Qu'est-ce qu'un Ransomware?

Qu'est-ce qu'un ransomware?

Le ransomware est aujourd'hui une des principales menaces qui pèsent sur les entreprises et leurs utilisateurs. Ces logiciels malveillants visent principalement à infecter une partie des services informatiques des entreprises, aussi bien côté desktop que côté infrastructure. L’idée est d’ensuite demander aux entreprises des rançons en échange d'une libération parfois illusoire. Très simple d'utilisation et aujourd'hui très facile à se procurer sur des modèles de ransomware-as-a-service, ils ont plusieurs modes de fonctionnement ou d'infections (phishing, injection de code, menaces avancées, etc.). Ceux-ci sont choisis en fonction des objectifs des hackers (extorsion de données, verrouillage des données, du SI, etc.) mais le ransomware a toujours un impact colossal sur les entreprises. La question pour ces dernières n'est d'ailleurs pas de savoir si elles vont être attaquées, mais plutôt quand tant la menace est devenue omniprésente. À travers cet article, nous allons ainsi voir comment les ransomwares fonctionnent, et comment s'en prémunir.

Comment fonctionnent les ransomwares?

Les ransomwares sont avant tout définis par leur finalité : extorquer de l'argent. Ensuite, leur fonctionnement varie en fonction des méthodes utilisées, des cibles, etc. On distingue toutefois deux grandes familles :

• les cryptolockers : ce type de ransomware bloque toute ou partie des données de l’entreprise., 
• les screenlockers : ils visent plus particulièrement le fonctionnement du SI en bloquant leur accès.

Quel que soit le ransomware utilisé, l'entreprise touchée se verra demander une rançon à payer, sans quoi elle ne pourra pas récupérer ses données ou ses accès. Dans certains cas, notamment avec les attaques que nous avons vues récemment comme celles contre l'hôpital de Corbeil-Essonnes, le blocage s'accompagne de menaces de diffusion des données extorquées en ligne.

Pour installer leur ransomware sur les SI de leurs victimes, les acteurs malveillants ont recours à plusieurs techniques. La plus courante est le phishing. Les ransomwares peuvent ensuite pénétrer plus profondément  sans se faire repérer dans les systèmes. Ils utilisent des techniques d'obscurcissement avancées, telles que :

• l'insertion de codes morts, 
• le chiffrement,  
• le décodage à l'exécution.

Ils sont ainsi capables de cibler précisément les éléments critiques tout en restant invisibles dans le système d'information pendant parfois plusieurs semaines. Une fois les systèmes visés atteints, l'attaquant peut alors décider de lancer l'attaque et il est déjà trop tard. 

Quelles sont les cibles des ransomwares ?

Aujourd'hui toutes les entreprises et organisations sont la cible des ransomwares. Les récentes attaques divulguées dans la presse montrent que n'importe quel secteur peut être visé, qu'il s'agisse de PME ou de grands groupes. Toutefois, les hackers semblent avoir ces derniers temps des préférences pour les infrastructures de santé et hospitalières. Les attaques ransomware sont de plus en plus médiatisées. Les dernières ont touché, entre autres, les hôpitaux de Corbeil-Essonnes et de Charleville-Mézières avec des conséquences sérieuses allant de la diffusion de données patients à l'interruption de certains services. On a également eu plusieurs exemples de services publics visés. Par exemple, avec le département de la Seine-Maritime en France ou les parlements slovaque et polonais. Dans chacune de ces attaques, les ransomwares provoquaient des interruptions des services assurés par ces entités. Comme l'assurent depuis déjà plusieurs années les différentes instances, personne n'est épargné par les ransomwares.

Quelle est la fréquence des ransomwares ?

Le nombre d’attaques ransomware visibles dans la presse explose. Cela traduit que la fréquence des attaques augmente, elle aussi, considérablement. Mais plus que le nombre d'attaques, qu'il reste difficile de chiffrer face aux différentes études réalisées, c'est la propension des acteurs malveillants à viser plusieurs fois les mêmes entreprises qui doit être prise au sérieux. D'après l'étude menée par Hiscox et Forrester, 36% des entreprises qui avaient été frappées par un ransomware et qui avaient payé la rançon ont été à nouveau attaquées. Ainsi, même après avoir été ciblées, les entreprises ne peuvent pas se reposer sur leurs lauriers. Les mesures de remédiations et de protection face aux ransomwares doivent sans cesse être renforcées et améliorées. 

Quelques exemples de ransomwares

Pour pouvoir se défendre, mieux vaut connaître ses attaquants, et surtout leurs armes. En analysant le fonctionnement des ransomwares, les entreprises tout comme les offreurs peuvent acquérir des bases tactiques solides sur les techniques et les exploits utilisés par les acteurs malveillants, et ainsi mieux se protéger. Voici donc quelques exemples.

LockBit : le ransomware le plus actuel

C’est probablement un de ceux dont on entend le plus parler en ce moment. Le ransomware LockBit est un logiciel malveillant conçu pour bloquer l'accès des utilisateurs aux systèmes informatiques et lever le blocage en échange d'une rançon. LockBit analyse automatiquement les ressources importantes, propage une infection et chiffre tous les systèmes informatiques accessibles d'un réseau. Ce ransomware est utilisé pour les attaques hautement ciblées à l'encontre d'entreprises et autres organismes importants qui sont souvent menacés de voir leurs informations sensibles publiées sur le Darknet. 

CryptoLocker : quand votre suivi FedEx ou UPS est contaminé

Il s'agit de l'un des premiers ransomwares de la génération actuelle qui exigeait un paiement en crypto-monnaie (Bitcoin) et chiffrait les disques de l'utilisateur et les lecteurs réseau connectés. Cryptolocker s'est propagé par le biais d'un e-mail contenant une pièce jointe qui prétendait être une notification de suivi de FedEx et UPS. Si un outil de déchiffrement a été publié pour contrer le ransomware, divers rapports suggèrent que plus de 27 millions de dollars ont été extorqués par CryptoLocker à ce jour.

NotPetya : le ransomware qui fait le plus de dégâts

Considéré comme l'une des attaques de ransomware les plus dommageables, NotPetya a exploité les tactiques de son homonyme, Petya. Les méthodes employées par ces ransomwares sont notamment l'infection et le chiffrement de l'enregistrement des systèmes Microsoft Windows. NotPetya a exploité la même vulnérabilité que WannaCry pour se propager rapidement, exigeant un paiement en bitcoins pour annuler les modifications. Il a été classé par certains comme un wiper, car NotPetya ne peut pas annuler les modifications apportées au disque de démarrage principal et rend le système cible irrécupérable.

Bad Rabbit : la mise à jour du lecteur Flash devient un drame

Bad Rabbit est un ransomware considéré comme un cousin de NotPetya, utilisant un code et des exploits similaires pour se propager. Ce malware semblait cibler la Russie et l'Ukraine, touchant principalement les entreprises de médias de ces pays. Contrairement à NotPetya, Bad Rabbit permettait le déchiffrement si la rançon était payée. La majorité des cas indiquent qu'il s'est propagé par le biais d'une fausse mise à jour du lecteur Flash, qui peut avoir un impact sur les utilisateurs par le biais d'une attaque par drive by.

REvil : le ransomware qui s’infiltre dans le logiciel de gestion

REvil est l'œuvre d'un groupe d'attaquants motivés par des raisons financières. Il exfiltre les données avant de les crypter, de sorte que les victimes ciblées peuvent être contraintes de payer si elles choisissent de ne pas envoyer la rançon. L'attaque provient d'un logiciel de gestion informatique compromis, utilisé pour corriger les infrastructures Windows et Mac. Les attaquants ont compromis le logiciel Kaseya utilisé pour injecter le ransomware REvil dans les systèmes des entreprises.

Ryuk : l’association du phishing et des ransomwares

Ryuk est une application ransomware distribuée manuellement, principalement utilisée dans le cadre du spear-phishing. Les cibles sont soigneusement choisies par reconnaissance. Des messages électroniques sont envoyés aux victimes choisies, et tous les fichiers hébergés sur le système infecté sont alors chiffrés.

L'impact des ransomwares sur l'activité

L'impact des ransomwares sur l'activité d'une entreprise est colossal. Bien évidemment, il y a d'abord l'impact sur le fonctionnement direct des services de l'entreprise. Qu'il s'agisse de cryptolockers ou de screen lockers, s'ils frappent des services vitaux de l'entreprise, celle-ci ne peut tout simplement plus fonctionner. Le ransomware impacte donc aussi bien les résultats financiers que l’ image d’entreprise auprès des clients et partenaires. L'exemple de Colonial Pipeline est sûrement un des plus flagrants. L'interruption complète des activités du service de transport de carburant par l'opérateur américain a directement entraîné des pénuries, obligeant les compagnies aériennes à revoir leurs plannings de vol sur certains aéroports. Le FBI a finalement pu récupérer une grande partie des 4,4 millions de dollars de rançon payés en bitcoin. Toutefois, l'impact financier de cette interruption de service par ransomware s'est chiffré en plusieurs millions de dollars pour Colonial Pipeline. 

Au-delà de ces aspects évidents, il faut aussi prendre en compte les impacts humains sur les employés de l'entreprise ciblée. L'expérience d'une attaque par ransomwares peut être très vite traumatisante pour les équipes qui, du  jour au lendemain, se retrouvent privées de leur outil de travail et ne savent pas quand elles vont pouvoir le récupérer.

Comment se protéger des ransomwares ?

Aujourd'hui, se protéger contre les ransomwares demande d'adhérer à un ensemble de bonnes pratiques et de technologies capables de fonctionner de concert. Le temps où la sécurité périmétrique régnait seule en maître sur la sécurité du SI doit absolument être révolue. La protection contre les ransomware doit ainsi s'appliquer à l'ensemble du SI et de l'organisation de l'entreprise, notamment ses salariés. Voici une liste des bonnes pratiques technologiques et managériales pour se protéger des ransomwares:

Segmenter le système informatique

Dans la lutte contre les ransomwares, la microsegmentation, dans le cloud et sur site devient un "must have". En permettant d'isoler logiquement les différents assecs critiques du système d'information, elle permet d'éviter que les attaques puissent se propager horizontalement. 

Faire des scans de vulnérabilité réguliers

Tous les jours, les chercheurs en cybersécurité et les acteurs malveillants découvrent de nouvelles failles qui peuvent être exploitées pour lancer et diffuser des ransomwares. Il est donc primordial de scanner son SI pour pouvoir détecter au moins les failles connues et prendre les mesures nécessaires pour les colmater.

Maintenir ses logiciels à jour

Dans la lignée du point précédent, il est important de maintenir les logiciels à jour. Les éditeurs et les fabricants intègrent fréquemment les correctifs aux failles connues dans les mises à jour de leurs produits. Trop souvent encore, des attaques réussissent en s'appuyant sur des systèmes anciens qui n’ont pas été mis à jour. Il faut toutefois rester vigilant et s’assurer de passer par le logiciel officiel pour faire les mises à jour. En effet, certains ransomwares utilisant cette voie pour s’infiltrer dans les systèmes

Protéger et isoler les sauvegardes

S'assurer d'avoir des sauvegardes isolées et protégées des ransomwares permet aux entreprises de ne pas payer les rançons et de restaurer rapidement les données qui auraient été chiffrées par les cryptolocker. L'usage d'un stockage WORM (Write Once, Read Many) permet également d'éviter que les logiciels malveillants puissent réécrire les données stockées et sauvegardées. 

Sensibiliser et protéger vos collaborateurs

Les infections par les ransomware se propagent en premier lieu par les extrémités du SI. Il faut donc adopter des solutions pour protéger les endpoint, aussi bien les ordinateurs que les mobiles et surtout les emails des collaborateurs. Une grande partie des attaques ransomware ayant frappé les entreprises se sont appuyées sur le phishing pour réussir. L'adoption d'une hygiène de sécurité irréprochable permet déjà de se prémunir d'un grand nombre d'attaques.

Tester ses RPA et PRA

L'éventualité d'une attaque réussie étant malheureusement très élevée, il faut avoir un plan de reprise et de continuité des activités solide et surtout testé. Trop souvent, des entreprises se sont reposées sur des PRA qui fonctionnaient en théorie, mais qui, ont fait faux bond au moment où elles en avaient le plus besoin car ils n’avaient pas été testés en conditions réelles.

Faut-il se protéger contre les ransomwares ?

La question peut paraître étrange tant le portrait que nous dressons de la menace semble alarmiste. Cependant, certaines entreprises se la posent encore, ou du moins, elles se demandent si les investissements demandés sont vraiment nécessaires. Cela se comprend car il reste encore difficile de mesurer précisément l'impact d'une attaque ransomware. La réponse est évidente : oui, il faut prendre la menace au sérieux et se protéger. Surtout, il ne faut pas se dire qu'en cas d'attaque, il faudra juste payer la rançon. Le versement de cette dernière n'est absolument pas une certitude de remédiation. Pire encore, payer la rançon ne signifie pas que vous ne serez pas attaqué par un nouveau ransomware. 

Que faire après une attaque ransomware ?

Comme dit plus haut, la potentialité de subir une attaque ransomware est quasiment assurée au regard du nombre d'attaques. C'est pourquoi il faut avoir un plan clair sur ce qu'il faut faire en cas d'attaque. Voici les  principales étapes à suivre.

Circonscrire l'attaque

Dès l'attaque détectée, il faut, dans la mesure du possible, isoler les éléments infectés. Cela évite que l’attaque ransomware ne puisse se propager plus loin. Dans les cas les plus extrêmes, certains sont même allés jusqu'à directement débrancher les switchs réseau pour empêcher la propagation. Les solutions de microsegmentation permettent en général d'isoler rapidement les éléments qui peuvent être touchés. 

Alerter les autorités

Cette étape qui est devenue une obligation légale doit se faire le plus rapidement possible. Il faudra, lors de cet appel, préciser quelles sont les données qui ont pu être impactées ou dérobées. Par ailleurs, les organismes tels que l'ANSSI ou Cybermalveillance.gouv en France peuvent également dépêcher des équipes et accompagner les entreprises touchées grâce à la solide expérience qu'ils ont acquise ces dernières années.

Ne pas payer la rançon

Tant que possible, il faut temporiser avec les hackers et ne pas payer la rançon en cas d’attaque ransomware. Comme évoqué plus haut, le paiement de celle-ci, en échange d'une récupération des données ou pour éviter la diffusion de celles-ci, ne garantit absolument que les promesses faites seront tenues. Par ailleurs, le paiement de la rançon ne fait qu'encourager les hackers à continuer.

Enquêter pour trouver le point d’entrée du ransomware

Avant de penser à redémarrer un SI, il faut comprendre comment celui-ci a été infecté, à quel moment et quels sont les actifs qui sont touchés par le ransomware. Il est primordial d'avoir ces informations pour pouvoir sereinement préparer la reconstruction du SI. Il faut s’assurer:

• de ne pas restaurer des éléments encore infectés, 
• mais également de savoir quelles parties du SI peuvent être redémarrées sans avoir à être restaurées, ce qui limite considérablement la charge et accélère les temps de redémarrage.

Tant que possible, on évitera d'avoir à restaurer tout le SI et de se concentrer sur les parties endommagées par les ransomwares.

Reconstruire et restaurer

Une fois la phase d'enquête terminée, les entreprises peuvent se lancer dans la remise en place de leurs systèmes d'information. Si leur Plan de reprise après sinistre (PRA) est prêt et fonctionnel, les entreprises peuvent s'appuyer dessus. Celui-ci permet de restaurer les parties du SI impactées et débarrassées de toutes traces de ransomware. Dans d'autres cas, il faudra peut-être repenser une toute nouvelle architecture.

En somme, la menace ransomware ne peut plus être ignorée

La conclusion de notre analyse est que la menace ransomware ne peut aujourd'hui plus être ignorée. Non seulement les entreprises doivent se protéger contre les malwares, mais elles doivent également s'assurer d'être prêtes dans le cas où elles seraient frappées. Une bonne protection contre les ransomwares ne permet pas d'éliminer tous les risques. Cependant, certains éléments laissent espérer que l'impact des attaques peut être minimisé. Par ailleurs, l'état de la menace n'est pas figé. Tous les jours, les hackers cherchent de nouvelles failles et de nouvelles techniques à exploiter pour arriver à leurs fins. La lutte contre les ransomwares doit donc être un travail qui se fait sur la longueur. Les entreprises doivent réviser constamment leur posture de sécurité, mais aussi toujours avoir un plan prêt à être exécuté en cas d'attaque ransomware.