Les ransomwares sont bien connus des réseaux d’entreprise car ils présentent des risques colossaux et nécessitent bien souvent des efforts de récupération importants et coûteux. Les attaques de ransomware réussies peuvent entraîner le verrouillage des systèmes, le vol d’identité et la prise en otage des données, autant d’éléments susceptibles de semer le chaos dans les organisations visées.Lorsque le ransomware atteint sa cible, le logiciel malveillant chiffre les fichiers et se propage à l’ensemble du système pour maximiser les dégâts, ce qui oblige de nombreuses entreprises à verrouiller les réseaux pour arrêter la propagation.
Si le chiffrement est utilisé partout, il ne faut pas le confondre avec le hachage1 ou l’obscurcissement des fichiers qui sont utiles pour échapper aux outils de détection, tandis que les ransomwares prennent les données en otage à cause du cryptage. Chaque entreprise utilise différents types de cryptographie tels que des ciphers (qui correspond à une suite cryptographique) symétriques modernes ou ciphers asymétriques, ayant pour objectif d’empêcher toute opération d’intrusion.De nombreuses souches de ransomware adressent un message spécial à l’organisation victime après le cryptage des données, incitant les entreprises à payer une rançon aux cybercriminels (le plus souvent en bitcoins) pour décrypter les fichiers. A noter toutefois que certaines formes de ransomware sont décryptables et le paiement de la rançon peut être évité.A titre d’exemple, Jigsaw est une ancienne forme de malware apparue en 2016, qui contient la clé utilisée pour chiffrer les fichiers dans le code source. Ce type d’attaque a par ailleurs été constaté à nouveau cette année au sein de code Morse. Les cybercriminels continuent donc d’utiliser d’anciennes méthodes qui fonctionnent toujours. Il est donc important pour les entreprises de prendre conscience non seulement des menaces en évolution, mais aussi des méthodes d’attaque déjà éprouvées.
Les attaques récentes ne se contentent pas de crypter les données comme en témoigne le groupe cybercriminel Lockbit 2.O qui a récemment menacé de publier les données de 9 800 fichiers qu’il prétend avoir volés au ministère de la justice française. Les logiciels malveillants sont également capables d’exfiltrer des informations critiques avant le cryptage.Alors que la protection contre les ransomwares s’améliore, notamment grâce à des stratégies de suppression et de récupération de données, les pirates utilisent les données volées afin de pouvoir continuer à menacer les victimes si elles ne paient pas la rançon, créant ainsi une double menace de ransomware.Les cybercriminels ont donc adopté un modèle de « double extorsion » et certains pratiquent même le chantage à la divulgation de données dans certains cas où l’entreprise refuse de payer la rançon. Pour les entreprises victimes, cette situation peut constituer un risque de violation majeure des règlementations RGPD de l’UE et des lois sur la confidentialité des données. Les groupes de ransomware Conti et REvil figurant parmi les logiciels malveillants les plus dangereux en 2021 sont par exemple connus pour publier des données divulguées sur le Darknet si des rançons ne sont pas payées.
La stratégie de sauvegarde est un pilier fondamental de la cyber-résilience d’une entreprise, elle lui donne la capacité de résister aux attaques et garantit un accès continu aux données. Toutefois, il est essentiel de répertorier et d’identifier clairement les besoins de l’entreprise et de tester régulièrement les procédures pour éviter les pannes massives au pire moment.La protection des données est critique pour les entreprises, il est donc essentiel de faire un état des lieux et d’établir par exemple le lien entre les données et les opérations commerciales de la société par exemple. Cela permet d’évaluer la criticité des données de l’organisation et de mettre en place un système d’archivage des données en conséquence. Par ailleurs, la sauvegarde des données doit être encadrée et respecter les cadres légaux régis par la Règlementation Générale sur la Protection des Données (RGPD).Les cybercriminels continueront à affiner leurs approches et à expérimenter différents « business models», car les attaques par ransomware exercent une pression énorme sur la disponibilité des services et des flux de données. Ces adversaires continueront sans aucun doute à chercher des moyens supplémentaires de faire pression sur les victimes pour maximiser leurs chances d’être payés, mais les entreprises peuvent préserver leurs données et leurs systèmes d’information en déployant de solides pratiques de cyber-résilience dès aujourd’hui.
source:silicon.fr