Qu'est-ce qu'un ransomware ? Exemples, prévention et détection

Les attaques par ransomware sont en augmentation, avec plus de 5 414 attaques subies par des organisations à travers le monde en 2024, soit une augmentation de 11 % par rapport à l'année précédente. Cette escalade est due au phishing, aux kits d'exploitation et aux services cloud vulnérables que les criminels exploitent pour mener leurs activités frauduleuses. Les petites et grandes entreprises sont exposées à des risques d'infiltration, de perte de données et d'interruption prolongée de leurs activités, ce qui entraîne des pertes considérables. Il est donc important que les entreprises améliorent leur compréhension des ransomwares et développent des contre-mesures pour se prémunir contre les attaques de ce type.

Dans cet article, nous définirons ce qu'est un ransomware et en quoi il représente une menace pour les entreprises. Nous aborderons ensuite les implications pour les organisations, expliquerons l'histoire des ransomwares et décrirons les différents modes d'infection. Dans cette section, vous découvrirez les différents types de ransomwares et les techniques utilisées par les cybercriminels, ainsi que des exemples de ransomwares issus de cas célèbres. Enfin, nous discuterons de ce qu'est une attaque par ransomware, nous donnerons des conseils pour prévenir les attaques par ransomware et nous expliquerons comment SentinelOne améliore chacun de ces aspects.lt;/p>

Qu'est-ce qu'un ransomware ?

Un ransomware est un type de logiciel malveillant qui verrouille ou crypte les fichiers d'une victime, puis exige qu'elle paie pour obtenir la clé de décryptage. La définition du ransomware s'est diversifiée pour inclure des simples verrous d'écran jusqu'aux cryptosophistiqués les plus récents qui volent des données de manière systématique, puis menacent de divulguer ces informations. Le demandes de rançon mondiales en 2024 ont été estimées à 2,73 millions de dollars en moyenne, ce qui a placé les entreprises dans un dilemme : perdre leurs données ou payer une somme considérable.

L'infiltration est un acte agressif par lequel l'attaquant exploite une faiblesse du logiciel cible ou les habitudes de ses utilisateurs. En termes simples, la définition du ransomware inclut une menace perturbatrice qui non seulement paralyse les opérations de l'organisation, mais érode également la confiance des consommateurs. Pour définir efficacement un ransomware, il faut comprendre son impact, depuis l'infiltration initiale jusqu'aux différents niveaux de cryptage. Passons donc à la section suivante.

Impact des ransomwares sur les entreprises

Une seule attaque par ransomware peut causer des dommages importants à une organisation : arrêt de la production, verrouillage des données dans les bases de données ou empêchement des employés d'accéder aux applications. Le montant moyen des rançons a augmenté, ce qui indique que les criminels sont désormais plus sûrs d'obtenir des paiements importants. Qu'il s'agisse d'une fuite d'informations sur les clients ou d'une panne paralysant les opérations commerciales, l'impact dépasse les simples pertes financières. Voici quatre pertes importantes que subissent les entreprises lorsqu'elles sont victimes d'attaques par ransomware :

1. Perturbation des opérations : Lorsque des fichiers ou des serveurs critiques sont verrouillés, le personnel ne peut plus travailler sur les ventes aux clients, les dossiers des employés ou les applications de gestion de la chaîne d'approvisionnement, et les chaînes de production sont à l'arrêt. Toute interruption, aussi minime soit-elle, entraîne des retards dans les commandes ou l'annulation de services, ce qui se traduit par une perte de confiance de la part des clients. La récupération après une attaque par ransomware peut prendre plusieurs jours, voire plusieurs semaines, si les sauvegardes sont obsolètes ou si les données sont également cryptées. Ce retard peut entraîner une grave atteinte à la réputation et des pertes ou des déficits de revenus.
2. Perte de données et divulgation des violations : Les récentes attaques par ransomware ont également tendance à inclure le vol de données. Dans ce scénario, les attaquants exigent de l'argent aux organisations ciblées en échange de la non-divulgation de certaines informations sur les clients ou les partenaires. En cas de fuite, des réglementations en matière de divulgation obligatoire peuvent entrer en jeu, ce qui peut entraîner des mesures réglementaires et des sanctions. La combinaison des scénarios d'infiltration et de fuite publique illustre les menaces potentielles que peuvent représenter les ransomwares./li>
3. Préjudice financier et atteinte à la réputation : Outre la perte financière directe sous forme de rançon, ces cyberattaques peuvent entraîner des frais élevés liés aux analyses judiciaires, à la reconstruction des systèmes et, dans certains cas, à des recours collectifs. Les clients peuvent se tourner vers d'autres entreprises qui ne connaîtront peut-être pas les mêmes problèmes à l'avenir, et les investisseurs peuvent douter de la capacité des dirigeants à gérer les risques. Pour empêcher une telle infiltration, les assureurs peuvent choisir d'augmenter les taux de prime, voire d'annuler les polices d'assurance. En fin de compte, la reconstruction d'une image de marque endommagée prend du temps, parfois même des années.
4. Érosion de la confiance des parties prenantes et des clients : Une fois une violation détectée, les membres du conseil d'administration, l'autorité de régulation ou les clients clés, entre autres, commenceront à douter du niveau de sécurité. Le manque de confiance coûte cher et peut entraîner la résiliation du contrat ou des exigences plus strictes de la part du partenaire. Pour les rassurer, il faut fournir la preuve de meilleurs contrôles, d'une surveillance continue et, enfin et surtout, d'une formation adéquate du personnel. Lorsqu'une organisation investit dans un ransomware puissant en matière de cybersécurité, elle crée encore plus de sécurité à long terme.

Histoire des ransomwares

Les origines des ransomwares remontent à de simples chevaux de Troie extorqueurs apparus à la fin des années 1980, jusqu'aux attaques plus sophistiquées basées sur le chiffrement. Ces attaques ont évolué au fil des ans et, grâce à des techniques de chiffrement sophistiquées et à des stratégies furtives, sont devenues l'une des principales menaces dans le monde de la cybercriminalité. Dans les sections suivantes, nous identifions quatre étapes pour montrer comment les criminels ont fait évoluer leurs stratégies.

1. Le cheval de Troie PC Cyborg (fin des années 1980) : Développé en 1989, le " cheval de Troie AIDS " ou " PC Cyborg " infectait l'ordinateur, puis exigeait un paiement pour rétablir son fonctionnement. Il s'agit du premier cas répertorié qui a changé la définition d'une attaque par ransomware : un logiciel qui crypte des données spécifiques et exige un paiement. Bien que relativement rudimentaire au regard des définitions actuelles, il a jeté les bases conceptuelles de l'extorsion moderne. Le vecteur d'attaque était assez simple : le virus se propageait via des disquettes infectées remises aux participants d'une conférence.
2. Les ransomwares chiffrants (début des années 2000) : Des types de ransomware plus sophistiqués sont apparus au début des années 2000, qui cryptaient les données à l'aide d'algorithmes modernes tels que RSA ou AES. Ces exemples de ransomware étaient difficiles à éviter car la détection par les antivirus était lente. Les attaquants exigeaient le paiement par les premiers moyens numériques ou par virement bancaire, ce qui rendait difficile le suivi de l'argent par les forces de l'ordre. Cela a conduit au développement d'autres formes de menaces pour la sécurité, et les experts en sécurité ont commencé à les désigner par des termes tels que "crypto-ransomware ", associés à des algorithmes complexes.
3. Nouvelles méthodes d'extorsion : Les années 2010 ont vu une augmentation des techniques utilisées pour commettre ces crimes, notamment le WannaCry en 2017. Cette attaque de type ver a paralysé des hôpitaux et des entreprises à travers le monde en quelques heures. Les cybercriminels ont utilisé des exploits volés à la NSA pour montrer que même les plus puissants peuvent créer des vagues incessantes d'attaques par ransomware. De plus, le RaaS (Ransomware as a Service) a vu le jour, permettant aux nouveaux venus de se lancer dans cette activité sans aucune expérience.
4. Double extorsion et utilisation géopolitique (des années 2020 à 2025) : Aujourd'hui, les cybercriminels volent d'abord des données, puis menacent de les rendre publiques si leurs demandes ne sont pas satisfaites, ce qu'on appelle la double extorsion. Cela amène les organisations à prendre en compte les coûts qu'elles pourraient encourir en cas de fuite de données, même si elles disposent de sauvegardes. Cependant, les campagnes parrainées par des États utilisent parfois les ransomwares à des fins d'espionnage ou de destruction, ce qui rend difficile la distinction entre les objectifs financiers et politiques. Actuellement, les menaces sont encore plus sophistiquées qu'auparavant en raison de l'utilisation de la furtivité, de l'IA et d'outils très spécifiques.

Comment les ransomwares se propagent-ils ?

L'explication de la signification du terme " voie d'infection par ransomware " montre qu'il existe plusieurs façons pour un ransomware d'infiltrer un système, allant des e-mails de spam avec des fichiers joints aux solutions cloud compromises.

Les cybercriminels adaptent leurs stratégies aux vulnérabilités de chaque cible, telles que des serveurs non sécurisés ou des employés crédules. Voici cinq façons dont les criminels diffusent le code des ransomwares et l'intègrent dans l'infrastructure d'une organisation :

1. E-mails de phishing et pièces jointes malveillantes : Les e-mails de phishing incitent les employés à ouvrir des documents malveillants ou à accéder à des liens qui mènent aux sites web des pirates. Lorsque les vulnérabilités des macros ou des scripts sont activées, le cryptage commence ou des shells backdoor sont activés. Bien que les employés aient été formés à ne pas cliquer sur les liens ou fournir des informations personnelles dans les e-mails, le phishing reste une méthode fiable pour les criminels qui souhaitent pénétrer dans le réseau d'une entreprise. Les entreprises qui utilisent des filtres de contenu et des passerelles de messagerie sophistiquées réduisent considérablement ces taux de pénétration.
2. Vulnérabilités logicielles exploitées : Les ransomwares recherchent les frameworks, les systèmes d'exploitation ou les interfaces de développement/test vulnérables qui n'ont pas été supprimés. Grâce à des paquets ou des commandes soigneusement construits, les criminels prennent le contrôle et exécutent le code, installant le ransomware à l'insu de l'utilisateur. Ces angles d'infiltration sont limités par l'application de correctifs en temps opportun, l'analyse des vulnérabilités et la segmentation. Un seul correctif manqué peut faire tomber des structures entières, comme l'ont montré les attaques à grande échelle.
3. Attaques par protocole RDP (Remote Desktop Protocol) : Des identifiants inadéquats ou réutilisés pour les sessions RDP permettent aux attaquants de deviner ou de forcer l'accès aux sessions. Une fois qu'ils ont infiltré un réseau, les pirates agissent rapidement et propagent le ransomware sur plusieurs partages ou contrôleurs de domaine. Par conséquent, des mesures telles que l'utilisation de plusieurs facteurs pour authentifier l'accès, la limitation de l'accès RDP au VPN ou simplement la désactivation du RDP externe réduisent considérablement les risques. Cette synergie rend impossible l'accès à l'aide d'un mot de passe volé ou deviné.
4. Téléchargements drive-by et publicités malveillantes : Les sites web de phishing ou les serveurs publicitaires contaminés transmettent des charges utiles aux navigateurs qui n'ont pas été mis à jour. Les utilisateurs peuvent visiter une page infectée ou voir accidentellement une publicité, ce qui active des scripts cachés qui téléchargent le ransomware. Les antivirus sur les terminaux ou les nouveaux navigateurs peuvent reconnaître ces scripts comme malveillants, mais les employés ordinaires ou les systèmes non mis à jour sont vulnérables. Associée à un filtrage de contenu sophistiqué, cette approche réduit considérablement les risques d'infiltration par drive-by.
5. Compromission de la chaîne d'approvisionnement : Les criminels altèrent également les mises à jour logicielles des fournisseurs et distribuent des correctifs ou des dépendances de bibliothèque infectés. Une fois que l'organisation a obtenu la mise à jour " officielle ", le logiciel malveillant dissimulé s'exécute. Cette méthode d'infiltration a considérablement augmenté, en particulier en termes d'incidents d'infiltration de la chaîne d'approvisionnement à fort impact. Pour prévenir l'infiltration de la chaîne d'approvisionnement, la vérification de chaque progiciel, l'adoption de contrôles de signature de code et l'analyse des bibliothèques nouvellement introduites font partie des solutions.

Types de ransomware

Les types de ransomware ont évolué, et chaque type a des modes de chiffrement, d'infiltration ou d'extorsion différents. Certains ransomwares figent l'écran, d'autres divulguent des informations. La connaissance de ces différences aide à comprendre comment mettre en place des défenses adéquates. Dans la section suivante, nous présentons sept domaines importants qui se concentrent sur le développement et la diversification des ransomwares.

1. Crypto Ransomware : Ces variantes chiffrent les données de l'utilisateur à l'aide d'algorithmes puissants et obligent les victimes à acheter la clé de déchiffrement. En général, les criminels cherchent à infecter des répertoires entiers ou des partages professionnels particulièrement importants afin de causer le plus de perturbations possible. Si les sauvegardes sont également touchées, ou s'il n'y a pas de sauvegardes, les perspectives de récupération sont plutôt sombres. Un nombre important de vagues d'infiltration très médiatisées sont axées sur les extorsions basées sur le cryptage.
2. Locker Ransomware : Contrairement au cryptage, qui bloque l'accès des utilisateurs à leurs systèmes, les types de locker gèlent le système d'exploitation. La menace implique que l'accessibilité normale doit être rétablie en payant, même si les fichiers ne sont pas cryptés. Cependant, la perte de fonctionnalité du système peut être aussi dévastatrice pour les lieux de travail que pour les particuliers et les entreprises. De ce fait, il est possible que certaines données puissent encore être récupérées si une forme avancée de criminalistique permet de déverrouiller les souches, car celles-ci ne sont pas cryptées.
3. Ransomware à double extorsion : Les cybercriminels volent les données avant de les crypter et menacent de les divulguer ou de les vendre à des tiers si leurs demandes ne sont pas satisfaites. Cette synergie augmente la pression, car les sauvegardes ne suffisent pas à elles seules à protéger les données publiques contre les fuites. Ils partagent généralement des échantillons sur des sites web qui divulguent des données, ce qui exerce une pression sur les organisations en termes de réputation ou de conséquences juridiques. Dans double extorsion, même si les victimes paient la rançon, elles ne peuvent pas être sûres que leurs données resteront confidentielles, car les criminels pourraient revenir sur leur parole.
4. Ransomware-as-a-Service (RaaS) : Dans les modèles RaaS, des acteurs malveillants expérimentés proposent leurs outils, qui sont des kits de ransomware, à des affiliés ayant de faibles compétences techniques. Les affiliés attaquent les cibles, envoient une partie de l'argent extorqué au groupe et élargissent les cibles à infecter. Cette collaboration favorise l'essor d'une économie spécialisée dans les rôles d'infiltration, des courtiers d'accès initiaux aux négociateurs. Le RaaS entraîne une augmentation du nombre d'attaques par ransomware dans le monde entier en raison du niveau de compétence réduit requis pour exécuter de telles attaques.
5. Ransomware sans fichier : Les souches sans fichier opèrent principalement en mémoire et ne sont pas gourmandes en ressources, ce qui signifie qu'elles n'écrivent pas beaucoup de données sur les disques. Certains de ces processus peuvent ne pas être détectés par les antivirus ou les programmes d'analyse conventionnels. Les auteurs de logiciels malveillants utilisent des utilitaires système, tels que PowerShell, pour délivrer secrètement les commandes de chiffrement. Pour contrer ces angles d'infiltration, les organisations ont besoin d'une détection sophistiquée basée sur le comportement, associée à un accès restreint aux scripts.
6. Ransomware mobile : Spécialement conçus pour les smartphones ou les tablettes, ces variants verrouillent l'accès des utilisateurs à leurs appareils ou chiffrent les fichiers stockés localement. Les cybercriminels peuvent distribuer des applications dangereuses en utilisant des marchés tiers ou en les intégrant dans des mises à jour. Grâce à l'utilisation des données personnelles ou des identifiants professionnels sur l'appareil, ils sont contraints de payer pour la restauration. Un pare-feu puissant pour le téléchargement d'applications et une sauvegarde régulière des appareils entravent considérablement le succès des infiltrations mobiles.
7. Ransomware de type "wiper": Un sous-ensemble destructeur est un ransomware qui supprime ou endommage simplement les données au lieu de fournir le décryptage une fois le paiement effectué. Bien qu'il puisse ressembler aux communications traditionnelles des ransomwares, son objectif réel peut être la destruction ou la désorientation. Les cybercriminels peuvent utiliser des souches de type " wiper " pour perturber les opérations commerciales ou même saboter des infrastructures essentielles. En l'absence de clé de récupération, le seul espoir de restauration des données réside dans la sauvegarde et un plan d'intervention robuste en cas d'incident.

En savoir plus : Types d'attaques par ransomware

Vecteurs d'attaque courants des ransomwares

Outre les voies d'infiltration telles que le phishing ou les applications non corrigées, les ransomwares utilisent plusieurs vecteurs et moyens pour pénétrer et progresser. Les pirates informatiques sondent en permanence les vulnérabilités des entreprises, notamment les identifiants de connexion volés et les connexions partenaires exploitées. Nous présentons ici cinq des voies les plus courantes qu'ils utilisent et expliquons comment les criminels passent de la phase initiale d'une intrusion au chiffrement des données.

1. Hameçonnage & ingénierie sociale : Il cible le personnel par le biais d'e-mails contenant des liens vers de faux sites web, d'autres e-mails ou des pièces jointes infectées par des macros qui lancent le ransomware. Ces messages sont en outre personnalisés pour donner l'impression qu'ils proviennent des ressources humaines, du service financier ou d'un fournisseur familier. Une fois le code exécuté, le virus se réplique rapidement, en visant les répertoires locaux ou les partages mappés. Les filtres anti-spam, la sensibilisation des utilisateurs et l'utilisation de l'authentification à deux facteurs réduisent le taux de réussite de l'infiltration.
2. Credential Stuffing & Password Spraying : Avec un grand nombre de comptes divulgués sur Internet, les cybercriminels tentent d'accéder aux VPN d'entreprise ou à l'accès à distance en utilisant les mêmes identifiants. Une fois la cible identifiée, ils injectent le logiciel malveillant dans le réseau et, dans la plupart des cas, le camouflent en tant qu'utilisateur authentique. Des mesures telles que des politiques de mots de passe forts ou le changement obligatoire de mot de passe dans un court laps de temps minimisent également les angles d'infiltration. En outre, la présence de l'authentification multifactorielle (MFA) et la réduction du contexte des appareils ont un impact sur les taux de réussite des attaques basées sur les mots de passe.
3. Kits d'exploitation et malvertising : Les pirates injectent d'abord le code d'exploitation dans les publicités ou les sites web qu'ils contrôlent, puis redirigent les utilisateurs vers les destinations de leur choix. À l'étape suivante, les navigateurs ou plug-ins vulnérables exécutent le ransomware. Il est également important de noter que même les sites d'information ou de commerce électronique réputéspeuvent être victimes d'hébergement de publicités si les réseaux publicitaires sont compromis. En utilisant des filtres de contenu, en corrigeant les navigateurs et en limitant l'utilisation des plug-ins, les organisations empêchent de telles tentatives d'infiltration.
4. Services de bureau à distance et vulnérabilités VPN : Les solutions RDP ou VPN plus anciennes présentant des vulnérabilités CVE connues sont toujours mal configurées et constituent les principales voies d'accès pour mener à bien une attaque. Ces terminaux sont soit soumis à des attaques par force brute, soit exploités par les attaquants pour télécharger et exécuter directement des ransomwares sur les serveurs cibles. Sans configurations robustes telles que le verrouillage des comptes ou les mises à jour du micrologiciel, cette infiltration reste simple. L'ajout d'une deuxième couche de protection en segmentant le RDP derrière un VPN d'entreprise avec MFA réduit également ces failles.
5. Compromission de la chaîne d'approvisionnement : Les mises à jour logicielles provenant d'un fournisseur ou d'une bibliothèque de confiance sont modifiées par des criminels afin de leur permettre d'introduire des modules malveillants dans votre environnement. Lorsque les mises à jour sont intégrées à vos systèmes de correctifs ou à vos pipelines de compilation, le code est alors lancé. Les groupes RaaS achètent également l'accès auprès de fournisseurs compromis, ce qui leur permet de connecter l'infiltration à des cibles d'entreprise encore plus importantes. L'évaluation des risques liés aux fournisseurs, la vérification de la signature des codes et l'analyse permettent d'empêcher ces voies d'infiltration cachées.

Comment fonctionne un ransomware ?

Connaître le fonctionnement détaillé d'un ransomware permet de comprendre comment il se cache, à quelle vitesse il évolue et à quel point il est dangereux. Les pirates informatiques utilisent une combinaison de techniques d'infiltration et de procédures de chiffrement, ainsi que les fameuses demandes de rançon, qui peuvent être assez éthérées mais néanmoins puissantes. Nous allons ici identifier cinq processus clés qui expliquent ce cercle vicieux :

1. Accès initial et livraison de la charge utile : Les criminels identifient un point d'entrée, que ce soit par le biais de techniques de phishing, de packs d'exploitation ou d'informations de connexion volées, et introduisent le logiciel malveillant. Cette charge utile vérifie fréquemment l'architecture du système, la présence d'antivirus ou les privilèges des utilisateurs. Si elle trouve un environnement favorable, elle augmente ou crée des sous-modules. À ce stade, une détection précoce peut perturber l'ensemble de la chaîne d'infiltration.
2. Élévation des privilèges et déplacement latéral : À l'intérieur du système cible, les criminels exploitent les failles ou les mots de passe par défaut pour passer du niveau utilisateur au niveau administrateur. Ils se déplacent ensuite à travers le réseau, à la recherche de partages, de serveurs de sauvegarde ou de contrôleurs de domaine. En désactivant les journaux de sécurité ou les agents EDR, ils masquent la progression de l'infiltration. De cette manière, la synergie garantit que l'infiltration est large avant que le chiffrement ne commence, ce qui permet d'obtenir une perturbation maximale.
3. Exfiltration de données et double extorsion : Dans les attaques modernes, les enregistrements sensibles sont exfiltrés vers d'autres serveurs avant le chiffrement. Les cybercriminels exigent une rançon de leurs cibles en échange de la non-divulgation des informations volées. Cette synergie intensifie les négociations de rançon : les sauvegardes ne suffiront pas si une fuite de données devient probable. Cette synergie combine les concepts d'infiltration et d'extorsion, obligeant les organisations ciblées à prendre en compte à la fois les coûts opérationnels et les coûts liés à leur réputation.
4. Chiffrement et verrouillage : Une fois le logiciel malveillant en place, la routine malveillante chiffre les fichiers cibles à l'aide d'algorithmes de chiffrement puissants tels que AES ou RSA, rendant les fichiers inaccessibles. Les attaquants laissent derrière eux une demande de rançon exigeant un paiement en cryptomonnaie et fixant souvent un délai pour celui-ci. Ce chiffrement peut également cibler les sauvegardes si les criminels remarquent qu'elles sont connectées. Au fil du temps, il devient plus agressif et commence à perturber les efforts du système de vérification du code pour se restaurer.
5. Négociation de la rançon et décryptage possible : Dans ce cas, les victimes n'ont d'autre choix que de payer la rançon ou de restaurer les données à partir des sauvegardes. Les criminels publient généralement l'outil de décryptage après avoir reçu la rançon, mais la qualité de cet outil peut être discutable. Certains criminels divulguent quand même les données, ou les clés fournies ne fonctionnent pas correctement, ce qui aggrave la situation. Disposer d'une sauvegarde hors ligne ou isolée et de plans de restauration testés peut éviter d'avoir à payer les criminels.

Les étapes d'une attaque par ransomware

Bien que les modalités d'infiltration puissent varier en fonction du type de ransomware ou de l'environnement dans lequel il opère, la plupart des attaques par ransomware suivent une série d'étapes communes. Cela signifie qu'en les stoppant dès le début, par exemple en bloquant la première tentative d'exploitation, on peut éviter que la situation ne s'aggrave. Ci-dessous, nous avons décrit les phases courantes, de la reconnaissance à l'étape finale de l'extorsion, et expliqué comment les criminels parviennent systématiquement à crypter les données.

1. Reconnaissance : Les attaquants sondent les réseaux, obtiennent des mots de passe à partir de violations de données ou recherchent les profils des employés sur LinkedIn. Ils recherchent des cibles vulnérables telles que des serveurs non patchés, des ports ouverts ou des personnes ayant accès aux données. Cette synergie permet de découvrir des actifs de grande valeur, tels que des bases de données financières ou des contrôleurs de domaine. Grâce à une analyse minutieuse de l'environnement, les criminels sont en mesure de concevoir des moyens de pénétrer dans une organisation.
2. Compromission initiale : Sur la base des résultats de cette reconnaissance, les criminels lancent des logiciels malveillants ou vérifient les informations de connexion. Ils peuvent se faire passer pour des membres du personnel ou exploiter des vulnérabilités connues du logiciel. Une fois le premier point d'entrée, tel que les ordinateurs de bureau, compromis, les attaquants recueillent davantage d'informations spécifiques sur l'environnement. Cela leur permet d'approfondir leur infiltration ou leurs mouvements latéraux.
3. Élévation des privilèges et mouvements latéraux : De nos jours, les attaquants exploitent les vulnérabilités locales ou la simple force brute pour obtenir des autorisations de domaine ou root. Ils analysent également les lecteurs mappés, les partages réseau ou les API cloud à la recherche d'informations de grande valeur. En contrôlant ou en contournant les journaux de sécurité, ils empêchent leur infiltration d'être détectée par les programmes de détection. Cette synergie signifie qu'un utilisateur compromis peut affecter des segments entiers si la micro-segmentation n'est pas en place.
4. Exfiltration de données : À l'aide de privilèges administratifs, les criminels transfèrent silencieusement des informations vers des serveurs situés en dehors du réseau de l'entreprise. Cette étape les prépare à une stratégie de double extorsion dans laquelle ils menacent de divulguer les données si la rançon n'est pas payée. Elle aide également les criminels à déterminer le montant potentiel de la rançon, ainsi que la vulnérabilité des données. Les cibles ne se rendent souvent compte de la perte de données qu'après avoir reçu une demande de rançon ou détecté un trafic inhabituel.
5. Chiffrement et demande de rançon : Enfin, le code chiffre les fichiers importants à l'aide d'une clé forte et enregistre un message indiquant comment déchiffrer les fichiers et le montant d'argent requis pour cela. Les auteurs de la menace demandent généralement un paiement en cryptomonnaie et fixent un délai court ou menacent de divulguer les données volées. Dans les cas où les sauvegardes sont également perdues ou où le personnel n'est pas prêt, cela immobilise les opérations pendant toute la journée. Cette dernière étape scelle le succès de l'infiltration, à moins que l'attaque ne soit détectée et stoppée ou que les systèmes infectés ne soient rapidement sauvegardés hors ligne.

Méthodes d'attaque par ransomware

Les criminels utilisent diverses tactiques et stratégies d'infiltration et d'extorsion qui visent différents aspects ou comportements du personnel. De cette manière, en analysant ces méthodes de ransomware, les organisations peuvent améliorer leurs défenses à chaque point d'infiltration. Nous présentons ici cinq exemples pour démontrer à quel point les attaquants modernes peuvent être polyvalents et flexibles :

1. Malspam & Spear Phishing : L'envoi d'e-mails est la méthode d'infiltration la plus courante à ce jour, en particulier les e-mails de masse ou ciblés, qui exploitent la naïveté des employés qui téléchargent des pièces jointes infectées ou cliquent sur des liens. Le spear phishing consiste à envoyer des messages contenant des informations que les criminels ont obtenues à partir des réseaux sociaux ou de piratages antérieurs. Une fois que les macros ou les kits d'exploitation sont exécutés, la routine de chiffrement ou d'exfiltration démarre. Pour contrer cela, le succès de l'infiltration est réduit grâce à l'utilisation de filtres de messagerie avancés, à la sensibilisation du personnel et à l'analyse des liens.
2. Kits d'exploitation et compromission par drive-by download : Les logiciels malveillants sont injectés dans les sites web ciblés ou infectés ou par le biais de publicités malveillantes. Tout navigateur ou plug-in qui n'a pas été mis à jour avec les derniers correctifs devient une porte ouverte dès que le personnel accède au site. Il est encore possible que même les grands réseaux publicitaires diffusent occasionnellement des publicités malveillantes sur les portails de sites légitimes. Ces angles d'infiltration sont sévèrement limités par une gestion stricte des correctifs et une utilisation limitée des plug-ins.
3. Services à distance et attaques RDP : Les pirates sondent de manière proactive les points de terminaison RDP ou les connexions SSH dans le but d'utiliser des identifiants par défaut ou une vulnérabilité CVE découverte. Si l'attaquant obtient des privilèges d'administrateur de domaine ou un accès au niveau racine du système d'exploitation, il peut installer des routines de chiffrement au niveau du système. La mise en œuvre de mesures telles que l'authentification multifactorielle ou la restriction de l'accès à distance aux ressources derrière un VPN ou un système zéro confiance réduit considérablement le risque de cyberattaques réussies. La vérification répétée des journaux à la recherche d'entrées similaires est un autre moyen d'identifier les attaques par force brute à un stade précoce.
4. Logiciels trojanisés et compromission par des tiers : Les acteurs malveillants infiltrent des mises à jour logicielles authentiques telles que des pilotes, des plugins ou des bibliothèques, et y intègrent du code ransomware. Les victimes, croyant qu'elles téléchargent depuis le site du fournisseur ou un site miroir, exécutent les mises à jour, déclenchant ainsi les procédures d'infiltration. Cela montre parfaitement comment la compromission de la chaîne d'approvisionnement entraîne des conséquences étendues. L'examen des signatures de code, la mise en œuvre d'une gestion rigoureuse des risques liés aux fournisseurs ou l'utilisation d'un scan des pipelines permettent de contrer ces vecteurs d'infiltration dissimulés.
5. Pivot latéral à partir d'autres logiciels malveillants : Parfois, l'infiltration commence par un cheval de Troie ou un enregistreur de frappe moins visible qui recueille discrètement les noms d'utilisateur ou les mots de passe. Les attaquants passent ensuite au processus de chiffrement proprement dit une fois qu'ils ont identifié les données de valeur. Le processus de chiffrement par ransomware commence avant que le personnel ne se rende compte que quelque chose ne va pas. Les solutions EDR basées sur le comportement peuvent détecter un pivot anormal et arrêter l'infiltration avant la dernière frappe.

Exemples d'attaques par ransomware

En matière de ransomware, il n'y a aucun doute sur ce dont les criminels sont capables : ils peuvent bloquer les opérations ou exiger des millions de dollars pour les débloquer. Il est donc important de noter que même les organisations les mieux équipées peuvent être prises au dépourvu si un angle d'infiltration n'est pas surveillé. Dans la section suivante, quatre cas sont présentés pour mettre en lumière la gravité de l'infiltration, les réactions des entreprises et les résultats.

1. LoanDepot (2024) : En janvier, l'un des plus grands prêteurs hypothécaires, LoanDepot, a signalé une attaque par ransomware qui s'est produite du 3 au 5 janvier, impliquant le chiffrement des données et le vol d'informations sensibles sur les clients, ce qui a entraîné une interruption de service pour 16,6 millions de consommateurs. Alphv/BlackCat a revendiqué cette attaque, qui s'inscrit dans la lignée des violations importantes commises par le groupe. La récente attaque contre LoanDepot prouve que les entreprises financières qui détiennent une grande quantité de données sur leurs utilisateurs sont particulièrement attractives pour les extorqueurs.
2. Veolia (2024) : Veolia North America, une entreprise de recyclage de l'eau et de l'énergie, a déclaré avoir subi une attaque par ransomware qui a rendu certains de ses systèmes back-end indisponibles. Bien que les opérations de traitement de l'eau n'aient pas été perturbées, les services de facturation ont été affectés, ce qui a causé des désagréments aux clients. Cela a conduit à l'envoi de notifications aux utilisateurs après une violation partielle des données. Cela montre qu'il y a une augmentation des attaques visant les fournisseurs d'infrastructures critiques afin de les contraindre à payer rapidement la rançon demandée.
3. Ascension (2024) : Ascension, un système de santé basé à Saint-Louis, a révélé en mai qu'un ransomware avait affecté les dossiers médicaux électroniques (DME) et certaines lignes téléphoniques. Pendant plus d'un mois, les patients ont subi des perturbations dans la prise de rendez-vous et une confusion dans la commande de médicaments. Certains sites ont même redirigé les ambulances, le personnel ayant connu la semaine la plus chargée jamais enregistrée. Cette synergie démontre à quel point les incidents liés aux ransomwares peuvent perturber les soins de santé essentiels, ce qui constitue non seulement une menace pour la stabilité des hôpitaux, mais aussi pour la vie des patients.
4. Cleveland City Government (2024) : En juin, des pirates informatiques ont paralysé la ville de Cleveland, fermant la mairie pendant 11 jours après une attaque qui a endommagé les systèmes de facturation et les procédures administratives officielles. Les employés se sont empressés de mettre en quarantaine les ordinateurs affectés et d'essayer de récupérer les données à partir de copies. La ville a déclaré qu'elle ne paierait pas la rançon, même si elle ne pouvait pas affirmer que les données avaient été volées. Cette synergie démontre à quel point même les attaques malveillantes par ransomware peuvent paralyser tous les services municipaux, affectant ainsi la vie quotidienne des habitants.

Comment prévenir les attaques par ransomware ?

Pour se prémunir contre les infiltrations, il faut non seulement de meilleurs outils, mais aussi un personnel bien informé, des paramètres de sécurité et des sauvegardes testées. C'est pourquoi aucune mesure unique n'est suffisante, car les criminels changent constamment de stratégie. Voici cinq mesures fondamentales qui réduisent considérablement le risque d'infiltration et accélèrent la remédiation après un incident :

1. Formation complète du personnel : Le phishing et l'ingénierie sociale restent les méthodes les plus populaires utilisées par les attaquants pour infiltrer les organisations. Des sessions de formation périodiques et des simulations d'attaques de phishing aident les employés à rester conscients des menaces potentielles. Tirez parti d'autres mesures de sécurité pour vous assurer que seules des phrases de passe complexes sont utilisées, plutôt que des phrases simples et faciles à deviner. Cette synergie réduit le risque que des clics innocents ou des mots de passe réutilisés mettent en danger l'ensemble des réseaux.
2. Rendre obligatoire l'authentification multifactorielle : Même si les criminels devinent ou obtiennent les mots de passe, les authentifications à deux facteurs (telles que les codes envoyés sur le téléphone ou les jetons de sécurité physiques) ralentissent les intrus. MFA est fortement recommandée lors de la connexion à un compte administrateur ou de domaine pour les connexions VPN ou RDP à distance. Cette synergie réduit considérablement la probabilité de réussite du credential stuffing. Au fil du temps, d'autres solutions sophistiquées, telles que l'authentification unique associée à des politiques basées sur le contexte, renforcent l'authenticité.
3. Correctifs réguliers et analyse des vulnérabilités : La mise en œuvre rapide des mises à jour du système d'exploitation, des applications et des micrologiciels permet d'atténuer les angles d'infiltration identifiés. Une analyse régulière permet de détecter les CVE nouvellement divulguées ou les vulnérabilités zero-day. Ces tâches doivent également inclure les ressources éphémères telles que les conteneurs ou les serveurs de développement/test. En associant l'analyse aux fusions de pipelines, les développeurs et les opérateurs sont en mesure de corriger les vulnérabilités dans le processus de développement avant leur mise en production.
4. Micro-segmentation et architecture zéro confiance : La division des réseaux en segments empêche les mouvements latéraux si des attaquants pénètrent dans un serveur, un terminal ou une ressource cloud. Le modèle zéro confiance vérifie l'identité et les autorisations de chaque requête, empêchant ainsi tout accès non autorisé à l'aide d'identifiants volés ou devinés. La mise en œuvre de périmètres définis par logiciel ou de règles VLAN très restrictives réduit au minimum les fenêtres d'infiltration. Ainsi, la segmentation, combinée au zéro confiance, garantit que l'infiltration ne se propage pas à l'ensemble de l'environnement.
5. Sauvegardes hors ligne et exercices de simulation de catastrophe : Il est impossible d'empêcher tous les types d'infiltration, même avec les mesures de sécurité les plus robustes, c'est pourquoi il est essentiel de disposer d'une sauvegarde hors ligne. Vérifiez régulièrement les points de restauration pour vous assurer que les données sont à jour et n'ont pas été endommagées. Si des criminels chiffrent la production, les sauvegardes hors ligne peuvent être utilisées pour restaurer rapidement les données sans payer de rançon. De cette manière, grâce à l'utilisation de manuels d'intervention, le personnel est en mesure de gérer facilement les infiltrations réelles, réduisant ainsi les perturbations.

Détection et suppression des ransomwares

La prévention des ransomwares n'est pas toujours infaillible, et une infiltration peut être réalisée dans le cadre de l'exploitation d'une vulnérabilité zero-day ou d'une attaque d'ingénierie sociale. La détection précoce d'un code malveillant peut interrompre le processus de chiffrement et ainsi sauver l'ensemble de l'environnement. Voici cinq étapes pour reconnaître rapidement les comportements dangereux et coordonner la suppression du ransomware après une infection :

1. Protection des terminaux basée sur le comportement : Les antivirus basés uniquement sur les signatures sont souvent lents à évoluer, car les codes changent rapidement et fréquemment. Au lieu de cela, les solutions EDR avancées observent les comportements d'exécution, tels qu'un nouveau processus cryptant plusieurs fichiers à la fois. Si une anomalie correspond à un modèle d'infiltration reconnu, elle est traitée en l'isolant ou en la mettant en quarantaine. Cette synergie permet de détecter en temps réel les programmes malveillants sans fichier ou même les formes entièrement nouvelles.
2. Surveillance des anomalies réseau : Les transferts de données en dehors des heures de travail normales ou une utilisation soudaine de bande passante élevée indiquent une exfiltration ou un chiffrement massif. Les outils SIEM ou NDR peuvent détecter ces modèles afin d'alerter le personnel pour qu'il examine la question de plus près. L'examen de la distribution du trafic et des connexions est-ouest peut permettre de découvrir les premières étapes de l'infiltration. Cela empêche l'attaquant de prendre pied et de chiffrer tous les fichiers ou de transmettre tous les fichiers volés.
3. Outils de scan des ransomwares : Certains logiciels anti-ransomware sont conçus pour rechercher activement des algorithmes de chiffrement spécifiques, des opérations de renommage ou des extensions de fichiers qui sont généralement verrouillées. Ils peuvent également vérifier les écritures partielles ou les modifications apportées aux clichés instantanés de volume par les ransomwares. S'ils sont activés, ils suppriment le processus à l'origine du problème ou restaurent les fichiers qui ont été modifiés à l'aide de la journalisation. En plus des antivirus standard, ces scanners spécifiques réduisent considérablement le temps d'infiltration.
4. Confinement et restauration automatisés : Une fois qu'un cadre d'automatisation est déclenché, il peut fermer les hôtes infectés et refuser l'accès au réseau, empêchant ainsi tout mouvement latéral. Certaines solutions sophistiquées offrent des capacités de " restauration " pour capturer l'état du système et permettre au personnel de rétablir l'état du système avant l'infection. En associant le confinement à la phase de détection, vous empêchez les criminels de se déplacer latéralement ou d'exfiltrer des données. Cela permet de gagner du temps dans la fenêtre d'événement, réduisant ainsi l'impact global.
5. Suppression des ransomwares et nettoyage forensic : Après le confinement, il reste toujours du code qui doit être neutralisé, les fichiers système doivent être vérifiés et tous les déclencheurs possibles doivent être éliminés. Cela peut inclure l'analyse des programmes de démarrage, des programmes planifiés ou des registres à la recherche de tout lien malveillant. En cas de chiffrement partiel, les fichiers peuvent être récupérés à partir de copies de sauvegarde ou déchiffrés à l'aide d'outils de déchiffrement. Une analyse approfondie du ransomware après l'événement permet d'affiner les règles de détection futures et de corriger les angles d'infiltration.

Prévenir les attaques de ransomware avec SentinelOne

La détection autonome des menaces par IA de SentinelOne peut aider les organisations à lutter contre les logiciels malveillants, les ransomwares, le phishing et toutes les formes de cybermenaces. Son moteur de sécurité offensive avec des chemins d'exploitation vérifiés peut détecter les anomalies, découvrir de nouveaux angles d'attaque et les atténuer avant qu'ils ne puissent être potentiellement exploités.

La protection avancée des terminaux de SentinelOneendpoint protection de SentinelOne peut sécuriser les machines virtuelles, les charges de travail, les clouds, les conteneurs, les utilisateurs et les identités. Purple AI, un analyste en cybersécurité basé sur l'IA générique, peut fournir des informations uniques sur les attaquants et les pipelines de sécurité. Vous bénéficierez de la meilleure sécurité pour vos pipelines CI/CD et d'une couverture de sécurité adéquate. SentinelOne peut détecter plus de 750 types de secrets différents et empêcher les fuites d'identifiants cloud.

Vous pouvez identifier les comptes inactifs ou dormants et rechercher les processus malveillants avant qu'ils ne puissent prendre le contrôle, détourner des comptes ou augmenter les privilèges. SentinelOne peut effectuer des analyses actives et passives en arrière-plan et fonctionner 24 heures sur 24, 7 jours sur 7, en vous envoyant automatiquement des alertes dès qu'un problème survient et en éliminant les faux positifs.p>Il intègre également Snyk et est livré avec un CNAPP holistique sans agent qui peut fournir une protection complète. Lorsque vous utilisez les solutions SentinelOne, vous garantissez également une conformité continue avec les cadres réglementaires tels que SOC 2, NIST, HIPAA, CIS Benchmark et autres. Les organisations peuvent également lutter contre les attaques Active Directory et Entra ID grâce aux offres de la plateforme.

Conclusion

Les ransomwares restent l'une des menaces les plus dangereuses pour les entreprises modernes, car ils mettent en péril les données, les processus métier et la confiance des clients. En ce qui concerne les méthodes d'infiltration telles que le phishing, les kits d'exploitation ou les mouvements latéraux, il est beaucoup plus efficace d'analyser les approches au niveau individuel et de développer plusieurs niveaux de protection. Cependant, empêcher l'infiltration n'est qu'une partie de la solution ; l'identification des activités malveillantes pendant une attaque et la mise en place de systèmes de sauvegarde fiables constituent les deux autres piliers de la solution. Qu'il s'agisse d'un environnement cloud éphémère ou d'un serveur sur site utilisé depuis des années, l'analyse, la formation du personnel et la mise en œuvre d'une micro-segmentation réduisent considérablement le nombre de vecteurs d'entrée.

Aucune solution unique n'est suffisante lorsque les criminels s'adaptent à de nouvelles stratégies d'infiltration, telles que la double extorsion ou l'intégration de fonctionnalités avancées de type ver. Cependant, des améliorations continues basées sur des politiques clairement définies, des sauvegardes éprouvées et des solutions EDR adaptativesEDR adaptatives permettent de contrôler les menaces d'infiltration. Associées à un scanner dédié aux ransomwares ou à une plateforme de protection des terminaux basée sur l'IA comme SentinelOne, elles offrent à votre environnement une détection en temps réel et une correction automatique.

"

FAQs