Le rançongiciel est un type spécifique de logiciel malveillant qui verrouille les fichiers sur vos ordinateurs, à moins qu’une rançon ne soit payée. Généralement, le rançongiciel est téléchargé par des pièces jointes de courriel et peut même être intégré dans des documents Office courants. Lorsque l’utilisateur peu méfiant ouvre le fichier, le logiciel malveillant chiffre les fichiers de l’utilisateur et les remplace par des notes de rançon.
Une autre méthode très courante pour infecter les systèmes et les réseaux avec des rançongiciels est l’exploitation à distance. Dans ce cas, un pirate utilise soit un défaut du système (habituellement dû au fait de ne pas appliquer les mises à jour) ou en se connectant avec des protocoles de bureau à distance en utilisant des mots de passe volés. Une fois à l’intérieur, l’attaquant lancera simplement le rançongiciel et le laissera se propager.
Ces rançons peuvent aller de quelques centaines de dollars à des millions. Dans certaines anciennes variantes de rançongiciels, le chiffrement était réversible sans acheter les clés de déchiffrement. Malheureusement, ce n’est plus habituellement le cas. Vos options sont généralement (1) payer la rançon et déchiffrer vos fichiers, (2) restaurer les ordinateurs de la sauvegarde ou (3) perdre vos données pour toujours.
Cycle de vie d’une attaque par rançongiciel
Au cours des six derniers mois, nous avons observé que les attaques par rançongiciels deviennent de plus en plus variées et beaucoup plus dommageables. Dans la grande majorité des réclamations de rançongiciels que nous voyons, il n’y a aucun moyen technique par lequel la victime peut récupérer ses données sans payer une rançon. Simultanément, les demandes de rançons ont grimpé en flèche, passant de centaines de milliers de dollars à des centaines de milliers de dollars, et même plus d’un million de dollars dans certains cas.
Les techniques criminelles changent également, les criminels rassemblant maintenant des informations de ciblage dans les pré-attaques contre les cibles, multipliant l’impact de l’activation du rançongiciel. Voici un exemple de cycle de vie moderne d’un rançongiciel :
-
L’employé reçoit un courriel contenant une pièce jointe malveillante
-
L’employé télécharge la pièce jointe et y accède
-
Les logiciels malveillants infectent l’ordinateur de l’employé au moyen de la pièce jointe malveillante
-
L’acteur de menace se déplace dans l’ordinateur de l’employé et dans le réseau de l’entreprise où le logiciel de rançongiciel est déployé
-
Tous les fichiers sur le réseau de l’entreprise sont chiffrés et déclenchent des notes de rançon
Troies bancaires
De plus en plus populaire en 2018, de nombreuses infections par rançongiciels installent également un « cheval de Troie bancaire » sur le système avant la charge utile du rançongiciel. Un cheval de Troie bancaire est un type de programme informatique malveillant qui accorde à l’acteur malveillant l’accès à l’information sur un système. Les capacités typiques des chevaux de Troie bancaires peuvent comprendre la collecte de tous les mots de passe réseau d’un système, la saisie des mots de passe stockés par les navigateurs Web, l’interception du trafic réseau, le vol des informations d’identification bancaires saisies par un utilisateur final, la saisie des informations d’identification et des données des clients de courriel et la diffusion dans un environnement client similaire à un ver. Bon nombre de ces chevaux de Troie sont de nature polymorphe, ce qui signifie qu’ils changent constamment et qu’ils sont très difficiles à détecter et à éradiquer par des méthodes antivirus typiques. La prévention est la meilleure méthode pour traiter avec ces chevaux de Troie.
Éviter les rançongiciels
Il est difficile de prévenir tous les types de logiciels malveillants. Cependant, il existe plusieurs pratiques exemplaires que nous pouvons suivre pour éviter ces types d’attaques et nous en remettre :
-
Éduquer les employés – Il existe quelques pratiques exemplaires simples que les employés peuvent suivre et qui réduiront considérablement les risques d’infection de votre réseau par des logiciels malveillants.
-
Exécuter un logiciel anti-logiciel malveillant - Cela peut sembler évident, mais il est essentiel d’exécuter des produits anti-logiciel malveillant à jour. Bien qu’il ne s’agisse pas d’une solution à 100 %, ces produits sont conçus spécifiquement pour vous aider à éviter les infections par des logiciels malveillants.
-
Appliquer vos mises à jour - Les vulnérabilités des logiciels du système sont l’une des façons dont les pirates peuvent installer et propager des rançongiciels. Lorsque des mises à jour de sécurité sont disponibles pour votre système d’exploitation ou votre logiciel, vous devez les appliquer dès que possible (ou conformément à votre politique de sécurité informatique). Cela s’applique aux postes de travail, aux ordinateurs portables et aux serveurs.
-
Conserver et tester les sauvegardes - Utilisez un service de sauvegarde réputé pour sauvegarder tous vos fichiers importants. De nombreux fournisseurs de services infonuagiques offrent des services pour détecter et récupérer vos fichiers après une attaque par rançongiciel, mais vous devez toujours tester cette capacité avant d’en avoir besoin.
-
Conserver les sauvegardes hors ligne - Si votre principal moyen de sauvegarde est un autre ordinateur (p. ex., un serveur de sauvegarde) ou un disque dur amovible, il est possible que ces appareils soient également accessibles à distance et supprimés ou chiffrés. S’il s’agit de la méthode de sauvegarde que vous avez choisie, conservez toujours des sauvegardes hors ligne périodiques (c.-à-d., retrait du lecteur après la sauvegarde, sauvegarde sur le lecteur DVD/de pouce, etc.). Les supports de sauvegarde doivent également être stockés de façon sécuritaire.
-
Adhérer au « privilège le moins important » - Le privilège le moins important signifie permettre uniquement l’accès minimum requis à un système. Avez-vous besoin d’un accès d’administrateur à votre ordinateur en tout temps? Vos employés le font-ils? La réponse est probablement « non ». Créez des comptes d'administrateur spécifiques au besoin et utilisez-les uniquement lorsque vous en avez besoin. Cela aidera à contenir la propagation et l’impact de tout logiciel malveillant sur vos réseaux.
-
Bloquer les macros dans les documents Office - Avez-vous besoin de macros dans Word ou Excel? Probablement pas. Si c’est le cas, désactivez l’exécution des macros pour prévenir les attaques basées sur des documents comme nous l’avons vu précédemment. Si vous avez besoin de macros, consultez la signature de macros et n’autorisez que les macros de confiance/signées.
Les rançongiciels sont devenus l’un des plus grands risques de cybersécurité pour les entreprises de toutes tailles. Bien qu’il n’y ait pas de solution raisonnable à 100 %, les recommandations ci-dessus réduiront la probabilité d’infection tout en aidant à assurer un rétablissement rapide en cas d’attaque réussie.
Pour obtenir de plus amples renseignements techniques à ce sujet, veuillez lire la section Sécuriser votre entreprise contre les rançongiciels ou communiquer avec nous; nous sommes là pour vous aider!