Attaques par ransomware

Qu'est-ce qu'une attaque par ransomware ?

Les attaques par ransomware sont une forme de cybercriminalité dans laquelle un malware, ou logiciel malveillant, est téléchargé et installé sur un ordinateur pour empêcher les utilisateurs d'accéder aux fichiers et aux données de l'ordinateur jusqu'à ce qu'une rançon soit payée.

Comment fonctionnent les attaques par ransomware ?

Les attaques par ransomware sont lancées de plusieurs manières. Les attaquants peuvent utiliser des courriels de phishing qui convainquent les destinataires de partager des informations de connexion et des mots de passe que les attaquants peuvent utiliser pour pénétrer dans un système et installer des malware. Les courriels peuvent contenir des pièces jointes malveillantes qui téléchargent des malware sur un ordinateur lorsqu'ils sont ouverts, ou des liens malveillants qui conduisent les utilisateurs vers un site web où des ransomware peuvent être téléchargés. D'autres attaques par ransomware sont exécutées lorsque les attaquants exploitent les vulnérabilités des logiciels et des systèmes pour obtenir un accès non autorisé au réseau d'une organisation.

La prévention des attaques de ransomware nécessite une nouvelle technologie

Les attaques par ransomware se multiplient à un rythme alarmant. Le gouvernement américain estime que les entreprises font l'objet de plus de 4 000 attaques par jour, ce qui se traduit par le versement d'un milliard de dollars de rançons par an.

Bien que les attaques par ransomware se présentent sous de nombreuses variantes - Cryptowall, Lockyet Cryptolocker sont parmi les plus courantes - elles suivent toutes un schéma similaire. Un utilisateur reçoit un courriel contenant une pièce jointe qui ressemble à un document Word, une facture, un avis de colis ou un rapport de télécopie, ainsi qu'un message qui le convainc que la pièce jointe est réelle. Lorsque la pièce jointe est ouverte, le virus du ransomware exécute un fichier qui crypte les fichiers et les documents sur l'ordinateur de l'utilisateur. L'utilisateur reçoit un message lui indiquant qu'il ne pourra obtenir la clé de chiffrement et retrouver l'accès à ses fichiers qu'en payant une rançon.

Lorsqu'on essaie de prévenir les attaques de ransomware, le défi consiste à suivre le rythme de l'ingéniosité des attaquants. Et comme la plupart des attaques de ransomware sont lancées par courrier électronique, toute mesure défensive doit se concentrer sur la sécurité du courrier électronique. C'est pourquoi tant d'entreprises dans le monde choisissent de lutter contre les attaques de ransomware avec l'aide de Mimecast.

Mettez fin aux attaques de ransomware avec Mimecast

Mimecast fournit des solutions basées sur le cloud pour la sécurité, l'archivage et la continuité du courrier électronique qui peuvent aider à prévenir la plupart des attaques de ransomware, à fournir un accès continu au courrier électronique pendant une attaque, et à récupérer rapidement après une attaque.

Mimecast est un service d'abonnement tout-en-un, basé sur SaaS, qui simplifie considérablement la gestion du business email. Grâce à des outils puissants et faciles à utiliser et à une administration centralisée, Mimecast élimine la nécessité de déployer et de gérer plusieurs solutions ponctuelles provenant de différents fournisseurs. Avec Mimecast, vos administrateurs peuvent facilement configurer et gérer des outils pour stopper les attaques de ransomware comme le crypto-virus et protéger le courrier électronique contre une variété de menaces courantes et avancées.

Types courants de ransomware

Les attaques par ransomware sont une menace en constante évolution qui a coûté des millions de dollars aux organisations. Bien que les ransomwares puissent menacer des organisations de toutes tailles, nous fournissons des exemples d'attaques de ransomware courantes afin d'informer vos équipes pour que nous puissions lutter ensemble. En général, il existe deux types principaux de ransomware : le locker et le crypto.

Le ransomware Locker

Le ransomware Locker bloque les fonctions essentielles de l'ordinateur, sauf pour permettre à l'utilisateur de payer la rançon et de communiquer avec les cyber-attaquants. Au début de l'histoire des attaques par ransomware, ce type d'attaque était plus souvent utilisé contre les consommateurs et les utilisateurs domestiques.

Crypto ransomware

Le Crypto ransomware crypte les données, les rendant irrécupérables sans la clé de décryptage. Cela peut provoquer la panique, car les utilisateurs peuvent généralement voir les fichiers, mais ne peuvent pas y accéder, ce qui peut nuire aux résultats de l'entreprise chaque jour où les fichiers restent verrouillés.

Scareware ransomware

Le scareware est un type d'attaque par ransomware qui, au lieu d'empêcher l'accès aux fichiers, émet de fausses alertes sur des virus supposés installés sur l'ordinateur et demande un paiement pour les supprimer.

Doxware ransomware

Les doxwares ou leakwares menacent de révéler des informations sensibles ou personnelles si la victime ne paie pas une rançon.

Ransomware mobile

Les ransomware mobiles infectent les téléphones portables par le biais de téléchargements " drive-by " ou de fausses applications. Pour en savoir plus sur les ransomwares mobiles, consultez notre article consacré aux ransomwares mobiles, à leur fonctionnement et aux exemples courants de ce type de ransomwares.

Attaques de ransomware dans les entreprises

Outre les méthodes susmentionnées, les entreprises peuvent être particulièrement vulnérables aux mots de passe compromis (compte tenu de leur taille). En outre, lorsqu'elles sont compromises, elles peuvent envisager de payer une rançon pour limiter les pertes, mais des exemples récents prouvent que le paiement d'une rançon n'est pas toujours efficace pour prévenir les pertes futures.

Mots de passe compromis

Un mot de passe compromis est un mot de passe auquel une personne extérieure à l'organisation visée a accès. Les cyber-attaquants peuvent utiliser un mot de passe compromis pour accéder directement à un réseau.

Dans d'autres cas, des employés accrédités ont intentionnellement compromis des mots de passe en les vendant sur le marché noir.

C'est ce que beaucoup soupçonnent de s'être produit lors d'une cyberattaque majeure en avril 2021. D'une part, il n'y a pas grand-chose à faire pour empêcher les employés mécontents de vendre des informations confidentielles de l'entreprise, mais des couches de protection supplémentaires peuvent être mises en œuvre pour se prémunir contre ce comportement.

Par exemple, les points d'accès pour les cyber-attaquants peuvent exiger plusieurs mots de passe de la part de plusieurs utilisateurs pour y accéder (vérification multifactorielle). Pour savoir comment les programmes de sécurité de la messagerie de Mimecast peuvent aider à protéger les mots de passe, planifiez une démonstration.

Quand réduire les pertes ?

Selon un rapport publié par Cybereason, 80% des entreprises qui ont payé une rançon ont subi une nouvelle attaque, près de la moitié d'entre elles ayant subi une nouvelle attaque de la part des mêmes cyber-attaquants.

Dans de nombreux cas récents de cyberattaques touchant des entreprises, les cyberattaquants ont affirmé qu'il était plus rentable de payer leur rançon que d'engager des avocats pour intenter une action en justice ou de faire appel à une société pour les aider à déverrouiller les systèmes et les données compromises. S'il est difficile de savoir si le paiement d'une rançon est la solution la plus simple ou la plus économique, il ne suffit pas toujours de payer une rançon pour que le problème disparaisse.

C'est l'une des nombreuses raisons pour lesquelles les cyber-experts conseillent généralement aux organisations de ne pas payer de rançon : après tout, il n'y a aucune garantie que les cyber-attaquants respecteront les conditions de l'accord de suppression des données.

Protéger votre entreprise contre les attaques de ransomware

Les services de sécurité de la messagerie électronique et du cloud computing peuvent aider les entreprises à prendre les mesures nécessaires pour se protéger des attaques de ransomware.

En tirant les leçons du passé, nous pouvons créer ensemble un avenir plus sûr pour toutes les organisations.

Alors que les ransomwares restent une menace en constante évolution, Mimecast propose des solutions de sécurité des données et des emails qui peuvent aider à empêcher les ransomwares de s'infiltrer dans vos systèmes. Pour en savoir plus sur la protection de votre équipe contre une attaque de ransomware, planifiez une démonstration de Mimecast dès aujourd'hui.

Les défenses de Mimecast contre les attaques de ransomware

Pour contrecarrer les attaques telles que Cryptolocker et Locky ransomware, Mimecast propose des services de Targeted Threat Protection qui empêchent les utilisateurs d'accéder aux pièces jointes malveillantes. Mimecast analyse tous les courriels entrants et archivés et, grâce à une intelligence des menaces avancée, identifie les pièces jointes jugées suspectes. Les pièces jointes peuvent être soit mises en bac à sable de manière préventive jusqu'à ce qu'elles puissent être examinées pour détecter les attaques de ransomware, soit transcrites immédiatement dans un format sûr qui permet aux utilisateurs d'avoir un accès instantané au contenu de la pièce jointe.

Mimecast empêche également les utilisateurs de cliquer sur des liens potentiellement malveillants dans les courriels en analysant le site web de destination en temps réel et en bloquant toute URL suspecte.

Pour réduire l'impact des attaques de ransomware, Mimecast Enterprise Information Archiving fournit un stockage sécurisé de tout le contenu des emails dans le cloud, permettant aux administrateurs de revenir à un point juste avant l'attaque du ransomware. Et Mimecast Mailbox Continuity permet aux utilisateurs d'avoir un accès continu au courrier électronique pendant une panne causée par une attaque, une catastrophe naturelle, une défaillance matérielle ou une erreur humaine.

En savoir plus sur l'atténuation des attaques de ransomware avec Mimecast.

FAQ sur les attaques de ransomware

Comment identifier les attaques de ransomware ?

Étant donné que la plupart des attaques de ransomware sont le fruit de courriels de phishing qui incitent les utilisateurs à ouvrir des pièces jointes, à cliquer sur des liens ou à partager des informations, la formation des utilisateurs à la détection des courriels de phishing est l'un des moyens les plus efficaces de prévenir les attaques de ransomware. De nombreux courriels de phishing contiennent des signes révélateurs tels que :

• Mauvaise grammaire et fautes d'orthographe.
• Un ton urgent et menaçant.
• Demandes d'informations personnelles.
• Les URL non concordantes, lorsqu'un lien dans le corps du courriel dirige l'utilisateur vers un site web différent de celui indiqué dans le texte du courriel.
• Adresses électroniques non concordantes, lorsque l'adresse de l'expéditeur ne correspond pas exactement au domaine à partir duquel le message semble avoir été envoyé.

Comment prévenir les attaques de ransomware ?

La prévention des attaques de ransomware nécessite une approche de la sécurité à plusieurs niveaux.

• Les logiciels antivirus peuvent aider à détecter les variantes de ransomware déjà identifiées.
• Les solutions anti-ransomware peuvent identifier des attaques de ransomware que d'autres défenses peuvent manquer en utilisant l’analyse et le filtrage du contenu pour identifier les menaces potentielles, en particulier les attaques par courrier électronique sans malware qui s’appuient sur l’ingénierie sociale plutôt que sur des pièces jointes ou des liens malveillants.
• De solides programmes de sensibilisation à la sécurité peuvent contribuer à prévenir les attaques réussies en rappelant continuellement aux employés comment ils peuvent être confrontés à une attaque de ransomware et quelles sont les meilleures pratiques pour les éviter.
• Pour empêcher les attaquants d'exploiter les vulnérabilités, les logiciels et les systèmes doivent être constamment mis à jour à l'aide de correctifs.
• Des solutions de sauvegarde robustes peuvent aider à restaurer rapidement les données après une attaque réussie de ransomware.
• "Les solutions d'Email continuity peuvent contribuer à garantir un accès continu au courrier électronique pendant et après une attaque de ransomware, ce qui permet à l'entreprise d'éviter une baisse de productivité."

Que faire après une attaque de ransomware ?

Comme aucun programme de sécurité ne peut empêcher toutes les attaques, il est important de prévoir des plans de reprise après une attaque réussie. La première chose à faire est de déconnecter tous les ordinateurs concernés du réseau et des espaces de stockage partagés afin d'empêcher la propagation du ransomware. Après avoir identifié le type de ransomware, signalez l'attaque à l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) à l'adresse suivante:www.us-cert.gov/report. et à un bureau local du FBI. Pour récupérer les données affectées par les attaques de ransomware, vous pouvez essayer de décrypter les fichiers avec l'aide d'outils et d'entreprises spécialisés, ou d'effacer les ordinateurs infectés et de restaurer les fichiers pour les sauvegarder.