Les rançongiciels sont une catégorie de logiciels malveillants qui bloquent l’accès aux données d’une victime ou qui menacent de publier des renseignements sensibles si les exigences des attaquants ne sont pas satisfaites. Les rançongiciels fonctionnent en chiffrant les fichiers informatiques; les utilisateurs sont obligés de payer la rançon demandée ou risquent de subir les conséquences.
La valeur de nos données sensibles augmente à mesure que nos interactions avec les systèmes numériques et notre dépendance vis-à-vis d’eux s’accroissent. Bien que certains cybercriminels cherchent surtout à voler discrètement vos données pour les vendre ou les utiliser pour eux-mêmes, d’autres se contentent de les prendre en otage. Lorsqu’une personne malveillante externe prend le contrôle de votre système, de vos données, de vos applications, etc., puis tente de vous contraindre à payer pour les récupérer, c’est ce qu’on appelle une attaque par rançongiciel.
Malheureusement, ce type de cybercrime est bien trop répandu. En 2020 seulement, près de 2 500 plaintes pour attaques par rançongiciel ont été déposées auprès de l’Internet Crime Complaint Center du FBI, avec des pertes ajustées s’élevant à plus de 29,1 millions de dollars. Et le risque ne cesse de croître : dans le monde, les signalements relatifs aux rançongiciels ont augmenté de plus de 700 % depuis 2019-2020. En fait, face à la montée de ce danger pour les entreprises, les administrations et les citoyens américains, le président Biden a publié un ordre exécutif en mai 2021 (Improving the Nation’s Cybersecurity) (améliorer la cybersécurité de la nation), détaillant les politiques fédérales et les pratiques exemplaires conçues pour offrir une protection accrue contre la menace des rançongiciels.
Bien que les rançongiciels soient reconnus comme l’une des plus grandes menaces à la cybersécurité de l’ère de l’Internet, leurs origines précèdent l’ouverture du Web au public. Les rançongiciels ont une histoire complexe et n’ont cessé d’évoluer avec les technologies de l’information.
Les événements clés qui ont contribué à faire des rançongiciels un danger important sont les suivants :
- 1989 : Cheval de Troie SIDA
Le cheval de Troie SIDA, également connu sous le nom de virus PC Cyborg, est l’une des premières instances de rançongiciels. Il a été distribué par l’intermédiaire de disquettes et exigeait qu’une rançon soit envoyée à une boîte postale au Panama pour déverrouiller l’ordinateur infecté. - 2005 : Gpcode
Gpcode a marqué la reprise des attaques par rançongiciel. On utilisait des algorithmes de chiffrement puissants et on exigeait une rançon en échange d’une clé de déchiffrement. Cette version a démontré à quel point les rançongiciels pouvaient devenir un problème grave. - 2013 : CryptoLocker
CryptoLocker a révolutionné l’histoire des rançongiciels. Il a introduit l’utilisation d’un chiffrement asymétrique fort, rendant la récupération de fichiers pratiquement impossible sans le versement de la rançon. Les cybercriminels exigeaient des paiements en Bitcoin, ce qui les rendait intraçables. - 2016 : Locky et Cerber
Les campagnes de rançongiciels comme Locky et Cerber utilisaient des méthodes de propagation sophistiquées, telles que des pièces jointes malveillantes et des trousses d’exploit, pour infecter un grand nombre d’appareils dans le monde entier. Elles ont mis en évidence la motivation financière des attaques par rançongiciel. - 2017 : WannaCry
La propagation du rançongiciel WannaCry a affecté des centaines de milliers d’ordinateurs dans plus de 150 pays. On exploitait une vulnérabilité de Microsoft Windows, en démontrant la possibilité de lancer des attaques par rançongiciel à grande échelle. - 2018 : Ryuk
Le rançongiciel Ryuk est apparu comme une menace majeure pour les organisations. Son déploiement faisait souvent suite à une première compromission par d’autres logiciels malveillants comme TrickBot. Ryuk a démontré l’implication de bandes organisées de cybercriminels dans les attaques par rançongiciel. - 2019 : Maze et le rançongiciel en tant que service (RaaS)
Le rançongiciel Maze a popularisé la tactique de « double extorsion », selon laquelle les cybercriminels non seulement chiffraient les données, mais menaçaient également de les divulguer publiquement si la rançon n’était pas payée. Les modèles RaaS permettent aux attaquants moins qualifiés de lancer des campagnes de rançongiciels en retenant les services d’opérateurs qualifiés. - 2021 : Colonial Pipeline et JBS
Les attaques par rançongiciel de haut niveau sur les infrastructures essentielles, comme celle de Colonial Pipeline et de la société de transformation de la viande JBS, ont permis de constater les perturbations économiques et sociales graves causées par ce type d’incidents. - Depuis 2022 : rançongiciels modernes
Les rançongiciels d’aujourd’hui sont plus sophistiqués sur le plan du chiffrement et davantage ciblés sur des industries précises. Et ce qui est peut-être encore plus inquiétant, c’est qu’ils commencent à incorporer la technologie de l’IA, créant des attaques intelligentes et améliorées par l’apprentissage machine qui permettent de repérer des cibles de valeur supérieure et de créer des attaques personnalisées conçues pour contrer les défenses établies.
Malheureusement, protéger votre organisation contre la menace croissante des rançongiciels n’est pas toujours simple. Ces attaques deviennent de plus en plus sophistiquées et vont au-delà du ciblage des données de surface. Les nouveaux rançongiciels sont conçus pour capturer et détenir les données de sauvegarde et même prendre le contrôle des fonctions d’administration de haut niveau. Ces attaques sont souvent déployées sous la forme d’un simple composant au sein d’une stratégie plus large, avec pour objectif de compromettre totalement les systèmes essentiels.
De même, les attaquants se spécialisent. Au lieu de cybercriminels travaillant avec leurs propres ressources limitées, les menaces actuelles incluent des groupes organisés et bien financés, des équipes d’espionnage industriel soutenues par des entreprises et même des agences gouvernementales étrangères hostiles.
Compte tenu de l’omniprésence et de la diversité de ces cyberattaques, les entreprises du monde entier courent le risque d’être extorquées par ces criminels de l’ère du numérique.
Comme tout logiciel malveillant, les rançongiciels peuvent accéder à votre réseau de différentes façons, notamment par l’intermédiaire d’une pièce jointe à un pourriel, d’un authentifiant volé, d’un lien Internet non sécurisé, d’un site Web compromis ou d’un ensemble de logiciels téléchargeables. Certaines formes de rançongiciels utilisent des outils d’ingénierie sociale intégrés pour vous inciter à accorder un accès administratif, tandis que d’autres tentent de contourner entièrement l’autorisation en exploitant les faiblesses existantes en matière de sécurité.
Une fois à l’intérieur de votre réseau, le logiciel se déploie et exécute une série de commandes en coulisse. Cela comprend souvent l’altération des comptes administratifs essentiels qui contrôlent des systèmes comme la sauvegarde, les noms de domaine (DNS) dans Active Directory (AD) et les consoles d’administration du stockage. Le logiciel malveillant attaque ensuite la console d’administration de la sauvegarde, ce qui permet de désactiver ou de modifier les tâches de sauvegarde, de changer les politiques de conservation et de trouver plus facilement les données sensibles à prendre en otage.
Le plus souvent, à ce stade, le logiciel malveillant commence à chiffrer une partie ou la totalité de vos fichiers. Une fois que l’accès à ces fichiers a été bloqué, le logiciel malveillant se révèle en vous informant des exigences à satisfaire pour récupérer l’accès à vos données détenues contre rançon. Avec d’autres types de logiciels malveillants (souvent appelés « divulgiciels »), l’attaquant peut menacer d’exposer publiquement certains types de données sensibles si la rançon n’est pas versée. Dans de nombreux cas, les données sont non seulement chiffrées, mais également copiées et volées pour être utilisées dans le cadre d’activités criminelles futures.
Les rançongiciels se présentent sous diverses formes, chacune ayant ses propres méthodologies et objectifs. Il est essentiel de comprendre les différents types de rançongiciels pour créer un écosystème de cybersécurité efficace. Voici quelques types courants :
Les rançongiciels de chiffrement sont les plus utilisés aujourd’hui. Ils tirent leur nom de leur capacité à chiffrer les fichiers de la victime, ou même à lui bloquer l’accès à l’ensemble de son système. La victime est alors invitée à payer une rançon pour recevoir la clé de déchiffrement. Ce qui rend cette forme de rançongiciel si efficace, c’est que de nombreuses organisations choisissent de se plier aux exigences des attaquants, car il s’agit de la solution la plus directe et la plus simple. Cela dit, une fois qu’une victime a cédé, l’attaquant peut simplement décider de ne pas fournir la clé de déchiffrement et de demander plus d’argent. Les rançongiciels de chiffrement comprennent CryptoLocker et Ryuk.
Moins dangereux que les rançongiciels de chiffrement, mais peut-être tout aussi perturbants, les alarmiciels ne chiffrent pas les fichiers, mais utilisent à la place des tactiques anxiogènes pour manipuler leurs victimes. Cette forme de rançongiciel affiche des avertissements ou des messages contextuels fictifs dans les systèmes touchés, prétendant souvent que l’ordinateur de la victime est infecté par des logiciels malveillants ou que du contenu illégal a été détecté. Les utilisateurs sont encouragés à payer pour une fausse solution de sécurité ou à exécuter d’autres actions dangereuses.
Il peut s’agir de fausses publicités, de fenêtres contextuelles ou de changements non autorisés dans le navigateur de la victime.
Un rançongiciel par verrouillage d’écran bloque aux utilisateurs l’accès à leurs appareils ou systèmes d’exploitation et affiche une demande de rançon à l’écran. Les victimes ne peuvent pas accéder à leur bureau ou à leurs fichiers tant que la rançon n’a pas été payée. Ces attaques sont plus fréquentes sur les appareils mobiles. Au lieu de chiffrer les données de la victime, le verrouillage d’écran neutralise le système d’exploitation pour empêcher les utilisateurs autorisés d’accéder à leurs données.
Parmi les rançongiciels par verrouillage d’écran, on peut citer les logiciels qui se font passer pour des organismes d’application de la loi, tels que la police ou le FBI, et accusent les victimes d’activités illégales, les invitant à payer une amende pour que leurs systèmes soient déverrouillés.
Bien que les attaques par rançongiciel figurent généralement dans les catégories mentionnées ci-dessus, ces dernières représentent une gamme de variantes précises, chacune étant dotée de ses propres caractéristiques et modes opératoires. Comme ces variantes évoluent continuellement, il est essentiel pour les personnes et les organisations de se tenir au courant des plus récentes menaces.
Parmi les variantes à mentionner, on retrouve :
Ryuk est connu pour viser des cibles de grande valeur, notamment les entreprises, les établissements de santé et les entités gouvernementales. Il suit souvent une première compromission par d’autres logiciels malveillants (comme TrickBot). Ryuk chiffre les fichiers et exige de fortes rançons, généralement en cryptomonnaie.
Comme nous l’avons mentionné précédemment, Maze fut l’un des premiers types de rançongiciels à employer la double extorsion, bloquant l’accès des utilisateurs et promettant de divulguer des données sensibles si les attaquants ne recevaient pas de paiement. Cette variante a gagné en notoriété en raison de son niveau de sophistication et de son efficacité à compromettre les fichiers et les systèmes des grandes entreprises.
REvil, également connu sous le nom de Sodinokibi, est célèbre pour son modèle de rançongiciel en tant que service (RaaS). Cela permet à d’autres cybercriminels d’utiliser le logiciel en échange d’une part des profits. Il vise souvent les organisations et réalise un vol de données poussé avant le chiffrement.
Lockbit est une autre variante de rançongiciel qui utilise le modèle RaaS. Il chiffre les fichiers et exige une rançon pour le déchiffrement. Ce qui rend cette variante remarquable, c’est sa capacité à chiffrer rapidement des quantités importantes de données dans l’ensemble d’une organisation, réalisant souvent sa mission avant de pouvoir être détectée. Lockbit est souvent diffusé par l’intermédiaire de courriels d’hameçonnage et de connexions RDP (Remote Desktop Protocol) vulnérables.
DearCry est une variante de rançongiciel relativement récente qui a attiré l’attention en 2021. Il cible principalement les serveurs Microsoft Exchange et les systèmes Windows, en chiffrant les fichiers et en exigeant une rançon pour rendre l’accès aux utilisateurs autorisés.
Comme nous l’avons déjà indiqué, l’utilisation de rançongiciels dans les cyberattaques est en hausse. Cette escalade explosive peut être attribuée à plusieurs facteurs distincts :
Il est révolu le temps où les cybercriminels devaient posséder des connaissances techniques pour construire leurs propres programmes malveillants. Aujourd’hui, les places de marché en ligne proposent des trousses, des programmes et des souches de logiciels malveillants. Tout criminel potentiel peut ainsi accéder facilement aux ressources dont il a besoin pour démarrer.
Les auteurs de rançongiciels étaient auparavant limités quant aux plateformes pouvant être visées, car une version particulière du rançongiciel devait être créée pour chaque plateforme supplémentaire. De nos jours, les interpréteurs génériques (programmes pouvant convertir rapidement le code d’un langage de programmation à un autre) permettent aux rançongiciels d’être fiables sur un nombre pratiquement illimité de plateformes.
De nouvelles techniques permettent non seulement aux attaquants d’introduire des logiciels malveillants dans vos systèmes, mais également de faire plus de dégâts une fois à l’intérieur. Par exemple, les programmes de rançongiciels modernes pourraient chiffrer l’ensemble de votre disque, plutôt que des fichiers individuels, et ainsi bloquer complètement votre accès au système.
Malheureusement, il n’existe pas d’approche universelle de la sécurité du réseau qui permettrait de protéger complètement votre organisation contre tous les types d’attaques par rançongiciel. Les stratégies anti-rançongiciels efficaces exigent plutôt de prendre pleinement en considération l’infrastructure informatique existante et les faiblesses inhérentes, d’établir des procédures de sauvegarde et d’authentification solides et de promouvoir un changement culturel au sein de votre organisation pour une sensibilisation accrue aux questions de sécurité.
Voici quelques étapes à suivre pour commencer :
Éliminez les protocoles de partage réseau simples lors de la sauvegarde des données et mettez en œuvre des fonctionnalités de sécurité viables pour protéger les données de sauvegarde et les consoles d’administration contre les attaques. Vous vous assurez ainsi que des copies de données non altérées sont disponibles lorsque vous en avez besoin.
À mesure que de nouveaux logiciels malveillants sont détectés, les éditeurs de logiciels de sécurité et d’autres fournisseurs mettent à jour leurs produits et systèmes pour contrer ces nouvelles menaces. Malheureusement, les entreprises négligent parfois de rester au fait des derniers correctifs de sécurité, ce qui les rend vulnérables aux menaces connues. Recherchez régulièrement les nouvelles mises à jour et installez-les dès qu’elles sont offertes.
Créez et diffusez des politiques Internet dans l’ensemble de votre organisation en décrivant les pratiques exemplaires et les mesures de sécurité que les employés doivent suivre lorsqu’ils sont en ligne. Par exemple, ne permettez jamais aux employés de mener des activités de l’entreprise ou d’accéder à des systèmes sensibles sur le réseau Wi-Fi public. Formez tout le personnel concerné à ces politiques et établissez des plans d’intervention qu’ils peuvent suivre en cas d’exposition à des logiciels malveillants.
Protégez les comptes administratifs contre l’accès et le contrôle non autorisés en utilisant une authentification à deux facteurs (ou plus). Configurez les comptes de manière à ce qu’ils n’offrent que les privilèges de système nécessaires par défaut.
Intégrez la récupération après une attaque par rançongiciel à votre stratégie globale de reprise après sinistre. Établissez un environnement de récupération isolé, c’est-à-dire un centre de données séparé et clos dans lequel les copies de données peuvent être protégées contre un accès de l’extérieur. Incluez l’environnement de récupération isolé dans tous les tests de reprise après sinistre.
Les connaissances et la sensibilisation font partie des armes les plus efficaces pour lutter contre les rançongiciels. Gardez ces armes bien affûtées en suivant les professionnels et experts de la sécurité sur les réseaux sociaux, en consultant régulièrement les fils de conseils en matière de risques et les sites de conseil, et en vous tenant informé des actualités pertinentes.
Élaborez un plan d’intervention complet qui décrit les étapes à suivre en cas d’attaque par rançongiciel. Ce plan doit comprendre des procédures pour repérer et isoler les systèmes infectés, communiquer avec les forces de l’ordre, aviser les parties concernées et lancer des processus de récupération. Un plan bien défini peut réduire considérablement le chaos et les temps d’arrêt associés aux incidents de rançongiciels.
Sauvegardez régulièrement toutes les données et tous les systèmes essentiels. Assurez-vous que les sauvegardes sont stockées en toute sécurité et hors ligne pour empêcher les rançongiciels de les chiffrer ou de les supprimer. Testez régulièrement l’intégrité des sauvegardes pour garantir leur fiabilité en cas de perte de données. Une stratégie de sauvegarde solide peut fournir un moyen de récupérer des données sans payer de rançon.
Offrez une formation approfondie sur la cybersécurité à tous les employés, en mettant l’accent sur l’importance de la sécurité des données. Apprenez aux employés à reconnaître les tentatives d’hameçonnage, les liens et les pièces jointes de courriel suspects. Encouragez la pratique d’une gestion solide des mots de passe et l’utilisation d’une authentification multifacteur. Les employés doivent comprendre leur rôle dans la prévention des attaques par rançongiciel et savoir comment signaler rapidement toute activité suspecte. La formation continue des employés est un élément essentiel d’une défense puissante contre les rançongiciels.
Si vous êtes visé par une attaque par rançongiciel, ne donnez pas suite aux exigences des criminels. Votre organisation serait alors identifiée comme victime consentante et vous risquez d’encourager les criminels à continuer de vous cibler. Dans la plupart des cas, les entreprises qui paient pour que leurs données ou fichiers leur soient rendus ne reçoivent jamais de clé de chiffrage fonctionnelle. Au lieu de cela, les attaquants continuent simplement d’augmenter leurs exigences jusqu’à ce que l’entreprise ciblée cesse de payer. En outre, en payant les rançonneurs, vous financeriez leur activité criminelle et vous exposeriez d’autres organisations ou personnes au même risque.
Si vous constatez que vous avez été victime d’un rançongiciel, agissez rapidement en suivant ces étapes :
Les rançongiciels pénètrent dans un réseau en infectant un seul appareil ou système, mais ils ne restent pas nécessairement à ce seul endroit. Ils peuvent facilement se propager dans votre réseau. Aussi, la première chose à faire lorsque vous découvrez un rançongiciel est de déconnecter le système infecté et de l’isoler du reste du réseau. Si vous agissez assez rapidement, vous avez une petite chance de confiner les logiciels malveillants à un seul emplacement, ce qui facilitera grandement le reste de votre travail.
Tout comme les pompiers retireront les broussailles et les arbres du passage d’un feu incontrôlé, vous devriez prendre les mesures suivantes pour empêcher tout rançongiciel de se propager en déconnectant et en isolant tous les autres systèmes susceptibles d’avoir été exposés. Cela doit inclure tous les appareils qui semblent se comporter de manière anormale, y compris ceux qui sont utilisés hors site. Pour entraver davantage la propagation, mettez hors service les options de connectivité sans fil.
Une fois les fichiers suspects isolés du réseau, vous devez évaluer l’étendue des dégâts. Déterminez les systèmes réellement affectés en recherchant les fichiers récemment chiffrés (comportant souvent des noms d’extension étranges). Examinez de près les ressources partagées chiffrées de chaque appareil. Si un appareil en comporte plus que les autres, il peut s’agir du point d’entrée initial du rançongiciel dans votre réseau. Désactivez ces systèmes et appareils, puis créez une liste complète de tout ce qui a pu être affecté (y compris les disques durs externes, les appareils de stockage réseau, les systèmes basés sur le nuage, les ordinateurs de bureau, les ordinateurs portables, les appareils mobiles, et tout ce qui pourrait exécuter ou transmettre le rançongiciel).
Comme nous l’avons mentionné au point précédent, la recherche de nombres élevés de ressources partagées sur les appareils affectés peut vous aider à repérer le « patient zéro » D’autres méthodes de repérage de la source du rançongiciel incluent la recherche d’alertes antivirus précédant directement l’infection et l’examen de toute action utilisateur suspecte (par exemple, cliquer sur un lien inconnu ou ouvrir un pourriel). Une fois que vous avez découvert la source, la correction devient beaucoup plus facile.
Pour contrer efficacement une attaque par rançongiciel, vous devez généralement identifier avec précision le type de logiciel dont vous êtes la cible. Il existe plusieurs façons d’identifier un rançongiciel. La demande incluse dans l’attaque (celle qui vous dit d’envoyer de l’argent pour déverrouiller vos fichiers) peut permettre d’identifier directement le rançongiciel. Vous pouvez également rechercher l’adresse de courriel associée à la demande pour découvrir les rançongiciels que ce criminel utilise et les mesures prises par d’autres organisations qui ont été infectées. Enfin, il existe des sites et des outils en ligne pour vous aider à identifier les types de rançongiciels. Veillez simplement à étudier toutes les options avant d’en sélectionner une. Il ne faudrait pas télécharger un outil non fiable et infecter davantage votre système déjà fragilisé.
Une fois que vous avez confiné le rançongiciel, il vous incombe de contacter les forces de l’ordre. Dans de nombreux cas, cela dépasse le simple protocole. En vertu de certaines lois sur la confidentialité des données, vous pouvez être tenu de déposer une plainte dans un délai prédéterminé pour toute violation de données visant votre entreprise. Le non-respect de ce protocole peut entraîner des amendes ou d’autres sanctions. Mais même si vous n’avez pas l’obligation juridique de contacter les forces de l’ordre, cela devrait rester une priorité absolue. Les agences de cybercriminalité auront probablement plus de pouvoir, d’expérience et de ressources pour résoudre ce genre de problèmes, et pourront aider votre entreprise à revenir plus rapidement à la normale.
Maintenant que vous avez éteint l’incendie, il est temps de commencer à réparer vos systèmes. Idéalement, si vous disposez de données de sauvegarde non corrompues, vous devriez pouvoir restaurer vos systèmes sans trop de difficultés. Assurez-vous à nouveau que vos appareils ne sont infectés par aucun rançongiciel ou autre logiciel malveillant, puis restaurez vos données. Gardez à l’esprit que les attaques provoquées par les rançongiciels modernes ciblent souvent les sauvegardes de données. Vous devez donc vous assurer que vos données sont intègres avant de les restaurer.
Si vous n’avez pas de sauvegarde de données disponible ou si les données elles-mêmes ont été altérées, votre meilleure option consiste à trouver une solution de déchiffrement. Comme nous l’avons mentionné précédemment, en effectuant quelques recherches, vous trouverez peut-être une clé de déchiffrement en ligne pour vous aider à restaurer l’accès et le contrôle.
Après une attaque par rançongiciel, il vous incombe de communiquer avec vos clients pour leur faire part de l’incident. La transparence est essentielle au maintien de la confiance, et si vous négligez de tenir vos clients au courant, cette confiance s’érodera rapidement. Communiquez avec les personnes qui font affaire avec votre entreprise, informez-les de la situation, des mesures que vous prenez pour la résoudre et de toute incidence éventuelle sur leurs données ou leurs services. Fournir des renseignements précis en temps opportun peut atténuer les effets de ces incidents qui viennent souvent ternir votre réputation.
Bien qu’une attaque par rançongiciel puisse être perturbante, il est essentiel de déployer des efforts pour assurer le bon fonctionnement de votre entreprise pendant le processus de récupération. Mettez en œuvre des plans de continuité des activités pour garantir la poursuite des fonctions essentielles. Vous pouvez rediriger des tâches vers les zones non touchées ou déplacer temporairement les opérations pour minimiser les temps d’arrêt. Le maintien de la continuité des activités peut réduire les pertes financières associées aux incidents de rançongiciels et prouver votre résilience aux clients et aux parties prenantes.
Que vous restauriez vos appareils, trouviez une solution de déchiffrement ou acceptiez simplement la disparition de vos données sensibles, la dernière étape restera toujours la même : reconstruire et aller de l’avant. Même dans le meilleur des cas, le rétablissement des mêmes niveaux de productivité qu’avant l’attaque peut être une tâche longue et coûteuse. Essayez simplement de retirer de cette expérience une meilleure compréhension des menaces auxquelles votre entreprise fait face et une idée plus claire de la manière de vous défendre contre elles.
Au fur et à mesure que les cybercriminels s’adaptent aux nouvelles technologies et mesures de sécurité, les rançongiciels continuent d’évoluer. Il est essentiel de comprendre les tendances futures en matière de rançongiciels pour anticiper les nouvelles menaces. Voici quelques tendances clés à surveiller :
Étant donné que les entreprises migrent de plus en plus leurs données et leurs services vers le nuage, il faut s’attendre à ce que les cybercriminels ciblent beaucoup plus fréquemment les points de terminaison basés sur le nuage. Les services en nuage sont des cibles attrayantes parce qu’ils stockent de grandes quantités de données et peuvent donc paraître plus lucratifs aux yeux des opérateurs de rançongiciels. Il est important pour les entreprises de sécuriser leurs environnements en nuage et de mettre en œuvre des contrôles d’accès solides pour atténuer ces menaces.
Les rançongiciels ont traditionnellement ciblé des plateformes largement utilisées comme Windows et iOS, mais les tendances futures pourraient voir une expansion vers des plateformes et des systèmes d’exploitation moins courants. Les cybercriminels cherchent à exploiter les vulnérabilités là où les mesures de sécurité pourraient être moins avancées. Les organisations doivent établir des mesures de sécurité complètes dans tous leurs systèmes, y compris ceux qui sont considérés comme moins classiques.
Les opérateurs de rançongiciels amorcent une transition du simple chiffrement des données à l’exfiltration de renseignements sensibles avant le chiffrement. Ils menacent ensuite de divulguer ces données volées si la rançon n’est pas payée, ce qui fait de l’extorsion de données une tactique puissante. Bien que l’extorsion de données ne soit pas nouvelle, l’avancement des capacités facilite la transmission des données volées par les attaquants, ce qui donne aux criminels un outil supplémentaire pour faire chanter leurs victimes. Cette tendance souligne l’importance de protéger non seulement la disponibilité des données, mais également leur confidentialité.
L’exfiltration de données a également pour conséquence malheureuse de permettre aux attaquants de diversifier plus facilement leurs sources de revenus en vendant des données volées sur le Web clandestin, même si les victimes acceptent de payer la rançon. Cette pratique expose les organisations à des risques supplémentaires au-delà de l’impact immédiat d’une attaque par rançongiciel.
Les opérateurs de rançongiciels commencent déjà à tirer parti de l’IA et de l’AM pour améliorer leurs attaques. L’IA peut automatiser des tâches comme le repérage des cibles vulnérables et la personnalisation des courriels d’hameçonnage, tandis que l’AM peut servir à éviter la détection par les systèmes de sécurité (pour ne citer que quelques cas d’utilisation). Cette tendance souligne l’importance d’intégrer l’IA et l’AM aux défenses de cybersécurité pour détecter et répondre efficacement aux menaces en constante évolution, même celles qui dépendent des technologies intelligentes.
Lorsque vous devez vous protéger et vous défendre contre des attaques par rançongiciel, le temps peut être votre ressource la plus précieuse. ServiceNow, le chef de file de la gestion informatique et de l’automatisation des flux de travail, vous donne le temps dont vous avez besoin, avec des capacités de contrôle et de surveillance claires et centralisées. Éliminez les failles de sécurité avant qu’elles ne puissent être exploitées, repérez les activités réseau suspectes et réagissez aux violations en un instant. Récupérez plus rapidement après des attaques par rançongiciel ou d’un autre type grâce à des solutions d’intervention en matière de sécurité automatisées. ServiceNow rend tout cela possible.
Protégez votre organisation contre les rançongiciels et les autres attaques grâce à une surveillance continue et à une réponse automatisée. Apprenez-en davantage sur les rançongiciels et découvrez comment ServiceNow peut aider votre entreprise à faire face à toutes les situations.
Décloisonnez les silos pour gérer les risques et renforcer la conformité dans l’ensemble de l’entreprise.