Un ransomware est une catégorie de logiciels malveillants qui bloque l’accès aux données d’une victime ou menace de publier des informations sensibles à moins que les demandes des pirates ne soient satisfaites. Les ransomwares chiffrent les fichiers informatiques. Les utilisateurs sont obligés de payer la rançon demandée, sinon ils risquent d’en subir les conséquences.
Nous interagissons de plus en plus avec des systèmes digitaux, dont nous sommes de plus en plus dépendants ; la valeur de nos données sensibles prend donc, elle aussi, de l’importance. Et si certains cybercriminels cherchent plutôt à voler vos données en toute discrétion pour les vendre ou les utiliser, d’autres ont pour but de garder vos données en otage. Lorsqu’un acteur externe prend le contrôle de vos systèmes, de vos données, de vos applications, etc., puis vous fait du chantage au paiement pour reprendre le contrôle, c’est ce qu’on appelle une attaque par ransomware.
Malheureusement, ce type de cybercriminalité est tout à fait courant. Rien qu’en 2020, le centre de plainte en matière de criminalité sur Internet du FBI a reçu près de 2 500 rapports d’attaques par ransomware, avec des pertes ajustées de plus de 29,1 millions de dollars. Et le risque ne cesse d’augmenter, les rapports internationaux sur les ransomwares ayant augmenté de plus de 700 % entre 2019 et 2020. D’ailleurs, pour répondre à ce danger de plus en plus présent pour les citoyens américains, les entreprises et les services gouvernementaux, le président Biden a émis un décret en mai 2021 (Amélioration de la cybersécurité du pays), fournissant des détails, des politiques fédérales, et les meilleures pratiques conçues pour offrir une protection accrue contre les dangers des ransomwares.
Bien que les ransomwares soient reconnus comme constituant l’une des plus grandes menaces de cybersécurité de l’ère de l’Internet, ses origines sont antérieures à l’apparition du Web public. Les ransomwares ont une histoire complexe et ont évolué parallèlement aux technologies de l’information.
Les événements clés qui ont contribué à faire des ransomwares un danger important sont les suivants :
- 1989 : le cheval de Troie AIDS
Le cheval de Troie AIDS, également connu sous le nom de virus PC Cyborg, est l’un des premiers ransomwares. Installé via des disquettes, il demandait qu’une rançon soit envoyée à une boîte postale au Panama pour déverrouiller l’ordinateur infecté. - 2005 : le Gpcode
Le ransomware Gpcode a marqué une résurgence des attaques par ransomware. Il utilisait des algorithmes de chiffrement puissants et demandait une rançon en échange d’une clé de déchiffrement. Cette version a montré que les ransomwares pouvaient devenir un problème sérieux. - 2013 : le CryptoLocker
Le CryptoLocker a changé la donne dans l’histoire des ransomwares. Il a introduit l’utilisation d’un chiffrement asymétrique fort, rendant la récupération de fichiers presque impossible sans payer la rançon. Les cybercriminels exigeaient des paiements en bitcoins, ce qui compliquait leur traçabilité. - 2016 : Locky et Cerber
Lors des campagnes de ransomware comme Locky et Cerber, des méthodes de distribution sophistiquées, telles que des pièces jointes malveillantes et des kits d’exploitation, étaient utilisées pour infecter un grand nombre d’appareils dans le monde entier. Cela a mis en évidence la motivation financière derrière les attaques par ransomware. - 2017 : WannaCry
L’épidémie de ransomware WannaCry a touché des centaines de milliers d’ordinateurs dans plus de 150 pays. Ces ransomwares ont exploité une vulnérabilité de Microsoft Windows, démontrant ainsi le potentiel des ransomwares pour mener des attaques mondiales à grande échelle. - 2018 : Ryuk
Le ransomware Ryuk a constitué une menace majeure pour les entreprises. Il a souvent été déployé après une attaque initiale menée par d’autres programmes malveillants comme TrickBot. Ryuk a démontré l’implication de groupes de cybercriminalité organisés dans les attaques par ransomware. - 2019 : Maze et ransomware-as-a-service (RaaS)
Le ransomware Maze a popularisé la tactique de la « double extorsion », dans laquelle les cybercriminels chiffrent les données et menacent également de les divulguer publiquement si la rançon n’est pas payée. Les modèles RaaS ont permis à des pirates moins compétents de lancer plus facilement des campagnes par ransomware, en faisant appel aux services d’opérateurs qualifiés. - 2021 : Colonial Pipeline et JBS
Les attaques par ransomware de grande envergure contre les infrastructures critiques, comme celles du Colonial Pipeline et de l’entreprise de transformation de la viande JBS, ont montré que les ransomwares pouvaient avoir de graves répercussions, à la fois économiques et sociétales. - À partir de 2022 : les ransomwares modernes
Aujourd’hui, les ransomwares sont plus sophistiqués en termes de chiffrement et beaucoup plus ciblés sur des secteurs spécifiques. Peut-être plus inquiétant encore, les ransomwares modernes commencent à intégrer l’IA, créant des attaques intelligentes améliorées par l’apprentissage machine capables d’identifier les cibles les plus importantes et de créer des attaques personnalisées conçues pour contrer les défenses établies.
Malheureusement, protéger votre entreprise contre la menace croissante des ransomwares n’est pas si simple. Les attaques par ransomware deviennent de plus en plus sophistiquées et vont au-delà du simple ciblage des données de surface. Les nouveaux ransomwares sont conçus pour capturer et conserver les données de sauvegarde et même prendre le contrôle des fonctions d’administration de haut niveau. Ces attaques sont souvent déployées en tant que composant unique dans le cadre d’une stratégie plus vaste, dans le but de compromettre complètement les systèmes critiques.
De même, les cybercriminels eux-mêmes sont de plus en plus intelligents. Au lieu de cybercriminels travaillant avec leurs propres ressources limitées, les menaces actuelles incluent des groupes organisés et bien financés, des équipes d’espionnage industriel soutenues par des entreprises et même des agences gouvernementales étrangères hostiles.
Compte tenu de l’omniprésence et de la diversité de ces cyberattaques, toutes les entreprises du monde courent le risque de se faire racketter par ces criminels digitaux.
Comme pour tout logiciel malveillant, le ransomware peut pénétrer dans votre réseau de différentes manières, par exemple via une pièce jointe à un courrier indésirable, à l’aide d’informations d’identification volées, d’un lien Internet non sécurisé ou d’un site Web compromis. Il peut même être caché dans une suite de logiciels téléchargeables. Certaines formes de ransomwares utilisent des outils d’ingénierie sociale intégrés pour vous leurrer afin d’obtenir un accès administrateur, tandis que d’autres tentent de contourner purement et simplement les autorisations en exploitant les failles de sécurité existantes.
Une fois à l’intérieur de votre réseau, le logiciel se déploie et exécute une série de commandes en arrière-plan. Cela implique souvent de détourner les comptes d’administration critiques qui contrôlent les systèmes, tels que la sauvegarde, le système de noms de domaine Active Directory et les consoles d’administration de stockage. Le logiciel malveillant attaque ensuite la console d’administration de sauvegarde, ce qui permet à l’attaquant de désactiver ou de modifier les procédures de sauvegarde, d’altérer les politiques de conservation et de localiser plus facilement les données sensibles qui valent la peine d’être dérobées et gardées en otage.
Le plus souvent, à ce stade, le logiciel malveillant commence à chiffrer une partie ou la totalité de vos fichiers. Après avoir protégé l’accès à ces fichiers, le logiciel malveillant se révèle et vous informe que vos données vous seront rendues contre une rançon. Il vous indique les exigences à satisfaire pour pouvoir récupérer l’accès. Dans d’autres types de logiciels malveillants (souvent appelés « leakwares »), l’attaquant peut menacer d’exposer publiquement certains types de données sensibles si la rançon n’est pas payée. Dans de nombreux cas, les données ne sont pas seulement chiffrées, elles sont également copiées et volées pour être utilisées dans de futures activités criminelles.
Les ransomwares se présentent sous diverses formes, chacune avec ses propres méthodologies et objectifs. Pour établir un écosystème de cybersécurité efficace, il est essentiel de connaître les différents types de ransomwares. En voici quelques exemples courants :
Les ransomwares de chiffrement sont le type de ransomware le plus courant actuellement. Ils tirent leur nom de leur capacité à chiffrer les fichiers de la victime, voire à bloquer l’accès à l’ensemble de son système. Les victimes sont ensuite invitées à payer une rançon pour recevoir la clé de déchiffrement. Ce qui rend cette forme de ransomware si efficace, c’est que de nombreuses entreprises choisissent de se plier aux demandes des pirates, considérant qu’il s’agit de la solution la plus directe et la plus simple. Mais une fois qu’une victime a cédé aux demandes, l’attaquant peut simplement choisir de ne pas fournir la clé de déchiffrement et demander plus d’argent. CryptoLocker et Ryuk sont des ransomwares de chiffrement.
Moins dangereux que les ransomwares de chiffrement, mais potentiellement tout aussi déroutants, les scarewares ne chiffrent pas les fichiers, mais utilisent des tactiques pour effrayer et tromper les victimes. Cette forme de ransomware affiche de faux avertissements ou des messages contextuels dans les systèmes infectés, prétendant souvent que l’ordinateur de la victime est infecté par un logiciel malveillant ou que du contenu illégal y a été découvert. Les utilisateurs sont invités à payer pour obtenir une fausse solution de sécurité ou à prendre d’autres mesures dangereuses.
Les scarewares peuvent prendre la forme de fausses publicités, de fenêtres contextuelles ou de modifications non autorisées dans le navigateur de la victime.
Les verrouilleurs d’écran empêchent les utilisateurs d’accéder à leurs appareils ou à leurs systèmes d’exploitation et affichent une demande de rançon à l’écran. Les victimes ne peuvent pas accéder à leur bureau ou à leurs fichiers tant que la rançon n’est pas payée. Ces attaques sont plus courantes sur les appareils mobiles. Plutôt que de chiffrer les données de la victime, les verrouilleurs d’écran bloquent le système d’exploitation pour empêcher les utilisateurs autorisés d’accéder à leurs données.
Parmi les exemples de verrouilleurs d’écran, on peut citer le ransomware de type police ou FBI, qui usurpe l’identité des organismes chargés de l’application de la loi et accuse les victimes d’activités illégales, les incitant à payer une amende pour que leurs systèmes soient déverrouillés.
Bien que les attaques par ransomware appartiennent généralement aux catégories mentionnées ci-dessus, il existe de nombreuses variantes spécifiques, chacune avec ses propres caractéristiques et modes opératoires. Ces variantes évoluent en permanence, il est donc essentiel que les personnes et les entreprises s’informent sur les dernières menaces.
Parmi les variantes les plus notables, on peut citer :
Ryuk est connu pour s’attaquer à des cibles à forte valeur ajoutée, notamment les entreprises, les organismes de santé et les entités gouvernementales. Il intervient souvent après une attaque initiale par d’autres programmes malveillants (tels que TrickBot). Ryuk chiffre les fichiers et exige de lourdes rançons, généralement en cryptomonnaie.
Comme indiqué précédemment, Maze a été l’un des premiers types de ransomwares à recourir à la double extorsion : bloquer les utilisateurs et menacer de divulguer des données sensibles si la rançon n’est pas payée. Cette variante est particulièrement populaire en raison de son niveau de sophistication et de son efficacité pour compromettre les fichiers et les systèmes des grandes entreprises.
REvil, également connu sous le nom de Sodinokibi, est un modèle de RaaS (Ransomware-as-a-Service) célèbre. D’autres cybercriminels peuvent l’utiliser en échange d’une part des bénéfices. Il cible souvent les entreprises et effectue des vols massifs de données avant chiffrement.
Lockbit est une autre variante de ransomware qui utilise le modèle RaaS. Il chiffre les fichiers et demande une rançon pour les déchiffrer. Ce qui rend cette variante remarquable, c’est sa capacité à chiffrer rapidement d’importantes quantités de données dans des entreprises entières, souvent avant même d’être détectée. Lockbit est souvent transmis au moyen d’e-mails d’hameçonnage et de connexions RDP (Remote Desktop Protocol) vulnérables.
DearCry est une variante relativement récente de ransomware qui a attiré l’attention en 2021. Elle cible principalement les serveurs Microsoft Exchange et les systèmes Windows, chiffre les fichiers et exige une rançon pour rendre l’accès aux utilisateurs autorisés.
Comme mentionné précédemment, l’utilisation de ransomwares dans les cyberattaques est en hausse. Cette escalade massive peut être attribuée à plusieurs facteurs distincts :
L’époque où les cybercriminels devaient disposer des connaissances techniques nécessaires pour créer leurs propres programmes malveillants est révolue depuis longtemps. Aujourd’hui, les marchés en ligne des ransomwares proposent des kits, des programmes et des souches de logiciels malveillants, ce qui permet à tout criminel potentiel d’accéder facilement aux ressources dont il peut avoir besoin.
Les créateurs de ransomware étaient autrefois limités dans les plateformes qu’ils tentaient de cibler, des versions spécifiques de ransomware devant être créées pour chaque plateforme supplémentaire. Désormais, grâce aux interprètes génériques (programmes capables de traduire rapidement le code d’un langage de programmation à un autre) les ransomwares sont fiables sur pratiquement toutes les plateformes.
Les nouvelles techniques permettent non seulement aux auteurs de menaces d’introduire plus facilement des programmes malveillants dans vos systèmes, mais elles leur permettent également de faire plus de dégâts une fois à l’intérieur. Par exemple, les programmes de ransomware modernes peuvent chiffrer l’intégralité de votre disque au lieu de se limiter à des fichiers individuels, ce qui bloque complètement l’accès à votre système.
Malheureusement, il n’existe pas d’approche unique de la sécurité réseau qui protégerait complètement votre entreprise contre tous les types d’attaques par ransomware. Pour être efficaces, les stratégies anti-ransomware impliquent de prendre pleinement en compte l’infrastructure IT existante et tous les points faibles inhérents, d’établir des procédures de sauvegarde et d’authentification efficaces et de promouvoir un changement culturel au sein de votre entreprise pour sensibiliser les employés à la sécurité.
Voici quelques étapes à suivre pour commencer :
Éliminez les protocoles simples de partage de réseau lors de la sauvegarde des données et mettez en œuvre des fonctionnalités de sécurité viables pour protéger les données de sauvegarde et les consoles d’administration contre les attaques. Cela vous permettra de vous assurer que des copies de données non corrompues sont disponibles lorsque vous en avez besoin.
À mesure que de nouveaux programmes malveillants sont identifiés, les fournisseurs de logiciels de sécurité et d’autres fournisseurs mettent à jour leurs produits et systèmes pour contrer ces nouvelles menaces. Malheureusement, les entreprises négligent parfois de s’informer sur les derniers correctifs de sécurité, ce qui les rend vulnérables aux menaces connues. Recherchez régulièrement les nouvelles mises à jour et installez-les dès qu’elles sont disponibles.
Créez et distribuez des politiques Internet dans toute votre entreprise détaillant les bonnes pratiques et les mesures de sécurité que les employés doivent suivre lorsqu’ils sont en ligne. Par exemple, n’autorisez jamais les employés à mener des activités professionnelles ou à accéder à des systèmes sensibles lorsqu’ils sont connectés au Wi-Fi public. Formez tous les employés concernés à ces politiques et établissez des plans d’intervention qu’il pourront suivre en cas d’exposition à des logiciels malveillants.
Protégez les comptes administratifs contre les accès et le contrôle non autorisés en utilisant l’authentification à deux facteurs (ou plus). Configurez les comptes de sorte qu’ils ne fournissent que les privilèges système minimum nécessaires par défaut.
Intégrez la récupération après attaque par ransomware à votre stratégie globale de reprise après sinistre. Établissez un environnement de restauration isolé : un centre de données séparé et fermé dans lequel les copies de données peuvent être conservées de manière sécurisée pour empêcher tout accès externe. Intégrez votre environnement de restauration isolé dans tous les tests de reprise après sinistre.
Les connaissances et la sensibilisation font partie des armes les plus efficaces pour lutter contre les ransomwares. Gardez vos armes bien affûtées en suivant les professionnels et experts de la sécurité sur les réseaux sociaux, en consultant régulièrement les flux de conseils en matière de risques et les sites de conseil, et en vous tenant informé des actualités pertinentes.
Élaborez un plan complet de réponse aux ransomwares qui décrit les étapes à suivre en cas d’attaque. Ce plan doit inclure des procédures permettant d’identifier et d’isoler les systèmes infectés, de contacter les forces de l’ordre, de notifier les parties concernées et de lancer des processus de récupération. La mise en place d’un plan bien défini peut réduire considérablement le chaos et les temps d’arrêt associés aux attaques par ransomware.
Sauvegardez régulièrement toutes les données et tous les systèmes critiques. Assurez-vous que les sauvegardes sont stockées en toute sécurité et hors ligne pour empêcher les ransomwares de les chiffrer ou de les supprimer. Testez régulièrement l’intégrité des sauvegardes pour garantir leur fiabilité en cas de perte de données. Une stratégie de sauvegarde solide peut vous permettre de récupérer vos données sans payer de rançon.
Proposez une formation approfondie en cybersécurité à tous les employés, en insistant sur l’importance de la sécurité des données. Apprenez-leur à reconnaître les tentatives d’hameçonnage, les liens suspects et les pièces jointes aux e-mails. Encouragez la pratique d’une gestion rigoureuse des mots de passe et l’utilisation de l’authentification multifacteur. Les employés doivent comprendre leur rôle dans la prévention des attaques par ransomware et savoir comment signaler rapidement toute activité suspecte. La formation continue des employés est un élément essentiel pour établir une défense puissante contre les ransomwares.
Si vous êtes la cible d’une attaque par ransomware, ne cédez pas aux demandes des criminels. Sinon, vous serez identifiés, vous et votre entreprise, comme des victimes consentantes et encouragerez les criminels à continuer de vous cibler. Dans la plupart des cas, les entreprises qui paient pour que leurs données ou leurs fichiers leur soient rendus ne reçoivent jamais de clé de chiffrement qui fonctionne. Au lieu de cela, les pirates deviennent de plus en plus exigeants, jusqu’à ce que l’entreprise ciblée cesse de payer. En outre, en payant les rançons, vous financez leur activité criminelle et exposez d’autres entreprises ou individus au même risque.
Si vous constatez que vous avez été victime d’un ransomware, agissez rapidement en suivant ces étapes :
Les ransomwares se connectent à un réseau en infectant un seul appareil ou système, mais cela ne signifie pas nécessairement qu’ils restent à cet endroit. Les ransomwares peuvent facilement se propager dans l’ensemble de votre réseau. La première chose à faire lorsque vous découvrez la présence d’un ransomware est donc de déconnecter le système infecté et de l’isoler du reste du réseau. Si vous êtes assez rapide, vous réussirez peut-être à contenir le logiciel malveillant dans un emplacement unique, ce qui vous facilitera grandement la tâche.
Tout comme les pompiers qui retirent les broussailles et les arbres de la trajectoire d’un feu de forêt qui fait rage, vous devez ensuite prendre des mesures pour empêcher le ransomware de se propager en déconnectant et en isolant tout autre système qui aurait pu être exposé. Cela doit inclure tous les appareils qui semblent fonctionner anormalement, y compris ceux qui fonctionnent à distance. Vous pouvez freiner davantage la propagation en désactivant toutes les options de connectivité sans fil.
Une fois les fichiers suspects isolés du réseau, vous devez évaluer l’étendue des dommages. Déterminez quels systèmes ont été affectés en recherchant les fichiers récemment chiffrés (souvent avec des noms d’extension étranges). Examinez de près les partages chiffrés de chaque appareil ; si l’un d’entre eux possède plus de partages que les autres, il peut s’agir du point d’entrée initial du ransomware dans votre réseau. Éteignez ces systèmes et appareils et listez de manière exhaustive tous les éléments susceptibles d’avoir été touchés (y compris les disques durs externes, les périphériques de stockage réseau, les systèmes basés sur le cloud, les ordinateurs de bureau, les ordinateurs portables, les appareils mobiles et tout autre appareil capable d’exécuter ou de transmettre le ransomware).
Comme indiqué dans le paragraphe précédent, la recherche d’un nombre élevé de partages chiffrés sur les appareils concernés peut vous aider à localiser le « patient zéro ». Les autres méthodes permettant de localiser la source du ransomware incluent la recherche d’alertes antivirus qui précèdent directement l’infection et l’examen de toute action suspecte d’un utilisateur (par exemple, cliquer sur un lien inconnu ou ouvrir un courrier indésirable). Une fois que vous avez découvert la source, la correction devient beaucoup plus facile.
Pour contrer efficacement une attaque par ransomware, vous devez généralement identifier avec précision le type de logiciel dont vous êtes la cible. Il existe plusieurs façons d’identifier le ransomware. La note incluse dans l’attaque (celle qui vous demande d’envoyer de l’argent pour déverrouiller vos fichiers) peut en réalité identifier directement le logiciel. Vous pouvez également rechercher l’adresse e-mail associée à la note pour déterminer quel ransomware est utilisé par le criminel et quelles mesures ont été prises par d’autres entreprises après avoir été infectées. Enfin, il existe des sites et des outils disponibles en ligne conçus pour vous aider à identifier les différents types de ransomwares. Veillez simplement à étudier toutes les options avant d’en sélectionner une afin d’éviter de télécharger un outil qui ne serait pas fiable et d’infecter davantage votre système déjà fragilisé.
Une fois que vous avez contenu le ransomware, il est de votre responsabilité de contacter les forces de l’ordre. Dans de nombreux cas, cela dépasse le simple protocole ; certaines lois sur la confidentialité des données imposent d’établir un rapport dans un délai prédéterminé pour toute violation de données visant votre entreprise. Le non-respect de ce protocole peut entraîner des amendes ou d’autres sanctions. Mais même si vous n’avez pas l’obligation juridique de contacter les forces de l’ordre, cela doit être une priorité. Les agences de cybercriminalité auront probablement plus de pouvoir, d’expérience et de ressources pour résoudre ce genre de problèmes, et pourront aider votre entreprise à revenir plus rapidement à une situation normale.
Maintenant que vous avez éteint l’incendie, il est temps de commencer à réparer vos systèmes. Dans l’idéal, si vous disposez de données de sauvegarde non corrompues, vous devriez pouvoir restaurer vos systèmes sans trop de difficultés. Vérifiez à nouveau que vos appareils ne sont infectés par aucun ransomware ou autre logiciel malveillant, puis restaurez vos données. Gardez à l’esprit que les attaques provoquées par les ransomwares modernes ciblent souvent les sauvegardes de données. Vous devez donc vous assurer que vos données sont intègres avant de les restaurer.
Si vous n’avez pas de sauvegarde de données disponible ou si les données elles-mêmes ont également été corrompues, la meilleure solution consiste à trouver une solution de déchiffrement. Comme nous l’avons mentionné précédemment, en effectuant quelques recherches, vous trouverez peut-être une clé de déchiffrement en ligne pour vous aider à restaurer l’accès à vos systèmes et leur contrôle.
Après une attaque par ransomware, il est de votre responsabilité de communiquer avec vos clients au sujet de l’incident. La transparence est essentielle pour maintenir la confiance, et si vous négligez de tenir vos clients au courant, la confiance s’érodera rapidement. Communiquez avec les personnes qui soutiennent votre entreprise : informez-les de la situation, des mesures que vous prenez pour la résoudre et de tout impact potentiel sur leurs données ou services. Fournir des informations précises et opportunes peut contribuer à atténuer les atteintes à la réputation de votre entreprise, qui accompagnent souvent de tels incidents.
Bien que gérer une attaque par ransomware puisse perturber vos activités, il est essentiel de faire votre possible pour que votre entreprise reste opérationnelle pendant le processus de récupération. Mettez en œuvre des plans de continuité d’activité pour garantir que les fonctions critiques restent opérationnelles. Cela peut impliquer de rediriger les tâches vers des zones non affectées ou de déplacer temporairement les opérations pour limiter les temps d’arrêt. Le maintien de la continuité d’activité peut réduire les pertes financières associées aux attaques par ransomware et démontrer votre résilience à vos clients et aux autres personnes concernées.
Que vous restauriez vos appareils, trouviez une solution de déchiffrement ou acceptiez simplement la disparition de vos données sensibles, la dernière étape sera toujours la même : reconstruire et aller de l’avant. Même dans le meilleur des cas, le rétablissement des mêmes niveaux de productivité qu’avant l’attaque peut s’avérer long et coûteux. Essayez simplement de retirer de cette expérience une meilleure compréhension des menaces auxquelles votre entreprise est confrontée et une idée plus claire de la manière de vous défendre contre ces menaces.
En outre, à mesure que les cybercriminels s’adaptent aux nouvelles technologies et mesures de sécurité, les ransomwares continuent d’évoluer. Pour anticiper les menaces émergentes, il est essentiel de comprendre les tendances émergentes en matière de ransomwares. Voici quelques tendances clés à surveiller :
Les entreprises migrent de plus en plus leurs données et leurs services vers le cloud, les cybercriminels vont donc logiquement se mettre à cibler les points de terminaison basés sur le cloud beaucoup plus fréquemment. Les services cloud sont des cibles attractives, car ils stockent de grandes quantités de données, ce qui augmente les chances d’obtenir une rançon pour les opérateurs de ransomware. Il est important pour les entreprises de sécuriser leurs environnements cloud et de mettre en œuvre des contrôles d’accès solides pour atténuer ces menaces.
Les ransomwares ciblent généralement des plateformes largement utilisées telles que Windows et iOS, mais les tendances futures pourraient voir une expansion vers des systèmes d’exploitation et des plateformes moins courants. Les cybercriminels cherchent à exploiter les vulnérabilités là où les mesures de sécurité sont moins matures. Les entreprises doivent donc s’assurer qu’elles ont mis en place des mesures de sécurité complètes sur tous leurs systèmes, y compris les moins courants.
Les opérateurs de ransomware ont tendant à délaisser le simple chiffrement des données pour se tourner vers l’extraction des informations sensibles, avant de les chiffrer. Ils menacent ensuite de divulguer ces données volées si la rançon n’est pas payée, faisant de l’extorsion de données une tactique puissante. Bien que l’extorsion de données ne soit pas une nouveauté, les capacités avancées facilitent le partage des données volées par les pirates, offrant ainsi aux acteurs de menaces un outil supplémentaire pour faire chanter leurs victimes. Cette tendance souligne l’importance de protéger la disponibilité des données et leur confidentialité.
L’extraction des données a un effet secondaire regrettable : les pirates peuvent désormais diversifier plus facilement leurs sources de revenus en vendant les données volées sur le dark Web, même si les victimes acceptent de payer la rançon. Cette pratique expose les entreprises à des risques supplémentaires au-delà de l’impact immédiat d’une attaque par ransomware.
Les opérateurs de ransomware commencent déjà à tirer parti de l’IA et de l’apprentissage machine pour améliorer leurs attaques. L’IA peut automatiser des tâches telles que l’identification des cibles vulnérables et la personnalisation des e-mails d’hameçonnage, tandis que l’apprentissage machine peut être utilisé pour échapper à la détection par les systèmes de sécurité (et ce ne sont que quelques cas d’utilisation). Cette tendance souligne l’importance de l’intégration de l’IA et de l’apprentissage machine dans les mesures de cybersécurité pour détecter les menaces en constante évolution et y répondre efficacement, même lorsque ces menaces s’appuient sur des technologies intelligentes.
Lorsque vous vous protégez et défendez contre les attaques par ransomware, le temps peut être votre ressource la plus précieuse. ServiceNow, leader de la gestion IT et de l’automatisation des workflows, vous offre le temps dont vous avez besoin, avec des fonctionnalités de contrôle et de surveillance claires et centralisées. Éliminez les failles de sécurité avant qu’elles ne puissent être exploitées, identifiez les activités réseau suspectes et réagissez aux violations à tout moment. Récupérez plus rapidement après tout type d’attaque grâce à des solutions de réponse de sécurité automatisées. Avec ServiceNow, c’est possible.
Protégez votre entreprise contre les ransomwares et autres attaques grâce à une surveillance continue et à une réponse automatisée. Apprenez-en davantage sur les ransomwares, et découvrez comment ServiceNow peut aider votre entreprise à faire face à toutes les situations.
Éliminez les silos pour gérer les risques et renforcer la conformité dans l’ensemble de l’entreprise.