pour éviter toute sorte d'entrée malveillante par ces cyber-attaquants.

Impact des rançongiciels sur les entreprises ?

Il s'agit d'une déclaration non écrite selon laquelle toute entreprise victime d'un rançongiciel subira des pertes pouvant atteindre des millions de dollars. Au-delà de cela, cela crée un effet d'entraînement de la perte de nouvelles affaires. Même si une entreprise est sauvée, les employés doivent passer de nombreuses heures à créer les données qu'ils ont perdues, entraînant ainsi des milliers d'heures de perte de productivité. L'une des premières choses que fait toute attaque de logiciel malveillant est d'arrêter la productivité de l'organisation. Par conséquent, il est pertinent pour les organisations de faire du confinement la première tâche. La réalisation d'une analyse des causes profondes aide à identifier la vulnérabilité, mais si elle entraîne des retards, elle aura un impact sérieux sur la productivité et les revenus.

Exemples de rançongiciels

Alors que les exemples de ransomwares sont nombreux pour chaque entité commerciale, il y en a quelques-uns cruciaux qui se démarquent, ce qui peut aider à établir les bases pour toute organisation afin d'éviter de telles attaques de ransomwares. Examinons quelques-uns des exemples

WannaCry - C'était un virus puissant autour d'une vulnérabilité de Microsoft qui a été exploitée par ces cyber-attaquants pour infecter plus de 250 000 systèmes. Cependant, avant qu'il ne puisse se propager à d'autres systèmes, un coupe-circuit a été déclenché pour l'arrêter. Proofpoint – un nom dans l'espace de sécurité et de confidentialité, a été déployé pour obtenir des détails sur le ransomware.

BadRabbit - cela était considéré comme un rançongiciel visible, dont la cible principale était les entreprises de médias en Russie et en Ukraine. Dès que la rançon a été payée, BadRabbit a fourni le code de déchiffrement. On soupçonne que le virus s'est propagé via un faux Flash Player.

NotPetya - dit être le frère aîné de BadRabbit, NotPetya était l'une des attaques de logiciels malveillants les plus dévastatrices. Il a exploité la vulnérabilité comme WannaCry et a commencé à se propager rapidement. Il a exigé une rançon en bitcoins, mais NotPetya n'a pas pu annuler les modifications apportées au secteur de démarrage principal, ce qui a rendu le système cible irrécupérable.

Ce sont quelques-uns des meilleurs exemples de logiciels malveillants. Il y en a eu d'autres tels que CryptoLocker, REvil, Ryuk et bien d'autres.

Dernières pensées

Les rançongiciels ne disparaissent pas. Tant qu'il y aura des gens qui ont de mauvaises intentions, nous verrons constamment de l'innovation dans ce domaine. Cela ressort clairement d'une statistique du FBI, qui indique qu'environ 4 000 attaques de ransomwares se produisent chaque jour. Bien que les rançongiciels et les virus soient des types différents de logiciels malveillants, les rançongiciels ne sont essentiellement pas des virus, car ils ne se répliquent pas comme un virus.

La seule façon pour les organisations de se protéger contre ces attaques de ransomwares est de continuer à innover dans leurs systèmes de sécurité et d'éduquer les utilisateurs sur les menaces potentielles de ransomwares, y compris les e-mails malveillants et d'autres sources.