Ransomware

Qu’est-ce que le ransomware ?

Par définition, un ransomware est un type de logiciel malveillant que les cyberattaquants utilisent pour réaliser des gains monétaires en bloquant l’accès à des données ou à des systèmes jusqu’à ce que le propriétaire de ces données ou systèmes paie la rançon réclamée. De plus en plus, les cybercriminels menacent également de publier ou bien d’exposer des données sensibles à moins que les propriétaires ne paient. C’est ce qu’on appelle communément une exfiltration de données. Il existe plusieurs types de ransomwares, mais le plus courant, et le plus dévastateur, est celui où un logiciel malveillant chiffre les fichiers au moyen d’une extorsion cryptovirale. Cela signifie que les fichiers ne peuvent pas être déchiffrés sans une clé mathématique détenue par l’attaquant. Même un expert en sécurité ne serait pas en mesure de déverrouiller les fichiers. Les victimes sont généralement informées du chiffrement et il leur est demandé une rançon à payer avec une crypto-monnaie intraçable telle que le bitcoin.

Que dois-je savoir sur les ransomwares ?

Les attaques par ransomware ne datent pas d’hier, mais elles ont gagné en popularité, sont devenues de plus en plus sophistiquées et coûteuses à combattre. Leurs cibles sont les données, qui sont à la fois l’actif le plus précieux et le plus vulnérable d’une organisation, si les cybercriminels jettent leur dévolu sur elles. Les attaquants ont tendance à choisir des organisations qui disposent d’un grand nombre de données sensibles nécessaires à leurs activités quotidiennes. Il peut s’agir d’entreprises financières, d’établissements de santé ou d’organismes gouvernementaux, entre autres. Du fait que plus de personnes que jamais travaillent à distance, les menaces liées aux ransomwares augmentent et les attaquants exigent des frais plus élevés pour débloquer les données.

Parce qu’ils sont à l’affût de gains importants, les attaquants s’en prennent non seulement au système et aux données de production, mais également aux données et à l’infrastructure de sauvegarde. Ils comprennent que ce que vous considérez souvent comme votre police d’assurance, vos sauvegardes, peut également constituer une responsabilité.

En matière de ransomware, voici ce que votre organisation et vous-même devez savoir :

• Les cybercriminels ciblent désormais de manière agressive les données de sauvegarde afin de prendre le contrôle total de vos données, ou pire, de les détruire et d’interrompre l’activité de votre entreprise
• Les produits de sauvegarde existants collectent et stockent de plus en plus de données dans des silos, et cette fragmentation massive des données crée une surface d’attaque de plus en plus grande qui expose davantage d’infrastructures aux attaques par ransomware
• Une détection précoce peut aider à contrôler les ransomwares. La vigilance à l’égard des attaquants externes passe par l’utilisation d’une sauvegarde moderne intégrant l’apprentissage automatique pour détecter les comportements indésirables et repérer les anomalies en temps réel
• Si le pire des scénarios se produit, vous devrez récupérer les sauvegardes au plus vite, mais avec l’assurance que vos données restaurées sont intactes. Or, le manque de visibilité sur vos données et l’absence d’un snapshot impossible à attaquer rendent plus difficile une restauration « propre » à un moment précis.
• La lenteur des cycles de sauvegarde et restauration aggrave vos problèmes de ransomware. Selon une enquête récente, moins il y a de données restaurées, plus la restauration est longue.

Quel que soit le moment ou l’auteur de l’attaque, une attaque par ransomware réussie constitue une situation sans issue. Vous subirez un impact opérationnel, et si cela n’est pas résolu rapidement, une atteinte à votre réputation, que vous payiez ou non la rançon. Les experts conseillent par ailleurs de ne pas payer, car dans bien des cas, vous ne récupérez pas vos données de toute façon.

Il est désormais largement admis que l’important n’est pas de savoir si vous serez attaqué, mais quand vous le serez. La durée et l’impact d’un incident par ransomware sur votre entreprise peuvent dépendre fortement de la façon dont vous avez organisé vos sauvegardes.

Comment fonctionne un ransomware ?

La réussite des entreprises d’aujourd’hui repose sur de solides capacités numériques. Les cybercriminels exploitent la dépendance des organisations aux données en lançant des attaques par ransomware. Ce type de logiciel malveillant est souvent diffusé dans les organisations par le biais d’attaques par hameçonnage qui incitent les utilisateurs à cliquer sur des liens compromis, ainsi qu’au travers des vulnérabilités logicielles existantes. Dans chaque cas, le ransomware chiffre ou verrouille les données, puis les attaquants réclament un paiement en échange des clés numériques permettant de les déverrouiller ou de les déchiffrer. L’argent que les organisations versent est appelé rançon, ce qui vaut au logiciel malveillant le nom de ransomware. Et les cybercriminels sont ingénieux, créant sans cesse de nouveaux types de logiciels malveillants pour pénétrer et chiffrer les systèmes par appât du gain.

Les ransomwares sont-ils courants ?

D’après de nombreuses sources, les ransomwares sont la forme de cybercriminalité qui se développe le plus rapidement, avec une croissance exponentielle d’année en année. Les ransomwares dans les secteurs de la santé et des services financiers sont particulièrement fréquents du fait que les données contenues dans les systèmes de ces industries sont sensibles, et donc, considérées comme plus précieuses pour les malfaiteurs qui envisagent de les vendre sur le dark web ou ailleurs.

Selon les prévisions de Cybersecurity Ventures, d’ici 2031, les ransomwares attaqueront une entreprise, un consommateur ou un appareil toutes les 2 secondes. Le coût estimé (20 milliards de dollars en 2021 et 265 milliards de dollars par an en 2031) des attaques réussies comprend les pertes financières liées aux temps d’arrêt, ainsi que les préjudices en termes de productivité et de réputation.

Des exemples de ransomware communs recensés en 2021, ainsi que d’autres détectés au cours des dernières années, comprennent : REvil/Sodinokibi, Hades, DoppelPaymer, Ryuk, Egregor, BadRabbit, BitPaymer, Cerber, Cryptolocker, Dharma, GandCrab, Locky, Maze, MeduzaLocker, NetWalker, NotPetya, Petya, SamSam et WannaCry.

Comment les ransomwares se propagent-ils ?

À l’instar du célèbre cheval de Troie permettant aux soldats de pénétrer dans la forteresse, les ransomwares permettent aux pirates de prendre le contrôle d’un autre ordinateur, serveur ou appareil. Une fois que le ransomware est dans un environnement informatique, à la manière d’un virus, il peut rapidement se propager latéralement (avec un trafic est-ouest) vers d’autres systèmes.

Une toute récente formule du virus ransomware a été conçue pour permettre le « saut d’île en île ». Dans ce scénario, l’organisation déjà pénétrée par un ransomware lance sans le savoir le logiciel malveillant depuis ses systèmes internes vers les systèmes de ses clients ou de ses partenaires, ce qui constitue un véritable « saut » vers une autre organisation. Cette approche permet aux cyberattaquants de toucher une nouvelle victime, sans pour autant lancer une nouvelle attaque.

Leur mode opératoire évolue sans cesse, si bien qu’il est impossible pour les entreprises de prévoir où et quand ces attaques peuvent survenir et de s’en prémunir. C’est pourquoi elles ont besoin d’une solution de gestion des données moderne et complète, capable de protéger efficacement leurs sauvegardes contre les ransomwares.

Peut-on contrer les ransomwares ?

Oui. Les organisations peuvent payer la rançon aux attaquants, comme beaucoup le font, et obtenir la « clé » pour déverrouiller leurs données. Mais cela est coûteux et nuit à leur réputation.

Par ailleurs, les équipes informatiques peuvent choisir de déjouer les attaquants et de ne pas payer de rançon si elles disposent d’une plateforme de gestion des données moderne et multicloud pour la protection contre les ransomwares, qui empêche leurs sauvegardes de devenir une cible d’attaque.

Une solution performante de restauration après attaque de ransomware, telle que Cohesity, vous permet de récupérer vos données en toute sécurité, tout en restaurant des systèmes exempts de ransomware. Celle-ci comprend un système de fichiers immuable intégrant des snapshots en lecture seule, qui assure la sécurité des données en garantissant que les données de sauvegarde ne sont jamais accessibles, ni montées pour des applications externes. Cohesity empêche les ransomwares d’infecter le snapshot immuable.

Les capacités de sauvegarde de type WORM (write-once-read-many) de Cohesity permettent à certains rôles de définir des stratégies DataLock immuables sur des tâches sélectionnées. Chacune d’entre elles est assortie d’une limite dans le temps, ce qui permet de renforcer la protection des données qui ne peuvent être supprimées.

Combien coûtent les ransomwares ?

Cybersecurity Ventures estime le coût des ransomwares en 2021 à 20 milliards de dollars, puis à 265 milliards de dollars par an à partir de 2031. Ces estimations des dommages comprennent les pertes financières liées aux temps d’arrêt, telles que les recettes du commerce électronique, ainsi que la productivité opérationnelle négative et l’atteinte à la réputation. En raison des coûts élevés d’une attaque, les organisations préviennent désormais les ransomwares grâce à des solutions de gestion des données modernes multicloud.

Comment un ransomware infecte-t-il un système ?

Les cybercriminels comptent sur le fait que les gens commettent des erreurs. C’est pourquoi le principal moyen par lequel les ransomwares infectent un système est l’hameçonnage par e-mails. Les e-mails contenant un ransomware, une forme de logiciel malveillant, contiennent généralement des pièces jointes malveillantes ou un lien vers un site web compromis, où un logiciel infecté est téléchargé et installé sur le système ou l’appareil d’une personne sans son consentement, voire à son insu. Une fois dans une organisation, le ransomware peut se propager par le biais des systèmes exploités, à travers les réseaux, et même à d’autres sociétés – un mode d’attaque désormais appelé « saut d’île en île ».

L’approche moderne de Cohesity en matière de restauration après attaque de ransomware

Du fait que les cybercriminels connaissent l’importance de vos sauvegardes, ils en font de plus en plus la cible d’attaques par ransomware.

Cohesity dispose d’une méthode à plusieurs niveaux destinée à empêcher vos sauvegardes d’être victimes de ransomware. L’architecture immuable de Cohesity empêche le chiffrement, la modification et la suppression de vos données de sauvegarde. À l’aide de l’apprentissage automatique, Cohesity fournit une visibilité accrue et surveille en permanence les anomalies présentes dans vos données. En cas de sinistre, Cohesity vous aide à localiser une copie propre des données sur l’ensemble de votre empreinte mondiale, y compris les multiclouds publics, pour une reprise instantanée et une réduction du temps d’arrêt.

Protection de la sauvegarde – Les snapshots de sauvegarde immuables, combinés à DataLock (WORM), RBAC, air-gap et l’authentification multifactorielle empêchent vos données de sauvegarde de devenir une cible.

Détection – L’intelligence basée sur l’apprentissage automatique établit des modèles, détecte et signale automatiquement les anomalies

Restauration rapide – Grâce à une simple recherche et une récupération instantanée à l’échelle et à tout moment, vous pouvez reprendre vos activités rapidement. La restauration massive instantanée unique de Cohesity récupère rapidement des centaines de machines virtuelles (VM) et de grandes bases de données Oracle afin de réduire les temps d’arrêt