Les ransomware affectent encore de nombreuses entreprises

Les attaques par rançongiciels ou ransomware continuent leur progression sans qu'il soit toujours possible, même pour les entreprises les mieux préparées, de les anticiper. Au cours des 12 derniers mois, 37 % d'entre elles ont été la cible d'une ou plusieurs attaques par ransomware, à en croire les chiffres d'une étude IDC. Aujourd'hui, plus sophistiquées et plus difficiles à déjouer, les conséquences des rançongiciels sont aussi plus coûteuses.

Explosion des attaques et du montant des rançons

Mieux vaut prévenir que guérir. En septembre 2020, l’Agence nationale de la sécurité des systèmes d’information (A.N.S.S.I.), publiait son guide de sensibilisation aux attaques de rançongiciels. Il s’agissait déjà d’alerter les acteurs privés et publics de la recrudescence des attaques par ransomware (+255% de signalement d’attaques par rançongiciel pour la seule année 2020). Même constat en 2021, à la différence que les sommes exigées par les pirates informatiques sont plus élevées : 115 000 dollars en 2019 contre 312 000 dollars en moyenne en 2021, d'après les chiffres de Palo Alto Networks. Cette moyenne est cependant faussée par des rançons atteignant le million. Et pour preuve, le 3 juillet dernier, Kaseya, éditeur de logiciels de gestion de réseau informatique pour les entreprises, annonçait sur son site Internet, avoir été victime d’une attaque par rançongiciel de grande ampleur. Les cyberattaquants exigeaient le paiement de 70 millions de dollars contre le déchiffrement des fichiers infectés. La société américaine a indiqué depuis avoir réussi à résoudre le problème, sans payer la rançon.

Les raisons de cette augmentation ? Elles sont multiples : prenons le cas des sociétés retenues dans l’étude IDC précédemment citée : seules 13% des organisations ayant subi une attaque disent ne pas avoir payé de rançon. Une majorité des entreprises, quand elles en ont les moyens, préfèrent payer plutôt que de bloquer l’accès à leur système ou envoyer un mauvais signal au marché. Le succès mondial des cryptomonnaies, qui facilite la dissimulation de paiements électroniques d’un montant élevé, fait également partie des causes. Il va sans dire que tout ceci ne résout rien et conforte même les cyberattaquants dans leur approche. En payant, les entreprises jouent le jeu des pirates informatiques et restent sous leur menace : rien ne garantit que l’arrêt des menaces ou encore qu’ils ne réutilisent les données usurpées… Il s’agirait donc de ne pas payer et surtout de tirer les leçons de ces attaques. Comment ? En déployant une stratégie de sécurité permettant de lutter contre ces ransomwares. Ceci exige, bien sûr, d’avoir la bonne posture et les bons outils…

La Ransomware as a Service

L’apparition du Ransomware as a Service (RaaS) a eu pour effet d’accélérer la montée des attaques. Le RaaS s’est répandu parmi les attaques de ransomware en 2016, peu après les premiers rapports identifiant ce type de malware. Il s’agit pour un développeur de ransomware d’en concéder la licence à des tiers pour leur propre usage. Ces tiers n’ont donc pas besoin de connaissances techniques poussées pour lancer des attaques. La licence RaaS comprend souvent le support technique, l’accès à des forums utilisateurs et d’autres fonctions courantes, disponibles sous forme de service. La seule condition pour l’utilisateur final est le paiement de la licence, dont le montant peut aller de moins de 100 dollars par mois à plusieurs milliers par campagne, avec une commission sur les recettes.

A cela s’ajoute la pratique des doubles rançons, connue depuis 2019, qui s’est véritablement démocratisée lorsque Twisted Spider (groupe criminel responsable du célèbre ransomware Maze) l’a adoptée, début 2020. Elle consiste à verrouiller les données de la cible, en adressant également une seconde demande de rançon avec la menace de publier les données en cas de non-paiement des sommes exigées. Cette technique a non seulement pour effet d’inciter à un paiement plus rapide, mais elle compense aussi le « manque à gagner » sur les cibles qui disposent de sauvegardes et de processus leur permettant de surmonter une attaque classique. Certains assaillants ont même commencé à exiger des « triples rançons », en menaçant de lancer des attaques étendues de déni de service (DoS), si les négociations n’avancent pas et que la victime tarde à payer.

Pas de solution miracle, mais des bonnes pratiques

Une attaque par ransomware n’est cependant pas une fatalité. La première mesure à prendre est la pédagogie. Les premiers concernés sont les employés qui restent aujourd’hui encore, l’une des principales failles : il est donc essentiel de dispenser des formations et de sensibiliser à la sécurité des données. Il est également recommandé de réaliser, très fréquemment, des sauvegardes de données sur tous les systèmes critiques, en stockant les sauvegardes hors réseau sans écraser les précédentes. Conserver cette possibilité de restauration permet d’anticiper et de réduire l’impact d’une attaque, sous condition de les tester régulièrement. Des correctifs peuvent, et doivent être appliqués aux systèmes critiques étant plus à risques, pour empêcher les ransomware de s’introduire dans les environnements d’entreprise en exploitant des vulnérabilités connues. Enfin, il est recommandé de désactiver le protocole RDP (Remote Desktop Protocol) de l’environnement d’entreprise, car de nombreuses variantes l’utilisent comme source et instrument d’infection.

En somme, l’application d’une bonne hygiène de sécurité, comprenant l’authentification multifacteur et une segmentation active du réseau, peut contribuer à réduire l’exposition aux risques. Mais, compte tenu de la diversité des acteurs malveillants et de la sophistication des ransomware, il ne semble guère possible d’éliminer totalement le risque. La technologie ne peut bien sûr pas tout faire. Il faut prendre des mesures au plus haut niveau, comme c’est le cas en France avec l’A.N.S.S.I., rattachée au secrétariat général de la Défense et de la Sécurité nationale, ou aux États-Unis, où le pouvoir mène des campagnes de sensibilisation auprès des entreprises.