Qu'est-ce qu'un ransomware ?

L'Agence de Cybersécurité et de Sécurité des Infrastructures (CISA) définit les ransomwares comme un type de logiciel malveillant utilisé par des acteurs malveillants pour infecter des ordinateurs et chiffrer des fichiers jusqu'au paiement d'une rançon. Lors d'une attaque par ransomware, le logiciel malveillant se fait passer pour un fichier légitime – convainquant les utilisateurs qu'il est sûr de l'ouvrir. Cependant, une fois ouvert, le ransomware se propage à travers le réseau pour infecter et chiffrer les fichiers en arrière-plan sans que l'utilisateur ne s'en aperçoive.

Une fois le réseau infecté, les pirates prennent les fichiers chiffrés en otage et exigent un montant de rançon en échange de leur déchiffrement – souvent sous forme de Bitcoin ou d'une autre cryptomonnaie intraçable. Les pirates menacent ensuite de rendre les fichiers volés publics ou de les vendre aux enchères sur le dark web. Des instructions pour la rançon sont souvent fournies, indiquant à la victime un délai limité pour payer avant que les fichiers ne soient exposés ou vendus. Une fois la rançon payée, les acteurs malveillants envoient une clé de déchiffrement permettant à l'entreprise de récupérer ses fichiers.

Bien qu'elles puissent sembler simples, les attaques par ransomware sont complexes et suivent une série d'étapes soigneusement construites. La plupart des attaques exploitent des vulnérabilités ou des stratagèmes d'ingénierie sociale pour infiltrer un réseau. La triste réalité est que de nombreuses entreprises ne se remettent jamais complètement des pertes financières ou de réputation causées par une attaque par ransomware – laissant une traînée de destruction dans les secteurs publics et privés.

En moyenne, 59 % des organisations dans le monde ont été victimes d'une attaque par ransomware entre janvier et février 2024 seulement. Cette menace cybernétique populaire est devenue une option privilégiée pour la plupart des criminels et des hacktivistes, qu'il s'agisse d'attaques privées ou étatiques. Les attaques par ransomware peuvent avoir des effets dévastateurs sur les entreprises, les individus et même les pays entiers.

  • Entreprises : Statista a noté que plus de 72 % des entreprises dans le monde ont été touchées par des attaques par ransomware en 2023. En général, une entreprise victime de ransomware subit des pertes prolongées bien après l'attaque. Des dommages financiers et de réputation à l'échec opérationnel et aux répercussions juridiques, les entreprises sont souvent paralysées par la tâche de se remettre d'une attaque par ransomware. Les petites et moyennes entreprises risquent de fermer sans les fonds nécessaires pour se rétablir efficacement.
  • Individus : Les ransomwares affectent également le grand public. En exploitant et en exposant potentiellement les données et informations des clients sur le dark web, les attaques par ransomware peuvent engendrer une méfiance générale envers les entreprises et conduire à des cyberattaques supplémentaires ciblant les individus.
  • Gouvernements : Les infrastructures critiques sont un secteur notoirement vulnérable aux attaques par ransomware. Les établissements de santé, les agences gouvernementales et d'autres industries critiques sont généralement ciblés en raison de la gravité des interruptions, qui peuvent s'avérer mortelles.

Bien que les effets et la dévastation causés par les ransomwares semblent augmenter de manière exponentielle, ces logiciels malveillants ont des débuts relativement modestes. À ce titre, examinons l'histoire des ransomwares, de leur origine à ce que nous connaissons aujourd'hui.

What Is Ransomware?

Comment fonctionne une attaque par ransomware ?

Le premier ransomware

Chaque méchant a une histoire d'origine, et les ransomwares ne font pas exception. En 1989, Joseph Popp, un biologiste de renom, a distribué 20 000 disquettes contenant des ransomwares à ses collègues chercheurs sur le sida. Selon CNN, les disquettes ont été envoyées par courrier aux participants de la conférence sur le sida de l'Organisation mondiale de la santé à Stockholm. Elles contenaient soi-disant un questionnaire informatisé qui, selon le Dr Popp, aiderait à déterminer le risque des patients de contracter le sida.

Cependant, le chercheur formé à Harvard a infecté chaque disquette avec un logiciel malveillant, qui est ensuite devenu connu sous le nom du premier « sida numérique ». Le malware a été envoyé dans environ 90 pays différents et est resté inactif jusqu'à ce que l'ordinateur soit allumé 90 fois. À ce moment-là, une note de rançon apparaissait à l'écran, exigeant 189 $ US à envoyer dans une enveloppe à une boîte postale au Panama.

Naturellement, cette cyberattaque était au mieux rudimentaire, mais elle a ouvert la voie à l'évolution des ransomwares en la menace sophistiquée qu'ils représentent aujourd'hui.

Types courants de ransomwares

Les ransomwares peuvent être classés en 5 grandes catégories.

  • Scareware : Le premier type est connu sous le nom de « scareware » et repose sur la méconnaissance des utilisateurs concernant les ordinateurs ou les logiciels. Ce malware cible immédiatement l'utilisateur avec des codes d'erreur et des avertissements système pour l'effrayer et le pousser à cliquer sur des liens suspects, de peur d'endommager son équipement. Le malware obtient vos informations financières en demandant un simple paiement pour faire disparaître les alertes.
    • Exemples : Faux logiciels antivirus, arnaques au support technique
  • Cryptoware : La forme la plus connue de ransomware est le « crypto-ransomware » ou « cryptoware ». Ce type de malware s'inspire de l'idée des disquettes du Dr Popp et utilise le chiffrement pour rendre les fichiers inaccessibles sans une clé cryptographique spécifique, qui ne peut être obtenue qu'après le paiement d'une rançon. Contrairement à l'approche de Popp, la plupart des attaques modernes de cryptoware demandent un paiement sous forme de bitcoin – rendant la traçabilité beaucoup plus difficile qu'une adresse postale.
    • Exemples : CryptoLocker, WannaCry, Locky
  • Ransomware de type Locker : Populairement connus sous le nom de Lockers, ce type de ransomware verrouille complètement l'accès de l'utilisateur au système, rendant les fichiers et les applications inaccessibles, parfois même le bureau. Un écran de verrouillage affiche la demande de rançon, souvent avec un compte à rebours pour augmenter l'urgence.
    • Exemples : Winlocker, ransomwares à thème policier
  • Doxware ou Leakware : Également connu sous le nom d'extortionware, ce ransomware menace de publier des informations sensibles, telles que des photos personnelles, des dossiers financiers ou des documents professionnels, à moins que la victime ne paie la rançon. En raison des pertes de réputation importantes qu'il cause, le Doxware est considéré comme l'une des attaques de ransomware les plus dangereuses dans l'évolution des ransomwares.
    • Exemples : Maze, REvil/Sodinokibi
  • Ransomware-as-a-Service (RaaS) : Comme son nom l'indique, le RaaS est un modèle commercial où des cybercriminels développent et vendent des ransomwares à d'autres criminels. Cela permet même aux criminels avec une expertise technique limitée de lancer des attaques par ransomware. Le principal pirate professionnel gère tous les aspects des attaques en échange d'une partie de la rançon.
    • Exemples : Cerber, Satan, Philadelphia

L'histoire des ransomwares

« Connais ton ennemi » est un sentiment qui peut s'appliquer à presque toutes les situations, et les ransomwares ne font pas exception. Explorer les origines de ce malware donne aux organisations et au public une meilleure compréhension de l'évolution des attaques par ransomware et de la manière dont elles pourraient continuer à se développer. Nous avons créé une chronologie pratique pour retracer l'histoire exacte des ransomwares telle que nous la connaissons.

1989 : La naissance des ransomwares

La première attaque par ransomware enregistrée a eu lieu en 1989, lorsque le Dr Joseph Popp a distribué 20 000 disquettes infectées à ses collègues chercheurs lors d'une conférence internationale sur le sida organisée par l'Organisation mondiale de la santé. Le biologiste renommé a envoyé un cheval de Troie déguisé en questionnaire censé aider à déterminer le risque des patients de contracter le sida. Le malware restait inactif dans les ordinateurs jusqu'à 90 redémarrages, moment où les fichiers de l'utilisateur étaient chiffrés, et une note de rançon apparaissait à l'écran, exigeant 189 $ US à envoyer à PC Cyborg Corp. dans une boîte postale au Panama. Ce malware est devenu connu sous le nom du premier « sida numérique ».

1992 : David Naccache et Sebastiaan von Solms

Quelques années après l'incident de ransomware de Popp, David Naccache et Sebastiaan von Solms ont eu l'idée d'utiliser des systèmes de paiement anonymes pour collecter en toute sécurité des rançons liées à des enlèvements humains en 1992. Cette technique utilisait un journal pour transférer l'argent électroniquement – les cryptomonnaies n'existant pas à l'époque.

1996 : Young et Yung

Adam L. Young et Moti Yung étaient des hackers opportunistes qui ont introduit l'idée de la cryptographie à clé publique dans les attaques par ransomware en mettant en œuvre une preuve de concept utilisant un hybride des algorithmes Rivest-Shamir-Adleman (RSA) et Tiny Encryption Algorithm (TEA) pour chiffrer les données des victimes avec une clé publique. Contrairement au cheval de Troie du sida, ce ransomware n'avait pas besoin de contenir la clé de déchiffrement, permettant aux attaquants de la garder secrète. Le cryptovirus expérimental original de Young et Yung nécessitait que la victime envoie le texte chiffré asymétrique à l'attaquant, qui le déchiffrait et renvoyait la clé de déchiffrement symétrique moyennant des frais.

2000 : Onel de Guzman

En 2000, Onel de Guzman a créé le célèbre virus « lovebug » ou « ILOVEYOU » – un ver informatique qui écrasait des fichiers, volait des mots de passe et s'envoyait à tous les contacts de la liste d'e-mails du destinataire. Le virus a touché des millions de personnes dans le monde et causé une perte généralisée de données.

Milieu des années 2000 : Ransomware basé sur le chiffrement

Le tournant du siècle a vu l'explosion de l'utilisation d'Internet, passant de 39,14 millions d'utilisateurs en 1995 à 2 milliards en 2010. La numérisation massive a ouvert la porte à des attaques par ransomware avancées. De nombreux hackers ont utilisé des clés de déchiffrement personnalisées, comme l'attaque de déchiffrement GPCode à 20 $ US, qui a eu lieu en 2005.

2013–2015 : L'essor des ransomwares utilisant le Bitcoin

L'émergence du Bitcoin et d'autres cryptomonnaies en 2010 a révolutionné les ransomwares en fournissant un moyen de paiement anonyme et intraçable. Cela a préparé le terrain pour un nouveau type de ransomware appelé CryptoLocker en 2013 – un malware combinant la puissance du Bitcoin avec un chiffrement avancé. Il utilisait des paires de clés RSA de 2048 bits générées par un serveur de commande et de contrôle, les livrait à la victime pour chiffrer ses fichiers, et exigeait un paiement de 300 $ US pour obtenir la clé.

2015 – Aujourd'hui : La chasse aux gros poissons

Depuis lors, les acteurs malveillants sont passés d'attaques opportunistes à des campagnes ciblées de ransomware contre des organisations spécifiques – une pratique connue sous le nom de chasse aux gros poissons. Bien que les attaques de ransomware sur des cibles plus petites existent toujours, il y a eu un changement notable vers les entreprises de grande valeur où des rançons plus importantes peuvent être exigées. Récemment, les infrastructures critiques sont devenues une industrie fortement ciblée en raison de la nature essentielle de leurs services, rendant ces installations plus susceptibles de payer une rançon pour maintenir leurs opérations.

Comme nous pouvons le voir dans la chronologie ci-dessus, les ransomwares ont connu de nombreux développements au cours des dernières décennies. De petits crimes et disquettes à des menaces cybernétiques complexes et multi-couches, les ransomwares sont devenus un danger majeur pour la cybersécurité. Pour aggraver les choses, nous sommes maintenant entrés dans l'ère des plateformes de ransomware en tant que service.

The Ransomware-as-a-Service (RaaS) Business Model

The Ransomware-as-a-Service (RaaS) business model was created by coders and hackers to develop and sell ransomware attack models to affiliates. Essentially, a RaaS allows any threat actor to use their ready-made ransomware to execute their own cyber-attack - regardless of their expertise or knowledge. Several RaaS websites exist today - charging a simple service fee for malicious code and widening the scope of ransomware attacks to include amateur hackers.

Forbes reported that the RaaS model first reared its head after the invention of cryptocurrency in 2009. Naturally, cryptocurrency helped to fuel the rise of ransomware by providing an untraceable ransom payment method and by making it easier for hackers to buy and sell malicious software and services from each other without disclosing their identity. As a result, RaaS became a thriving industry. Today, the world’s most prolific ransomware, Lockbit, is operated on a RaaS model, along with REvil, Ryuk, and Egregor.

Ransomware-as-a-Service has undoubtedly pushed ransomware into the mainstream where almost anyone can orchestrate an attack for the right amount of money. Now, ransomware is one of the most popular forms of malware used against organizations. Statista emphasized the spike in ransomware attacks throughout several years – noticeably showing that the 2021 pandemic was a popular period for the most ransomware attacks.

Annual Number of Ransomware Attempts Worldwide in Millions

Annual Number of Ransomware Attempts Worldwide in Millions

Sourced from Statista

As the years go by, ransomware attacks have become more evolved and attack frequencies have fluctuated. To properly map out the destruction of ransomware attacks, we can now look at some of the top ransomware attacks in the last decade.

Principales attaques de ransomware (2014-2024)

Alors que la technologie évolue rapidement et que nous avançons davantage dans une ère numérique dynamique, il est essentiel d'apprendre de nos erreurs. Les attaques par ransomware ont été omniprésentes au cours de la dernière décennie, et nous avons répertorié certaines des principales attaques par ransomware qui ont fait les gros titres chaque année.

Les principales attaques de ransomware en 2024

Les attaques par ransomware sont devenues une problématique tendance à travers de nombreux secteurs. Plus précisément, l'Organisation mondiale de la santé a récemment informé l'ONU de l'augmentation alarmante des cyberattaques contre les établissements de santé. En juillet, le service de don de sang à but non lucratif OneBlood a été victime d'une attaque par ransomware qui a affecté des systèmes logiciels critiques.  

L'utilisation de l'IA dans le piratage est également devenue une source de préoccupation en 2024 et pour les années à venir. Les cyberattaques utilisant l'IA ont considérablement augmenté depuis que cette technologie est devenue courante – l'IA générative ayant facilité la création de codes malveillants et de contenus d'hameçonnage.

Les principales attaques de ransomware en 2023

Exploitation des vulnérabilités MOVEit par le ransomware Cl0p 

En mai, l'attaque par ransomware MOVEit a commencé lorsque le gang de ransomware Cl0p a exploité une vulnérabilité SQL injection auparavant inconnue (CVE-2023-34362) dans le logiciel MOVEit Transfer. Ce logiciel était utilisé par de nombreuses entreprises – ainsi que des agences d'État américaines – pour transférer des fichiers en toute sécurité au sein des systèmes d'entreprise. Bien que le groupe ait affirmé avoir supprimé toutes les données volées aux gouvernements, aux militaires et aux hôpitaux pour enfants lors des attaques, plusieurs agences fédérales américaines ont tout de même été touchées par la brèche MOVEit. Cela a conduit le programme Rewards for Justice du Département d'État américain à annoncer une récompense de 10 millions de dollars pour toute information reliant les attaques de ransomware Cl0p à un gouvernement étranger.

Akira cible les petites et moyennes entreprises

Après son apparition en 2023, le groupe de ransomware Akira a revendiqué des attaques contre 4LEAF, Park-Rite et Family Day Care Services. Avec des demandes de rançon allant de 50 000 $ à 500 000 $, Akira ransomware a commencé à cibler activement les petites et moyennes entreprises dans le monde entier, en mettant particulièrement l'accent sur les États-Unis et le Canada. Akira infiltre généralement les systèmes Windows et Linux ciblés via des services VPN, en particulier lorsque les utilisateurs n'ont pas activé l'authentification multifacteur.

Les principales attaques de ransomware en 2022

Le cartel de ransomware Conti

Le Costa Rica a été contraint de déclarer l'état d'urgence après que l'attaque par ransomware Conti a plongé le pays dans le chaos en avril 2022. Le président, Rodrigo Chaves, a déclaré que les pirates avaient infiltré 27 institutions gouvernementales, y compris des municipalités et des services publics gérés par l'État. Le cartel de ransomware Conti, qui serait dirigé depuis la Russie, a exigé une rançon de 10 millions de dollars US en échange de la non-divulgation des informations volées au ministère des Finances, contenant potentiellement des données sensibles telles que les déclarations fiscales des citoyens et les informations sur les entreprises opérant dans le pays.

BlackCat (ALPHV) : un ransomware avancé en tant que service

BlackCat fonctionne sur un modèle de Ransomware-as-a-Service, où les créateurs du malware permettent à d'autres groupes de l'utiliser, en collectant un pourcentage de la rançon en retour. Les acteurs malveillants utilisant BlackCat emploient souvent des tactiques de triple extorsion, exigeant une rançon pour déchiffrer les fichiers infectés, pour ne pas publier les données volées et pour ne pas lancer une attaque par déni de service (DoS) ou déni de service distribué (DDoS) contre la victime. Le FBI a lié BlackCat à plus de 60 violations au cours de ses quatre premiers mois d'activité entre novembre 2021 et mars 2022 – affirmant que le gang a récolté au moins 300 millions de dollars US en rançons de plus de 1 000 victimes jusqu'en septembre 2023.

Les principales attaques de ransomware en 2021

Attaque contre Colonial Pipeline provoque une pénurie de carburant

Lors de l'une des attaques les plus significatives contre une chaîne d'approvisionnement, la Colonial Pipeline Company a été victime d'une attaque par ransomware en mai 2021. L'entreprise a suspendu ses actifs informatiques affectés, ainsi que son principal pipeline – responsable du transport de cent millions de gallons de carburant par jour entre le Texas et New York. Le FBI a confirmé que le gang de ransomware DarkSide était responsable de l'attaque.

DarkSide

Le distributeur chimique allemand Brenntag SE aurait payé une rançon de 4,4 millions de dollars US en Bitcoin au gang de ransomware DarkSide pour obtenir un décrypteur pour les fichiers chiffrés par les pirates lors d'une attaque contre l'entreprise. Les acteurs malveillants ont chiffré des appareils sur le réseau et prétendu avoir volé 150 Go de données lors de leur attaque – preuve à l'appui, ils ont créé une page de fuite de données privée avec une description des données prises et des captures d'écran des fichiers.

Attaque de la chaîne d'approvisionnement Kaseya VSA

En 2021, des affiliés de REvil ont exploité des vulnérabilités zero-day dans un outil de gestion et de surveillance des systèmes développé par une entreprise appelée Kaseya, compromettant plus de 30 fournisseurs de services gérés (MSP) dans le monde entier et plus de 1 000 réseaux d'entreprises gérés par ces MSP. Les pertes nettes sont estimées à environ 200 millions de dollars US.

Les principales attaques de ransomware en 2020

Maze Ransomware

Le ransomware Maze est apparu pour la première fois via des pièces jointes d'e-mails malveillants. Cependant, ce malware est devenu plus agressif en combinant le vol de données et le chiffrement. Maze ransomware s'est fait connaître pour ses méthodes de double extorsion – publiant des données volées publiquement si les rançons n'étaient pas payées. Parmi les victimes du groupe figurent le géant de l'assurance cybernétique Chubb, Southwire, Stockdale Radiology et Sunset Radiology.

Attaque contre Garmin perturbe les services GPS

Garmin a subi une interruption de service après avoir été ciblée par une attaque utilisant une souche de malware appelée WastedLocker – qui aurait été déployée par le gang Evil Corp. Finalement, Garmin a obtenu une clé de déchiffrement pour stopper l'attaque par ransomware et libérer ses fichiers chiffrés. Bien qu'il n'ait pas été confirmé publiquement si une rançon a été payée, un employé a déclaré à BleepingComputer que la demande initiale de rançon s'élevait à 10 millions de dollars US.

REvil

Dans le rapport 2020 IBM Security X-Force Incident Response, la société a constaté qu'une infection par ransomware sur trois impliquait REvil/Sodinokibi. Le rapport a également indiqué que le ransomware-as-a-service REvil était le plus fréquemment rencontré cette année-là – tirant parti d'attaques mêlant ransomware et extorsion. Bien que le ransomware exploitait des vulnérabilités dans les serveurs et d'autres actifs critiques des PME lors de son apparition, il a commencé à utiliser d'autres vecteurs d'infection au fil du temps – tels que le phishing et les kits d'exploitation.

Les principales attaques de ransomware en 2019

Ryuk cible les grandes organisations

En 2019, le ransomware Ryuk a généré environ 3,7 millions de dollars US en paiements en Bitcoin. Selon une analyse, l'organisation criminelle appelée Grim Spider s'est spécialisée dans la chasse aux grandes cibles avec Ryuk – visant de grandes organisations pour obtenir des rançons plus élevées.

Émergence de Sodinokibi (REvil)

REvil – ou Sodinokibi – était une opération privée de ransomware-as-a-service (RaaS) basée en Russie, connue pour ses tactiques de double extorsion. Sodinokibi désigne une série d'attaques de ransomware organisées qui ont ciblé l'industrie du transport et les secteurs financiers. REvil, également connu sous le nom de Sodinokibi, est apparu pour la première fois en avril 2019 et s'est imposé après qu'un autre gang RaaS appelé GandCrab a cessé ses activités.

Les principales attaques de ransomware en 2018

Émergence du ransomware Ryuk

Le ransomware Ryuk est une menace cybernétique sophistiquée qui cible des entreprises, des hôpitaux, des institutions gouvernementales et d'autres organisations depuis 2018. Le ransomware a fait sensation après avoir perturbé les opérations de tous les journaux de Tribune Publishing pendant les vacances de Noël de cette année. Le groupe derrière ce malware est connu pour utiliser des techniques de piratage manuel et des outils open-source pour se déplacer latéralement dans les réseaux privés et obtenir un accès administratif à autant de systèmes que possible avant de lancer le chiffrement des fichiers. Ryuk s'est rapidement imposé comme un malware de « chasse aux gros poissons », ciblant notamment des journaux, des hôpitaux et des fonctions organisationnelles municipales.

Attaque SamSam sur les systèmes municipaux américains

Le ransomware SamSam a été développé et exploité par BOSS SPIDER, utilisant des logiciels côté serveur non corrigés pour pénétrer dans les réseaux. SamSam était à l'origine de l'attaque par ransomware de 2018 contre la ville d'Atlanta, en Géorgie, qui a laissé 8 000 employés municipaux sans ordinateurs et empêché les citoyens de payer leurs factures d'eau et leurs contraventions de stationnement.

GandCrab exploite des kits d'exploitation pour sa distribution

En 2018, le ransomware GandCrab était distribué via des kits d'exploitation. Ce ransomware a été le premier à accepter la cryptomonnaie DASH. Les recherches ont montré que GandCrab était diffusé à travers une campagne de publicité malveillante appelée Seamless, qui redirigeait ensuite les visiteurs vers le kit d'exploitation RIG. Ce kit exploitait ensuite des vulnérabilités dans les logiciels des visiteurs pour installer GandCrab sans leur autorisation.

Les principales attaques de ransomware en 2017

WannaCry affecte 230 000 systèmes dans le monde

L'attaque par ransomware WannaCry est souvent considérée comme l'une des plus importantes de l'histoire, infectant au moins 75 000 ordinateurs dans 99 pays et perturbant les hôpitaux et les entreprises à l'échelle mondiale. Shadow Brokers – un groupe de hackers – a utilisé EternalBlue pour exploiter une vulnérabilité dans les PC Microsoft Windows. Ils ont chiffré des fichiers sur environ 230 000 ordinateurs dans le monde, exigeant une rançon entre 300 et 600 dollars US en Bitcoin.

 

Attaque par ransomware NotPetya

Exploitant les mêmes failles EternalBlue que l'attaque WannaCry, l'attaque par ransomware NotPetya a pris une voie plus destructrice en chiffrant les fichiers de manière permanente en infectant le Master Boot Record des ordinateurs Windows pour prendre le système en otage. Ce ransomware modifié garantissait que les fichiers ne pouvaient pas être restaurés, même si la victime payait la rançon. Les dégâts causés par NotPetya ont été estimés à plus de 10 milliards de dollars US – affectant des géants industriels comme Maersk, FedEx, Mondelez, Merck, WPP, Reckitt Benckiser et Saint-Gobain.

Bad Rabbit cible les médias et les transports

La souche de ransomware Bad Rabbit est un variant suspecté de Petya. Comme la plupart des ransomwares, ce virus verrouille l'ordinateur, le serveur ou les fichiers de la victime pour obtenir un paiement de rançon. Cette souche est apparue pour la première fois lors d'une attaque par ransomware en Russie, en Turquie, en Allemagne et en Ukraine. Bien que les premières attaques aient été menées contre le ministère ukrainien de l'infrastructure et le système de transport public de Kyiv, l'attaque semblait également viser les médias – comme Interfax et Fontanka.ru.

Les principales attaques de ransomware en 2016

Locky cible les hôpitaux et les systèmes de santé

Une vague massive de ransomware Locky a été utilisée contre les hôpitaux – infectant les systèmes avec ce malware chiffrant les fichiers. Selon les chercheurs, la charge utile était distribuée via des pièces jointes « .DOCM », qui sont des documents Word 2007 avec macros activées. Les hôpitaux sont souvent une cible attrayante pour les attaques par ransomware en raison de leur nature critique et de la mine d’or de données personnelles qu’ils détiennent.

Petya introduit le chiffrement du Master Boot Record (MBR)

Le variant de ransomware Petya est apparu pour la première fois au début de 2016 et peut être considéré comme un ransomware en trois étapes. Lors de son exécution, la première action de Petya est de remplacer le Master Boot Record du disque dur et d’implanter un chargeur de démarrage personnalisé – provoquant le crash de Windows. Une fois redémarré, le système affichera un écran CHKDSK factice et un crâne clignotant. Après avoir appuyé sur une touche, les instructions pour payer une rançon apparaîtront. Les développeurs de Petya vont plus loin que le simple chiffrement des fichiers : ils choisissent également de prendre en otage l’ensemble du contenu du disque dur en chiffrant sa table de fichiers principale (MFT), rendant tout le système de fichiers inutilisable jusqu’au paiement de la rançon.

Les principales attaques de ransomware en 2015

TeslaCrypt cible les fichiers de jeux vidéo

TeslaCrypt a été le premier ransomware à cibler activement les fichiers de jeux vidéo sur PC. Le malware chiffrait les fichiers de données de jeux comme Call of Duty, Dragon Age, Minecraft, Diablo, et bien d’autres – étant distribué depuis un site web compromis qui redirigeait les visiteurs vers le kit d’exploitation Angler à l’aide d’un clip Flash. Le malware verrouillait généralement le système de la victime, exigeant un paiement et expliquant que les fichiers de l’utilisateur avaient été chiffrés.

Le FBI met en garde contre une forte augmentation des cas de ransomware

En 2015, le rapport Internet Crime Report du FBI a noté qu’il y avait eu 2 453 plaintes liées aux ransomwares cette année-là – une augmentation significative par rapport au total de 1 402 en 2014. Le FBI a averti de cette augmentation des attaques par ransomware – indiquant que lorsque le ransomware est apparu pour la première fois, les infections provenaient principalement de pièces jointes d’e-mails, tandis qu’un nombre croissant d’incidents impliquaient désormais des ransomwares « drive-by », où les utilisateurs peuvent infecter leurs ordinateurs simplement en cliquant sur un site web compromis.

Les principales attaques de ransomware en 2014

Résurgence de CryptoLocker 

Actif de septembre 2013 à la fin mai 2014, CryptoLocker diffusait son malware via des pièces jointes infectées d’e-mails et le botnet Gameover ZeuS. Une fois installé, le ransomware chiffrait les fichiers de l’ordinateur de la victime et exigeait un paiement en Bitcoin ou via un bon d’achat prépayé. 

SynoLocker infecte les appareils NAS de Synology 

Synology, une entreprise spécialisée dans les solutions de stockage en réseau (NAS), a confirmé que certains de leurs appareils DiskStation avaient été piratés par un malware appelé "SynoLocker", qui se propageait via une vulnérabilité dans les anciennes versions de leur logiciel NAS. Les attaquants exigeaient 0,6 Bitcoin pour déchiffrer les fichiers. 

CryptoWall 

Le ransomware CryptoWall a commencé à infiltrer les réseaux en accédant via des plugins de navigateur exploités, en téléchargeant la charge utile ou en étant intégré sous forme de charge utile dans une image envoyée via des campagnes d’e-mails anonymes. Une fois l’image infectée téléchargée, la charge utile exécutait le script CryptoWall, infectant l’ordinateur. Selon le FBI, plus de 992 plaintes liées à CryptoWall ont été reçues entre avril 2014 et juin 2015 – période durant laquelle les victimes ont signalé des pertes de plus de 18 millions de dollars US. 

Groupes de ransomware populaires

Bien que la personne moyenne puisse avoir du mal à lancer une attaque de ransomware à grande échelle, la plupart des attaques de ransomware sont menées par des gangs de ransomware-as-a-Service ou par certains des principaux gangs de ransomware eux-mêmes. Voici quelques-uns des principaux noms du ransomware actuel.

Brain Cipher est un groupe de ransomware qui a fait la une des journaux en piratant le Centre national des données de l'Indonésie et en exigeant une rançon de 8 millions de dollars US. Identifié pour la première fois à la mi-2024, le ransomware du groupe ressemble étroitement à ceux produits par le constructeur LockBit 3.0 divulgué – ce qui suggère que le groupe a probablement utilisé ce constructeur pour créer son malware. Le groupe dirige souvent les victimes vers une page de communication basée sur Tor pour négocier la rançon, utilisant également des plateformes du dark web pour annoncer les violations et nuire à la réputation afin d'accélérer les paiements de rançon.

Le groupe de ransomware Hellcat a attiré une attention massive en peu de temps depuis octobre 2024 en ciblant des entités de haut niveau. En novembre, le groupe a attaqué la multinationale française Schneider Electric et a affirmé avoir volé 40 Go de données. Fait inhabituel, le groupe a exigé une rançon de 125 000 $ US sous forme de baguettes pour faire les gros titres, puis a déclaré chercher un paiement en Monero, une cryptomonnaie axée sur la confidentialité. Ce groupe de ransomware infiltre généralement des systèmes hautement sensibles pour voler de grandes quantités de données sensibles, puis menace de les divulguer à moins que leurs demandes de rançon ne soient satisfaites.

Le groupe de ransomware REvil – également connu sous le nom de Ransomware Evil ou Sodinokibi – était une plateforme russe de ransomware-as-a-service (RaaS) tristement célèbre. Le groupe a revendiqué de nombreuses attaques de grande envergure et est rapidement devenu une force redoutable. Cependant, le groupe a été démantelé en 2022 à la demande des États-Unis. 

Le groupe de ransomware DarkSide est apparu en août 2020 et est rapidement devenu une plateforme majeure de ransomware-as-a-service. DarkSide se présente comme un groupe professionnel et utilise souvent une approche très ciblée – avec la double extorsion comme l'une de ses principales armes. Le groupe est responsable de l'attaque par ransomware contre Colonial Pipeline en 2021.

Le groupe de ransomware CL0P est apparu en 2019, utilisant son ransomware éponyme qui fait partie de la famille des ransomwares Cryptomix. Le ransomware utilise une extension « .clop » après avoir chiffré les fichiers de la victime. Une autre caractéristique unique du malware est la chaîne « Don’t Worry C|0P » incluse dans la note de rançon laissée derrière. Le ransomware tente de désactiver Windows Defender et de supprimer Microsoft Security Essentials pour éviter toute détection. 

Le groupe de ransomware RansomHub est apparu au début de 2024 et est déjà considéré comme l’un des groupes de ransomware les plus prolifiques existants. Selon un avis du gouvernement américain, des acteurs malveillants liés au groupe de ransomware RansomHub ont chiffré et exfiltré des données provenant d’au moins 210 victimes depuis sa création en février 2024. Le groupe est probablement une version mise à jour de l’ancien ransomware Knight et cible plusieurs plateformes pour exploiter des vulnérabilités lors de l’accès initial. La plateforme de ransomware-as-a-service a également attiré des affiliés de haut niveau d’autres variantes bien connues – comme LockBit et ALPHV.

Le groupe de ransomware Play – ou PlayCrypt – est actif depuis juin 2022 et a impacté un large éventail d’entreprises et d’infrastructures critiques à travers le monde. Le FBI était au courant d’environ 300 entités touchées par le groupe de ransomware en octobre 2023. Ce groupe est présumé être un groupe fermé conçu pour « garantir la confidentialité des transactions » et utilise souvent des méthodes de double extorsion pour exfiltrer et exploiter les données.

Le groupe de ransomware Hunters International a été lancé à la fin de 2023 et a été signalé comme une possible refonte de Hive en raison de similitudes dans son code. En 2024, le groupe a annoncé 134 attaques par ransomware contre diverses organisations dans le monde, le classant dixième parmi les groupes les plus actifs dans ce domaine. 

Le groupe de ransomware Akira est apparu en 2023 et a rapidement gravi les échelons en frappant de nombreuses organisations. Le ransomware est conçu pour chiffrer les données sur les ordinateurs infectés en ajoutant l’extension « .akira » aux noms de fichiers. Selon un avis de l’IC3, le groupe de ransomware a impacté plus de 250 organisations et revendiqué environ 42 millions de dollars US de revenus liés aux rançons en janvier 2024.

Protéger les organisations contre les ransomwares

La cybersécurité doit devenir une priorité pour toutes les organisations souhaitant se développer à l'ère numérique. Les répercussions d'une cyberattaque sont bien trop nombreuses pour ignorer la nécessité de se concentrer sur la protection contre les ransomwares et leur prévention. Voici quelques moyens de défendre votre organisation contre les ransomwares.

Mesures proactives

Paul Webber, Senior Director Analyst chez Gartner, a déclaré que les organisations doivent se concentrer sur la préparation et l'atténuation précoce pour réduire les pertes dues aux ransomwares. La cybersécurité proactive consiste à anticiper une attaque avant qu'elle ne se produise et à la prévenir en identifiant les faiblesses potentielles d'un réseau avant qu'elles ne soient exploitées. Exemples de mesures proactives : l'utilisation de la détection des menaces, des pare-feu ou des tests de vulnérabilité.

  • Les organisations peuvent également effectuer des sauvegardes régulières des données et isoler les systèmes de sauvegarde – sécurisant les données de l’entreprise sur un support externe protégé par mot de passe pour le garder déconnecté du réseau principal et hors de portée des pirates en cas d’attaque par ransomware.
  • Un outil efficace de détection et réponse des points de terminaison (EDR) garantira que les points de terminaison du réseau sont étroitement surveillés et sécurisés. Sangfor Endpoint Secure utilise des outils anti-ransomware innovants – comme le premier honeypot ransomware au monde pour les points de terminaison – afin de détecter rapidement et d’arrêter le processus de chiffrement, minimisant ainsi tout dommage au système. L'application de contrôle du chiffrement est également identifiée et localisée sur d'autres systèmes infectés, permettant une « élimination en un clic » pour éradiquer le ransomware détecté dans toute l'organisation en un seul clic.
  • Les e-mails de phishing sont l'un des moyens les plus courants pour les malwares d'infiltrer un réseau. Renforcez votre organisation de manière proactive en mettant en place une sécurité e-mail solide et en filtrant les spams dans toute votre équipe. Les scanners d’e-mails de passerelle peuvent facilement filtrer les fichiers selon leurs extensions ; assurez-vous que votre organisation refuse les e-mails avec des extensions inhabituelles et suspectes comme « .EXE ».

Formation des employés

Vos employés sont votre première ligne de défense contre une cyberattaque. Leurs actions détermineront probablement la gravité et la portée d'une attaque par ransomware dans les premiers moments critiques. C’est pourquoi il est crucial de former votre personnel à reconnaître et réagir de manière appropriée. Selon une étude, la formation à la sensibilisation à la cybersécurité entraîne une réduction de 70 % des risques liés à la sécurité.

  • Éduquez votre personnel sur les attaques par phishing et les pratiques de base en matière d’hygiène numérique. Cela garantira que vos employés ne cliquent pas sur des liens ou des pièces jointes suspects et utilisent Internet de manière sécurisée. Investissez dans des campagnes de sensibilisation à la cybersécurité dans vos locaux et créez une culture de prudence numérique.
  • Préparez également votre personnel en organisant des simulations régulières pour tester leur conscience et leurs connaissances. Ces tests leur permettront d'apprendre de leurs erreurs et d'améliorer leur stratégie de réponse dans un environnement sûr et constructif. Les organisations peuvent également choisir d’incentiver ces simulations et de récompenser les employés qui réagissent correctement, renforçant ainsi positivement les bonnes pratiques de cybersécurité.

Solutions anti-ransomware

Les solutions anti-ransomware sont des services et des plateformes spécifiquement conçus pour éviter, détecter, combattre et se remettre des attaques par ransomware. Bien que la plupart des solutions de cybersécurité offrent une protection globale, les solutions anti-ransomware proposent une approche ciblée, pratique et proactive qui réduit activement les attaques par ransomware, renforce les points de terminaison et les vulnérabilités, et offre une tranquillité d'esprit aux organisations dans tous les secteurs.

Plans de réponse aux incidents

Une fois qu’une attaque par ransomware est en cours, il est important de garder son sang-froid et de suivre des directives strictes pour éviter d’autres dommages, interruptions et pertes de données. Cela se fait en créant un solide plan de réponse aux incidents. L’objectif de ce plan est de contenir la brèche, de minimiser les dégâts et de rétablir rapidement les opérations normales.

  • Pour adopter une approche plus directe de la protection contre les ransomwares, essayez de développer une stratégie de réponse spécifique aux ransomwares. Ce plan impliquera d’informer les autorités, de sauvegarder les données, de sécuriser les points de terminaison et de contacter une équipe de réponse aux incidents en cybersécurité.
  • Pour atténuer toute perte financière due à une attaque par ransomware, votre organisation doit investir dans une assurance cybersécurité. Cette politique garantira que votre entreprise ne subit pas de coup dur – que ce soit pour payer une rançon ou financer votre rétablissement.

Bien que ces méthodes soient toutes valables et efficaces pour sécuriser votre organisation contre les ransomwares, les normes de conformité en matière de cybersécurité sont un moyen sûr de maintenir des pratiques strictes de prévention des ransomwares.

Principales normes de conformité en matière de cybersécurité

Les ransomwares constituent un problème mondial, et les menaces numériques ne peuvent plus être ignorées par les agences gouvernementales et les systèmes. C’est pourquoi les normes de conformité en matière de cybersécurité jouent un rôle crucial dans la protection des organisations contre les ransomwares et autres cybermenaces. Ces réglementations et lois permettent de contrôler les organisations et de fournir des lignes directrices, des pénalités et des dispositions pour maintenir des pratiques de cybersécurité adéquates. Passons en revue certaines des principales normes de conformité en cybersécurité disponibles aujourd’hui.

Le cadre NIST fournit une série de normes pour permettre à de nombreuses entreprises du secteur privé de détecter, répondre et se remettre efficacement des cyberattaques. Il crée un langage commun pour comprendre les menaces cybernétiques complexes et résoudre des problèmes de cybersécurité difficiles. Le NIST est une agence non réglementaire du département américain du Commerce, fondée en 1901.

Le cadre ISO 27001 se concentre sur plusieurs éléments fondamentaux des exigences de conformité en matière de cybersécurité. Ces réglementations sont utilisées pour garantir la gestion de la sécurité de l'information et sont guidées par une certification qui valide le niveau d'une solution ou d'un programme de cybersécurité.

La California Consumer Privacy Act de 2018 (CCPA) donne aux consommateurs un plus grand contrôle sur les informations personnelles collectées à leur sujet par les entreprises, tandis que les réglementations du CCPA fournissent des directives sur la mise en œuvre de la loi. 

Le Règlement Général sur la Protection des Données (RGPD) européen est l'une des lois sur la confidentialité et la sécurité les plus strictes au monde. Bien qu'il ait été rédigé et adopté par l'Union européenne (UE), il impose des obligations aux organisations partout dans le monde, tant qu'elles ciblent ou collectent des données liées à des personnes situées dans l'UE.

La HIPAA Act de 1996 est une loi fédérale qui protège les informations sensibles sur la santé des patients contre toute divulgation sans le consentement ou la connaissance du patient. Cela garantit que les travailleurs de la santé et les organisations ne peuvent pas divulguer les dossiers ou les informations des patients. La HIPAA exige également la mise en place de réglementations administratives, physiques et techniques.

L’Ordonnance sur les données personnelles (confidentialité) de Hong Kong (Chapitre 486 des lois de Hong Kong) (« PDPO ») est l’une des lois les plus anciennes d’Asie en matière de protection complète des données et régit la gestion des données personnelles par les utilisateurs de données.

La Loi sur la protection des données personnelles (PDPA) établit une norme de base pour la protection des données personnelles à Singapour. Elle complète les cadres législatifs et réglementaires spécifiques à certains secteurs, tels que la Loi sur les banques et la Loi sur les assurances. Elle comprend également diverses exigences régissant la collecte, l'utilisation, la divulgation et la gestion des données personnelles à Singapour.

La Loi sur la protection des données personnelles BE 2562 (2019) (PDPA) de Thaïlande est une loi principale sur la protection des données des consommateurs qui protège l'intégrité des données des individus. La loi définit les droits des utilisateurs sur leurs informations personnelles, fournit des directives pour collecter et utiliser légalement les informations des consommateurs, et énumère les sanctions en cas de violation de ces exigences.

La Loi sur la protection des données de 2012 – ou Loi de la République n° 10173 – protège la vie privée des individus tout en garantissant la libre circulation des informations pour promouvoir l'innovation et la croissance. La loi réglemente également la collecte, l'enregistrement, l'organisation, le stockage, la mise à jour ou la modification, la récupération, la consultation, l'utilisation, la consolidation, le blocage, l'effacement ou la destruction des données personnelles. Elle veille en outre à ce que les Philippines se conforment aux normes internationales établies en matière de protection des données grâce à la Commission nationale de la protection de la vie privée (NPC).

La Loi sur la protection des données personnelles de 2010 (PDPA) – Loi 709 réglemente le traitement des données personnelles des individus impliqués dans des transactions commerciales. En vertu de cette loi, les utilisateurs sont protégés contre toute forme d'abus lors du stockage ou du traitement des données personnelles des individus dans les secteurs public et privé en Malaisie.

La solution Sangfor pour les attaques par ransomware

Les ransomwares évoluent et se perfectionnent constamment dans leurs méthodes d'infiltration des réseaux. Bien qu'il puisse sembler impossible pour les individus d'agir lorsque de grandes entreprises sont compromises, il est possible de mettre en œuvre des mesures de cybersécurité appropriées à plus petite échelle pour s'assurer de ne pas devenir la prochaine victime d'une attaque par ransomware.

Sangfor Technologies est une entreprise de classe mondiale spécialisée dans la cybersécurité et l'informatique en nuage, offrant des solutions intensives et avancées de prévention contre les ransomwares ainsi qu'une infrastructure informatique de pointe. La détection et l'évitement des ransomwares n'ont jamais été aussi simples grâce à cette solution intégrée qui réunit plusieurs produits avancés de Sangfor :

Solution anti-ransomware Sangfor

Sangfor Network Secure, Sangfor Endpoint Secure et Sangfor Engine Zero constituent ensemble la solution de sécurité de Sangfor contre les ransomwares. Cette solution utilise Sangfor Network Secure, un pare-feu avancé de sécurité réseau de nouvelle génération (NGFW), pour une surveillance et une protection complètes et intégrées de l’ensemble de votre réseau de sécurité afin d’éliminer toute menace malveillante. Associée à Sangfor Endpoint Secure (plateforme de protection des points de terminaison), la solution identifie les fichiers malveillants à la fois au niveau du réseau et des points de terminaison. De plus, avec Sangfor Engine Zero, la solution offre un taux de détection de 99,76 % des malwares connus et inconnus sur internet.

Voir le produit
Sangfor Anti-Ransomware Solution

Sangfor Network Secure : Pare-feu nouvelle génération (NGFW)

Sangfor Network Secure est un pare-feu de nouvelle génération (NGFW) offrant une protection complète et fiable pour le réseau et les systèmes de votre organisation. Ses principales valeurs incluent un excellent rapport qualité-prix, une sécurité renforcée par l’IA et les renseignements sur les menaces (TI), des opérations de sécurité simplifiées, ainsi que des fonctionnalités uniques telles que la déception en cloud, le WAF, etc. Sangfor Network Secure est reconnu comme un fournisseur « Visionnaire » dans le Magic Quadrant de Gartner 2022 pour la 2ᵉ année consécutive, 8ᵉ année dans le Magic Quadrant de Gartner pour les pare-feux réseau, et comme « Voice of the Customer » dans les retours des clients via Gartner® Peer Insights™. Il a été couronné Entreprise de l’année 2023 dans la catégorie des pare-feux de nouvelle génération en Asie-Pacifique par Frost & Sullivan.

Voir le produit
Next-Generation Firewall (NGFW)

Sangfor Cyber ​​Command : Solution de détection et de réponse réseau (NDR)

La solution révolutionnaire de détection et réponse réseau de Sangfor, Cyber Command, offre des réponses automatisées aux menaces qui infiltrent votre système. Elle renforce la sécurité informatique des organisations grâce à une surveillance vigilante de tout le trafic réseau, en corrélant les événements de sécurité provenant de diverses sources, et en appliquant une analyse du trafic réseau et du comportement basée sur l’IA, le tout soutenu par des renseignements mondiaux sur les menaces. Gartner a reconnu Sangfor Technologies avec Cyber Command comme un fournisseur représentatif pour la détection et réponse réseau (NDR) dans son guide du marché pour la deuxième fois consécutive.

Voir le produit
Cyber Command NDR

Sangfor Endpoint Secure : Plateforme de protection des terminaux (EPP)

Sangfor Endpoint Secure est une solution puissante de prévention contre les ransomwares, car elle installe une technologie avancée de honeypot ransomware pour identifier rapidement et arrêter les processus de chiffrement de fichiers avant que des dommages majeurs ne soient causés. Elle détecte les processus suspects liés aux ransomwares et les bloque en seulement 3 secondes, garantissant ainsi un impact minimal sur les actifs des utilisateurs. Sangfor Endpoint Secure atteint un taux de précision de détection de 99,83 % en déployant des indicateurs de compromission des ransomwares collectés auprès de plus de 12 millions d’appareils.

Voir le produit
Sangfor Endpoint Secure

Questions fréquemment posées

Un ransomware est un type de logiciel malveillant qui crypte les fichiers ou verrouille les systèmes des utilisateurs jusqu'à ce qu'une rançon soit payée, généralement en crypto-monnaie. Une attaque par ransomware se produit lorsqu'un ordinateur ou un réseau est infecté par un ransomware, ce qui entraîne le chiffrement des données ou le verrouillage du système jusqu'au paiement d'une rançon. Parmi les ransomwares connus, on peut citer WannaCry, NotPetya, Ryuk, etc. L'évolution des ransomwares avec des techniques avancées d'intrusion et d'extorsion de rançon devient une menace majeure pour les organisations du monde entier.

Il existe plusieurs types de ransomwares tout au long de l’histoire des ransomwares, chacun avec ses caractéristiques et méthodes de fonctionnement uniques. Voici quelques exemples de types de ransomwares :

  • Ransomware de chiffrement : CryptoLocker, WannaCry, Locky.
  • Ransomware de verrouillage : Winlocker, ransomwares à thème policier.
  • Ransomware mobile : Android/Simplocker, Pegasus (iOS).
  • Ransomware en tant que service (RaaS) : Cerber, Satan, Philadelphia.
  • Scareware : Faux logiciels antivirus, arnaques au support technique.
  • Doxware/Leakware : Maze, REvil/Sodinokibi.

Au fil de l'évolution des ransomwares, les cybercriminels sont devenus plus sophistiqués en utilisant diverses méthodes pour infecter les ordinateurs avec des ransomwares. Parmi les méthodes les plus courantes, citons les courriels d'hameçonnage, les liens malveillants, les kits d'exploitation, la publicité malveillante, les attaques par protocole de bureau à distance (RDP), les téléchargements « drive-by », les réseaux de partage de fichiers et les logiciels piratés.

Parmi les attaques de ransomwares les plus célèbres de l'histoire des ransomwares, on peut citer : L'attaque WannaCry en 2017 affectant 200 000 ordinateurs à travers 150 pays causant une perte nette de 4 milliards de dollars, NotPetya (Petya) en 2017 causant une perte de 10 milliards de dollars, l'attaque Colonial Pipeline en 2021 conduisant à des pertes financières de 4,4 millions de dollars, et REvil a extorqué 200 millions de dollars entre 2019 et 2021.

Les rançongiciels sont apparus pour la première fois à la fin des années 1980, le premier cas documenté étant le cheval de Troie AIDS (également connu sous le nom de PC Cyborg) en 1989. Ce ransomware était distribué par le biais de disquettes et ciblait les organismes de santé. Le cheval de Troie AIDS cryptait les fichiers des systèmes infectés et exigeait le paiement de 189 dollars à une boîte postale au Panama pour recevoir une clé de décryptage. Depuis la première attaque, l'évolution des ransomwares s'est accélérée, bien plus rapidement que ce à quoi les organisations s'attendaient.

Les premières formes de ransomware étaient relativement simplistes par rapport aux variantes modernes. En raison de l'évolution des ransomwares au fil du temps, ils sont devenus plus sophistiqués et plus répandus, avec des avancées dans les algorithmes de chiffrement, les méthodes de distribution (telles que le phishing par courriel et les kits d'exploitation) et les mécanismes de paiement des rançons (tels que le bitcoin et d'autres crypto-monnaies).

  • Effectuer des évaluations des risques et des audits réguliers pour garantir la conformité.
  • Assurer des mécanismes appropriés de journalisation, de surveillance et de reporting.
  • Mettre à jour les politiques de confidentialité et les politiques en matière de cookies pour collecter des données de manière sécurisée.
  • Fournir un soutien essentiel aux utilisateurs souhaitant ne pas fournir certaines informations.
  • Investir dans des plateformes de cybersécurité gérées et des expertises pour maintenir la conformité. 
  • Encourager une culture de transparence et de responsabilité sur le lieu de travail pour renforcer les comportements positifs.
  • Former les employés sur les politiques de conformité et les tenir informés des éventuels changements.

Les organisations ne peuvent pas lutter seules contre la vague de ransomwares. C’est précisément pourquoi de nombreux pays disposent d’organismes dédiés à la défense en cybersécurité et à la prévention des menaces. Un élément clé de cette collaboration est de favoriser une relation entre les pairs de l’industrie pour prévenir les attaques par ransomware. Cela permettra aux organisations de partager des renseignements sur les menaces et des informations avec leurs pairs pour atténuer les menaces futures et faciliter la récupération.

Les organisations devraient également établir une relation avec les forces de l’ordre locales afin de garantir que les autorités soient rapidement impliquées dans leur plan de réponse aux incidents – atténuant ainsi les problèmes juridiques ultérieurs et fournissant une base pour une affaire criminelle. Les organisations devraient également contacter des agences spécialisées dans l’intervention en cybersécurité.

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) propose de nombreux outils, ressources et services pour aider à identifier et à se protéger contre les cyberattaques. L’agence collabore également avec les gouvernements à tous les niveaux – ainsi qu’avec des entités internationales et du secteur privé – pour partager des informations et collaborer à la sécurisation des réseaux à l’échelle mondiale.