Ce que vous apprendrez dans cet article
Découvrez les attaques de ransomware les plus connues, leurs méthodes et les leçons qu'elles permettent de tirer pour la défense de votre organisation :
- "Des souches de ransomware célèbres comme Ryuk, Locky, WannaCry, Maze et DarkSide ont provoqué des perturbations à l'échelle mondiale, utilisant souvent des courriels de phishing, des vulnérabilités logicielles et des tactiques de double extorsion pour cibler les entreprises et les infrastructures critiques."
- Les types de Ransomware comprennent les ransomware locker, qui bloquent les utilisateurs hors de leur système, et les crypto ransomware, , qui cryptent les fichiers et exigent un paiement pour le décryptage. Ces deux types de ransomware peuvent causer de graves dommages opérationnels et financiers .
- Les secteurs de la santé et de l'entreprise ont été fortement ciblés, les attaques ayant entraîné la compromission de données sensibles sur le site , des interruptions d'activité et des demandes de rançon répétées, ce qui souligne la nécessité d'une sécurité solide, de mises à jour régulières du site et d'une gestion rigoureuse des mots de passe.
Exemples de ransomware célèbres
L'augmentation des attaques de ransomware a vu différents types de ransomware utilisés pour exploiter les vulnérabilités des systèmes de différentes manières ( ).
Ryuk
Ryuk est à l'origine de certaines des attaques de ransomware les plus célèbres visant des organisations du monde entier. Il s'agit de , une forme de crypto-ransomware qui cible spécifiquement les grandes entreprises, souvent dans le but d'exiger une forte rançon .
Locky
Locky est une variante notoire de ransomware distribuée principalement par le biais de pièces jointes d'e-mails de phishing, généralement déguisées en factures, documents ou mises à jour de logiciels sur le site . Une fois cliquée, la pièce jointe malveillante verrouille les fichiers de la victime, les rendant inaccessibles.
Wannacry
L'attaque WannaCry a provoqué une crise mondiale, infectant plus de 230 000 ordinateurs dans 150 pays et causant des dommages estimés à 4 milliards de dollars ( ). L'attaque a exploité une vulnérabilité dans les systèmes Microsoft Windows, en particulier , ciblant les systèmes qui n'avaient pas été corrigés par une mise à jour de sécurité critique.
Mauvais lapin
Bad Rabbit était une attaque de ransomware par drive-by, c'est-à-dire qu'il s'est propagé via des sites web compromis que des utilisateurs sans méfiance ont visités à l'adresse . Le malware semblait être un installateur Adobe Flash légitime, mais il s'agissait en fait d'un ransomware qui chiffrait les fichiers de la victime du ransomware
Scie sauteuse
Le ransomware Petya se propage en chiffrant le Master Boot Record (MBR) et en rendant l'ensemble du système inopérant. Il utilise souvent des courriels de phishing comme méthode de diffusion, provoquant de graves perturbations dans les entreprises en bloquant leurs ordinateurs au niveau du système.
NotPetya
NotPetya a d'abord semblé être une variante de Petya, mais elle était beaucoup plus destructrice. Il s'est rapidement propagé à l'aide de exploits de la même vulnérabilité Windows que WannaCry et a été conçu non seulement pour extorquer de l'argent, mais aussi pour causer des dommages massifs aux systèmes. Elle a eu des répercussions sur les organisations du monde entier, en particulier en Ukraine.
Cerber
Cerber est une souche de ransomware très sophistiquée qui utilise des techniques de chiffrement avancées pour verrouiller les fichiers. Il est généralement diffusé par le biais de courriels de phishing accompagnés de pièces jointes malveillantes et est connu pour sa capacité à s'adapter et à changer de tactique afin d'éviter d'être détecté.
BitPaymer
Le ransomware BitPaymer est souvent lié à des attaques de grande envergure et bien coordonnées. Il cible les environnements d'entreprise et chiffre les fichiers avant d'exiger un paiement en bitcoins pour obtenir la clé de décryptage. La demande de rançon comprend généralement une URL vers un portail de paiement basé sur TOR.
Cryptolocker
Cryptolocker, l'une des souches de ransomware les plus connues, crypte les fichiers et exige des rançons en monnaies numériques comme le bitcoin. Il a été diffusé par le biais de spams et a infecté avec succès un grand nombre d'utilisateurs, causant des dommages considérables avant son retrait.
Côté obscur
DarkSide est une opération de Ransomware-as-a-Service (RaaS), qui cible principalement les environnements d'entreprise. Elle a attiré l'attention sur le site pour son rôle dans la cyberattaque de Colonial Pipeline, qui a perturbé l'approvisionnement en carburant des États-Unis. DarkSide demande généralement des rançons importantes, souvent de l'ordre de plusieurs millions, et ses opérateurs se sont récemment étendus aux systèmes basés sur Linux.
Dharma
Le ransomware Dharma fonctionne selon un modèle RaaS, dans lequel les attaquants acquièrent une licence pour le ransomware et le lancent par l'intermédiaire d'affiliés. Dharma cible principalement les petites et moyennes entreprises et demande souvent une rançon d'environ 500 à 2 000 dollars en bitcoins ( ).
DoppelPaymer
DoppelPaymer est une souche très dangereuse de ransomware qui a été utilisée dans de nombreuses attaques très médiatisées. Il crypte les fichiers sur les systèmes infectés et demande un paiement par le biais d'un portail de paiement basé sur TOR. DoppelPaymer est connu pour ses tactiques agressives et a été associé à des violations majeures.
GandCrab
GandCrab était l'une des familles de ransomware les plus actives et les plus largement diffusées, ses développeurs mettant régulièrement à jour la souche sur le site . "GandCrab a été diffusé principalement par le biais de courriels de phishing et de kits d'exploitation, et ses affiliés ont utilisé diverses tactiques pour infecter des cibles dans le monde entier."
Labyrinthe
Le ransomware Maze est connu pour sa technique de ransomware à double extorsion, dans laquelle les attaquants ne se contentent pas de crypter les données, mais les volent également et menacent de les libérer si la rançon n'est pas payée. Maze a ciblé de nombreuses organisations de premier plan sur le site et est devenu célèbre pour son utilisation de l'exfiltration de données en plus du cryptage.
Types courants de ransomware
Les Ransomware peuvent être classés en deux grandes catégories : les ransomware à casiers et les crypto-ransomware. Il est essentiel de connaître la différence entre ces méthodes d'attaque ( ) pour mettre en œuvre les bonnes stratégies de défense dans votre organisation ( ).
Le ransomware Locker
Le ransomware Locker est conçu pour bloquer complètement l'accès de l'utilisateur à son système. Généralement, ce type de ransomware empêche l'accès aux fonctions essentielles du système, comme les applications, les fichiers ou les paramètres, jusqu'à ce qu'une rançon soit payée.
Alors qu'il était initialement plus courant chez les utilisateurs individuels, il est devenu une menace de ransomware pour les organisations ( ). Une fois le système verrouillé, l'attaquant exige le paiement d'une rançon, souvent sous la menace d'une aggravation des dommages ou d'une perte de données ( ).
Ce type d'attaque peut entraîner des temps d'arrêt importants, affecter la productivité et potentiellement nuire à la réputation de votre marque .
Le ransomware Locker bloque les fonctions essentielles de l'ordinateur, sauf pour permettre à l'utilisateur de payer la rançon et de communiquer avec les cyber-attaquants à l'adresse . "Les consommateurs et les utilisateurs privés ont été plus souvent victimes de ce type d'attaques au début de l'histoire des ransomwares."
Crypto ransomware
Le Crypto ransomware est l'une des formes les plus dommageables de ransomware. Il crypte des fichiers critiques ou des systèmes entiers, , les rendant inaccessibles sans la clé de décryptage. Dans de nombreux cas, les entreprises ne peuvent pas récupérer leurs données à moins de se plier aux exigences de l'attaquant.
Même si une clé de décryptage est fournie après le paiement, il n'y a aucune garantie que les données seront restaurées intégralement ou sans compromis. Le bilan financier d'une attaque par crypto ransomware peut être stupéfiant, tant en termes de coûts directs (tels que la rançon payée) que de coûts indirects (tels que la perte de revenus due à l'interruption des opérations).
Le Crypto ransomware crypte les données, les rendant irrécupérables sans la clé de décryptage. Cela peut provoquer la panique car les utilisateurs de peuvent généralement voir les fichiers, mais ne pourront pas y accéder, ce qui peut nuire aux résultats d'une entreprise chaque jour où reste verrouillé.
Exemples d'attaques de ransomware pour les entreprises du secteur de la santé
Tous les types d'organisations ont été ciblés par des attaques de ransomware, et les organisations de soins de santé, y compris les hôpitaux, ne font pas exception.
Compromission de données personnelles protégées (PPI)
Dans de nombreuses attaques de ransomware, les fichiers sont cryptés de manière à ce qu'il soit impossible d'y accéder ou les systèmes sont verrouillés de manière à ce qu'ils ne puissent pas fonctionner. Cependant, il y a également eu des violations importantes qui ont compromis des informations sensibles et des données personnelles.
Dans un cas, des cyber-attaquants ont infiltré le réseau d'une organisation de soins de santé et ont accédé à des données personnelles de patients et de donateurs. De février à mai, les cybercriminels ont accédé secrètement aux données et en ont fait des copies pour eux-mêmes, y compris les noms, les adresses personnelles et l'historique des dons. Cela incite leurs victimes à payer une rançon pour que les données copiées soient supprimées.
La leçon à tirer de cet exemple d'attaque par ransomware est qu'il faut protéger les données stockées autant que le réseau.
Mimecast propose des solutions de sécurité en nuage pour permettre aux organisations de stocker et d'accéder aux données sensibles en toute sécurité (et simplicité).
Augmentation des attaques de ransomware dans le secteur de la santé depuis la conférence COVID-19
Selon Comparitech, les attaques de ransomware coûteront au secteur de la santé américain plus de 20 milliards de dollars rien qu'en 2020.
Par rapport aux années précédentes, les organismes de soins de santé et les hôpitaux ont connu un pic sans précédent dans les attaques de ransomware en 2020, et certains pensent que COVID-19 a rendu les hôpitaux plus vulnérables aux cyberattaques et peut-être même plus enclins à payer des rançons.
Une chose que l'on peut retenir de cette tendance est qu'une organisation peut être encore plus vulnérable en temps de crise. C'est pourquoi il est préférable de se préparer dès aujourd'hui aux menaces potentielles de ransomware de demain.
Exemples d'attaques de ransomware dans les entreprises
Outre les méthodes susmentionnées, les entreprises peuvent être particulièrement vulnérables aux mots de passe compromis (compte tenu de leur taille). En outre, lorsqu'elles sont compromises, elles peuvent envisager de payer une rançon pour limiter les pertes, mais des exemples récents prouvent que le paiement d'une rançon n'est pas toujours efficace pour prévenir les pertes futures.
Mots de passe compromis
Un mot de passe compromis est un mot de passe auquel une personne extérieure à l'organisation visée a accès. Les cyber-attaquants peuvent utiliser un mot de passe compromis pour accéder directement à un réseau.
Dans d'autres cas, des employés accrédités ont intentionnellement compromis des mots de passe en les vendant sur le marché noir.
C'est ce que beaucoup soupçonnent de s'être produit lors d'une cyberattaque majeure en avril 2021. "D'une part, il n'y a pas grand-chose à faire pour empêcher les employés mécontents de vendre les informations confidentielles de l'entreprise, mais des couches supplémentaires de protection contre les ransomware peuvent être mises en œuvre pour se prémunir contre ce comportement."
Par exemple, les points d'accès d'un cybercriminel peuvent nécessiter plusieurs mots de passe de plusieurs utilisateurs pour y accéder (vérification multifactorielle). Pour savoir comment les programmes de sécurité de la messagerie de Mimecast peuvent aider à protéger les mots de passe, planifiez une démonstration.
Quand réduire les pertes ?
Selon un rapport publié par Cybereason, 80% des entreprises qui ont payé une rançon ont subi une nouvelle attaque, près de la moitié d'entre elles ayant subi une nouvelle attaque de la part des mêmes cyber-attaquants.
Dans de nombreux cas récents de cyberattaques touchant des entreprises, les cyberattaquants ont affirmé qu'il était plus rentable de payer leur rançon que d'engager des avocats pour intenter une action en justice ou de faire appel à une société pour les aider à déverrouiller les systèmes et les données compromises. S'il est difficile de savoir si le paiement d'une rançon est la solution la plus simple ou la plus économique, il ne suffit pas toujours de payer une rançon pour que le problème disparaisse.
C'est l'une des nombreuses raisons pour lesquelles les cyber-experts conseillent généralement aux organisations de ne pas payer de rançon : après tout, il n'y a aucune garantie que les cyber-attaquants respecteront les conditions de l'accord de suppression des données.
Protéger votre entreprise contre les attaques de ransomware
Les services de sécurité de la messagerie électronique et du cloud computing peuvent aider les entreprises à prendre les mesures nécessaires pour se protéger des attaques de ransomware.
En tirant les leçons du passé, nous pouvons créer ensemble un avenir plus sûr pour toutes les organisations.
Alors que les ransomwares restent une menace en constante évolution, Mimecast propose des solutions de sécurité des données et des emails qui peuvent aider à empêcher les ransomwares de s'infiltrer dans vos systèmes. Pour en savoir plus sur la protection de votre équipe contre une attaque de ransomware, planifiez une démonstration de Mimecast dès aujourd'hui.
