En 2021, on a constaté une augmentation significative de l’utilisation de rançongiciels contre des entreprises aux États-Unis, au Royaume-Uni et en Australie.

Les rançongiciels sont des logiciels malveillants qui chiffrent les données des utilisateurs et accordent un accès au réseau aux acteurs de la menace. Une fois qu’ils ont accès aux données d’une entreprise, ils menacent de divulguer de l’information sensible et d’interrompre les opérations commerciales jusqu’à ce que la victime paie une rançon, d’où le nom.

Malheureusement, le paiement de la rançon ne garantit pas que l’acteur de la menace débloquera vos fichiers ou que vos données seront en sécurité. En fait, l’Agence de cybersécurité et de sécurité des infrastructures (CISA) du gouvernement américain ne recommande pas du tout le paiement de rançons, car plus les rançongiciels sont rentables, plus ils pourraient devenir courants et complexes.

Au lieu de cela, la CISA, ainsi que le National Cyber Security Centre du Royaume-Uni (NCSC-UK) et le Australian Cyber Security Centre (ACSC), ont formulé des recommandations pour prévenir les attaques par rançongiciels et minimiser leur impact.

Comment les rançongiciels sont-ils devenus plus courants et plus dangereux?

L’augmentation des attaques par rançongiciels peut être attribuée à la pandémie de COVID-19 à plusieurs égards. Premièrement, l’utilisation des réseaux en nuage renseignements sensibles et les infrastructures critiques accessibles aux acteurs malveillants sur le Web. Deuxièmement, la pandémie a fait baisser les revenus de nombreux ménages, car les confinements et les problèmes de chaîne d’approvisionnement ont persisté, faisant des activités illicites en ligne – comme l’utilisation de rançongiciels – un moyen plus facile de gagner de l’argent.

À mesure que les rançongiciels deviennent plus rentables et plus accessibles, les organisations des pirates deviennent plus complexes. Il existe désormais des organisations entières dotées de services d’assistance à la clientèle qui accompagnent les victimes tout au long du processus de paiement des rançons et de décryptage de leurs fichiers.

Ces entreprises ont augmenté leur rentabilité en vendant des données volées à d’autres escrocs. Cela signifie qu’une fois que les données d’une victime ont été volées, de multiples organisations criminelles pourraient les utiliser pour la menacer et l’extorquer.

Comment un rançongiciel peut-il s’introduire dans mon réseau?

La stratégie la plus courante employée par les acteurs de menace est l’hameçonnage. L’hameçonnage est une tactique de peur dans laquelle les cybercriminels se font passer pour une entité légitime, comme l’IRS, les forces de l’ordre ou un logiciel antipourriel, et contactent des personnes pour les informer d’un problème – par exemple, un problème avec leur dernière déclaration de revenus, un mandat d’arrêt ou, ironiquement, une faille de sécurité dans leur réseau.

Pour résoudre le problème, ils demandent aux victimes de cliquer sur un lien, qui télécharge ensuite un rançongiciel sur l’ordinateur de l’utilisateur, donnant à l’acteur de la menace l’accès à ses données et à son réseau.

Comment éviter que les rançongiciels n’affectent mon entreprise?

Voici les mesures que la CISA, le ACSC et le NCSC-UK recommandent à une entreprise de prendre pour prévenir les attaques par rançongiciels :

• Maintenez les logiciels à jour.
• Formez les employés sur la façon de détecter l’hameçonnage et de gérer les attaques par rançongiciels.
• Utilisez des mots de passe uniques et activez l’authentification multifactorielle (AMF), notamment sur les comptes administratifs.
• Segmentez les réseaux de manière à ce que les brèches n’affectent que certaines parties du réseau plutôt que sa totalité.
• Limitez les opérations qui ont lieu dans le nuage.
• Activez les filtres antipourriel.
• Sauvegardez régulièrement vos fichiers, séparément les uns des autres, et sur un réseau distinct.

Ils recommandent surtout de ne pas payer la rançon, car cela encouragerait les cybercriminels à continuer d’utiliser les rançongiciels pour extorquer de l’argent.

Comment réagir à une attaque par rançongiciel?

Si un rançongiciel s’introduit dans le réseau de votre entreprise, il est important d’agir rapidement et de suivre ces pratiques exemplaires :

1. Enregistrez le nom du fichier qui a été téléchargé et le contenu de la demande de rançon. Vous pouvez le faire rapidement en prenant une photo de l’écran avec votre téléphone. Cela vous sera également utile pour travailler avec les professionnels de l’informatique et les autorités.
2. Éteignez l’appareil infecté. Cela interrompt le processus de cryptage et peut même empêcher le rançongiciel de se propager sur le réseau. Ne remettez pas l’appareil en marche vous-même – demandez l’aide d’un professionnel de l’informatique.
3. Déconnectez manuellement tous les autres appareils du réseau. En les éteignant à l’aide du bouton d’alimentation ou en les débranchant, ils sont déconnectés du réseau, ce qui peut ralentir la propagation.
4. Changez les mots de passe. Activez l’AMF si vous ne l’avez pas encore fait.
5. Localisez les sauvegardes. Ne connectez pas les sauvegardes non infectées au réseau, car cela les exposerait au logiciel malveillant. Si vous n’avez pas de sauvegardes non infectées, un professionnel de l’informatique peut vous aider à récupérer vos données cryptées, mais il n’y a aucune garantie qu’il y parvienne.
6. Supprimez le rançongiciel. Pour ce faire, on efface les disques et les périphériques infectés et on réinstalle leur système d’exploitation, ce qui supprime définitivement les données qui y étaient stockées.
7. Restaurez les informations à partir de la sauvegarde. Une fois que votre ordinateur et votre réseau sont débarrassés du rançongiciel, vous pouvez téléverser en toute sécurité des sauvegardes non infectées.
8. Prévenez les autorités de l’attaque. Cela peut contribuer à vous protéger contre une nouvelle attaque et empêcher les acteurs de la menace de cibler d’autres personnes.

Si les rançongiciels sont devenus plus courants à l’ère du travail à domicile, votre entreprise peut prendre des mesures pour prévenir les attaques et s’en remettre. En réagissant rapidement aux brèches de sécurité et en les signalant, vous minimisez à la fois leur impact sur votre entreprise et la probabilité qu’elles se reproduisent.