Les attaques de ransomwares sont devenues une menace majeure pour les entreprises. Selon le rapport de Sophos, éditeur de solutions de cybersécurité, 74% des entreprises interrogées déclarent avoir été touchées.
Il existe actuellement près de 70 groupes de ransomwares actifs. Grâce à cela, les cybercriminels s’infiltrent dans les systèmes, dérobent ou scriptent les données, avant de demander une rançon parfois vertigineuse aux organismes pour les récupérer.
Toutes les entreprises sont exposées, de la TPE aux grands groupes, ces pirates informatiques n’ont aucun scrupule. Quelles sont les conséquences d’une attaque de ransomware?
1- Quelle est la définition d’un ransomware ?
Le nombre de victimes d’attaques par ransomware a augmenté de 128,17 % d’après une étude Ransomlooker. Mais qu’est-ce qu’un ransomware ?
Qu’est-ce qu’un ransomware?
Un ransomware est un type de logiciel malveillant conçu pour dérober ou crypter des fichiers de données, voire verrouiller un système. Le malware les rend inutilisables ou inaccessibles à l’entreprise. Ensuite, le pirate informatique exige une rançon en échange de la clé de décryptage ou de la restauration de l’accès aux données.
Une attaque par ransomware se fait en plusieurs étapes :
- Infection des systèmes d’information par différents moyens ;
- Vol, verrouillage et/ou chiffrement des données : le logiciel chiffre ou verrouille les fichiers importants sur l’ordinateur ou le réseau de l’entreprise (base de données, applications, etc) ;
- Demande de rançon : le cybercriminel exige de l’entreprise qu’elle paie une forte somme, souvent via cryptomonnaie pour une transaction anonyme, en échange de la clé de décryptage ou de la restauration des données.
Quels sont les principaux logiciels de ransomware ?
Il existe différents types de ransomwares aux conséquences différentes mais toujours très lourdes pour l’entreprise piratée :
- Les crypto-ransomwares : ces malwares chiffrent les fichiers de données d’un système pour rendre le contenu inaccessible. La clé de chiffrement est transmise en échange d’une rançon.
- Les lockers : le ransomware interdit l’accès à votre ordinateur en le verrouillant. Un écran de verrouillage affiche la demande de rançon.
- Les scarewares : ce faux logiciel indique à l’utilisateur que son ordinateur a été infecté par un virus, ce qui est faux. Les pirates exigent alors de l’entreprise un paiement pour résoudre le problème. Certains scarewares verrouillent l’ordinateur, parfois de nombreuses fenêtres pop-up envahissent l’écran mais sans endommager les fichiers.
- Les doxwares : ce logiciel permet de faire chanter les victimes en les menaçant de divulguer des données sensibles, personnelles ou professionnelles.
3 exemples de ransomwares
Il existe de nombreux rançongiciels. Prenons quelques exemples de ransomwares :
Lockbit ransomware
Lockbit ransomware est dominant puisque 39 % des attaques ont perpétrées avec ce logiciel.
Comment fonctionne-il ?
Il s’agit d’un crypto-ransomware puisqu’il exige une rançon en échange d’un déchiffrement. Lockbit se démarque toutefois des autres attaques par ransomware reposant sur une intrusion manuelle dans le réseau. En effet, ses attaques se propagent automatiquement.
Akira ransomware
Le ransomware Akira est particulièrement actif depuis décembre 2023.
Comment fonctionne-il ?
Ce logiciel malveillant chiffre les données des serveurs et efface les données du NAS. C’est-à-dire que non seulement les cybercriminels cryptent les fichiers, mais qu’ils suppriment aussi les sauvegardes, de façon à acculer les victimes à payer les rançons. Pour y échapper il est nécessaire d’avoir des sauvegardes hors ligne protégées contre les accès physiques non autorisés.
Wannacry ransomware
Wannacry ransomware est un autre exemple de crypto-ransomware.
Comment fonctionne-il ?
Ce ransomware cible les ordinateurs utilisant le système d’exploitation Microsoft Windows. Classiquement, les données sont chiffrées et le paiement d’une rançon en bitcoin est exigée. En 2017 une attaque mondiale a entraîné une véritable épidémie. L’utilisation de systèmes informatiques obsolètes et le manque de mises à jour des logiciels ont entraîné de gros dégâts chez nombre d’entreprises.
2- Comment arrive un ransomware ?
Comment les criminels parviennent à infecter les réseaux informatiques ? Quelles sont leurs méthodes ?
Voici les principales méthodes utilisées par les cybercriminels pour faire pénétrer ces malwares dans les systèmes :
Le phishing ou hameçonnage
👉 Selon le rapport Verizon, le hameçonnage représente près de 36 % de toutes les violations de données.
Or, le phishing est l’une des méthodes les plus fréquemment utilisées pour propager des ransomwares. Il s’agit de messages frauduleux envoyés par e-mail, par SMS ou sur les réseaux sociaux. Les messages adoptent tous les codes pour sembler provenir d’une source légitime comme une banque, les impôts, l’urssaf, etc.
Ces messages contiennent le plus souvent :
- Des liens malveillants : lorsque l’on clique dessus, le téléchargement du ransomware se déclenche.
- Des pièces jointes infectées : les fichiers en PDF, Word ou Excel téléchargent le logiciel malveillants dès qu’elles sont ouvertes par l’utilisateur.
L’exploitation des failles logicielles par les ransomware
Les ransomwares peuvent exploiter des failles de sécurité dans des logiciels non mis à jour ou des systèmes d’exploitation vulnérables.
Ils exploitent notamment les vulnérabilités dans les systèmes d’exploitation (comme Windows, macOS ou Linux) ou dans des logiciels comme des navigateurs, des plugins, des applications, etc. Les pirates informatiques exploitent les failles pour propager l’infection.
📝 Par exemple : un ransomware s’est infiltré dans des milliers de systèmes via le logiciel VMware ESXi. Une faille de sécurité a été exploitée. Celle-ci était connue mais les mises à jour n’avaient pas été faites.
Les ransomwares peuvent également infecter un ordinateur car un salarié a téléchargé un logiciel piraté ou a surfé un site web compromis. Attention également aux clés usb ou aux disques durs externes contaminés. Le travail à distance a également favorisé la propagation de ransomwares via des connexions non sécurisées.
Quels sont les impacts d’une attaque de type ranwomware ?
La France est au 5ème rang mondial des attaques par ransomware. Or, nous l’avons vu, l’objectif des pirates informatiques qui lancent une attaque de ransomware est d’obtenir une rançon. Ces piratages peuvent avoir des effets catastrophiques sur un organisme en termes financiers, organisationnels et d’image sur le marché.
Les pertes financières consécutives au ransomware
Si l’entreprise décide de payer la rançon demandée pour récupérer ses accès, la conséquence financière peut être retentissante.
Au niveau monde, 56% des entreprises victimes de cyberattaque ont payé la rançon pour récupérer des données chiffrées. Ce chiffre passe à 71% lorsque le malware a exploité des vulnérabilités du système. Les chiffres concernant le montant de la rançon exigée varient selon les études, l’étude Sophos l’évalue à une moyenne de … 4 millions de dollars.
Il semblerait qu’il faille relativiser ce montant faramineux. En France, dans 64 % des cas, la demande de rançon ne dépasse pas les 10 000 € et 6 % d’entre elles seulement dépasseraient 100 000€.
Cependant les pertes financières ne se limitent pas au paiement de la rançon puisqu’il faut compter :
- la perte engendrée par l’impossibilité d’accéder aux fichiers, ce qui peut complètement paralyser une entreprise ou à minima ralentir son activité ;
- les coût de recouvrement suite à une attaque: coût de l’intervention d’experts, coût des outils pour restaurer correctement le système, ainsi que la réparation des éventuels dégâts causés sur le système d’information et les équipements ;
- les coûts indirects liés à des actions en justice ou des amendes des autorités de contrôle en cas de non-conformité : c’est le cas quand il y a vol ou perte des données en violation du RGPD.
🛑 Une analyse de Bessé et G.P. Goldstein montre que le risque de défaillance de l’entreprise augmente d’environ 50% dans les 6 mois qui suivent l’annonce de l’incident. Si l’entreprise est déjà en difficulté, un tel évènement peut la conduire à mettre la clé sous la porte.
La dégradation de l’image de l’entreprise à cause d’un ransomware
Une attaque, notamment si elle a utilisé des failles de sécurité et que des vols de données sont à déplorer, a des répercussions négatives sur la réputation de l’entreprise ou de l’organisme (collectivité locale, service public, ONG, etc).
En effet, si une entreprise subit une attaque de ransomware, cela peut être interprété comme un signe d’insuffisance des mesures de cybersécurité. Un défaut de confiance de la part des clients ou des partenaires peut survenir suite à une telle attaque.
Lorsque l’attaque est médiatisée, l’entreprise peut être perçue comme vulnérable, voire irresponsable. Tout dépend également de comment l’entreprise gère la situation de crise et quelle est sa communication sur le sujet. Sous-estimer la gravité de l’attaque, tenter de la masquer ou de minimiser l’incident aura tendance à créer un sentiment d’insécurité et pourrait nuire à sa crédibilité.
Conclusion ransomware
Une cyberattaque par ransomware constitue toujours un coût pour l’entreprise. Un coût financier mais aussi un coup pour la réputation de l’entreprise.
Ces attaques, proche du harcèlement, sont également susceptibles de générer un stress très important, notamment parmi les équipes des petites entreprises. La sensation de vulnérabilité peut s’avérer particulièrement difficile à accepter.
Il existe cependant des solutions pour limiter ces risques d’attaque : sensibiliser les salariés à la cybersécurité, effectuer les mises à jour logicielles régulières, réaliser des sauvegardes sur supports physiques, etc.
![Illustration 1 [ECOMMERCE] : 3 bonnes raisons et 3 étapes pour se lancer !](https://www.stephanealligne.com/wp-content/uploads/2020/02/ob_930b04_illustration-article-ecommerce-500x484.jpeg)
