Trace Id is missing
Passer directement au contenu principal
Sécurité Microsoft

Qu'est-ce qu'un ransomware ?

Découvrez ce qu’est un ransomware, comment il fonctionne et comment protéger votre entreprise contre ce type de cyberattaque.
Protégez-vous des ransomwares

Comprendre les ransomwares

Un ransomware est un type de logiciel malveillant, ou malware, que les cybercriminels utilisent pour bloquer l’accès aux données critiques d’une victime, les détruire ou les publier, à moins qu’une rançon ne soit payée. Les ransomwares traditionnels ciblent à la fois les particuliers et les organisations, mais deux développements récents, les ransomwares gérés par l'homme et les ransomwares en tant que service, sont devenus une menace plus importante pour les entreprises et autres grandes organisations.

Avec un ransomware géré par l’homme, un groupe d’attaquants utilise son intelligence collective pour accéder aux réseaux d’entreprise. Avant d’installer le ransomware, ils effectuent des recherches sur l’entreprise pour comprendre ses vulnérabilités et, dans certains cas, découvrir des documents financiers qui les aident à fixer le montant de la rançon.

Dans un modèle de ransomware en tant que service, un ensemble de développeurs criminels crée le ransomware, puis embauche d’autres affiliés cybercriminels pour pirater le réseau d’une organisation et installer le ransomware. Les deux groupes se partagent les bénéfices selon un taux convenu.

Tous les ransomwares ont un impact considérable sur les individus et les organisations attaqués. La remise en ligne des systèmes affectés peut prendre des jours, des semaines, voire des mois, ce qui entraîne une perte de productivité et de ventes. Les organisations pourraient également subir des dommages à leur réputation auprès des clients et de la communauté.

Principaux points à retenir

  • Un ransomware est un type de logiciel malveillant qui crypte les données et exige le paiement d'une rançon pour les décrypter.
  • Il peut se propager via des e-mails de phishing, des sites Web malveillants et des kits d’exploitation.
  • Dans un ransomware géré par l’homme, un groupe d’attaquants utilise son intelligence collective pour accéder aux réseaux d’entreprise.
  • Les deux principaux types de ransomwares sont les ransomwares crypto, qui cryptent les données et les fichiers sensibles, et les ransomwares de verrouillage, qui empêchent les victimes d'accéder à leurs appareils.
  • Les attaques de ransomware peuvent causer des dommages financiers, de réputation et opérationnels importants aux particuliers et aux entreprises.
  • Vous pouvez prendre certaines mesures pour vous protéger contre les attaques de ransomware, comme l’utilisation de logiciels de sécurité performants, la sauvegarde de vos données et la promotion de la sensibilisation à la cybersécurité au sein de votre organisation.

Types de ransomwares

Les ransomwares se présentent sous deux formes principales : les ransomwares crypto et les ransomwares locker, qui sont eux-mêmes divisés en plusieurs sous-types.

Ransomware crypto
Lors d’une attaque de ransomware crypto, l’attaquant crypte les données ou les fichiers sensibles d’une victime afin qu’elle ne puisse pas y accéder à moins qu’elle ne paie la rançon demandée. En théorie, une fois que la victime a payé, l’attaquant lui remet une clé de déchiffrement qui lui donne accès aux fichiers ou aux données. Cependant, il n’y a aucune garantie. De nombreuses organisations ont définitivement perdu l’accès à leurs fichiers même après avoir payé la rançon.

Ransomware Locker
Dans les rançongiciels de verrouillage, les acteurs malveillants bloquent l'accès d'une victime à son appareil et lui présentent une note de rançon à l'écran avec des instructions sur la façon de payer une rançon pour retrouver l'accès. Cette forme de ransomware n’implique généralement pas de cryptage. Ainsi, une fois que la victime retrouve l’accès à son appareil, tous les fichiers et données sensibles sont préservés. Le ransomware Locker est couramment utilisé sur les appareils mobiles.

Ces deux principales formes de ransomware se répartissent dans les sous-types suivants :

Alarmiciel
Les alarmiciels utilisent la peur pour inciter les gens à payer une rançon. Dans ce type de cyberattaques, les acteurs malveillants se font passer pour un organisme chargé de l’application de la loi et envoient un message à la victime l’accusant d’un crime et exigeant une amende.

Doxware
Dans Doxware, les acteurs malveillants volent des informations personnelles et menacent de les révéler publiquement si une rançon n’est pas payée.

Double extorsion ransomware
Dans les rançongiciels à double extorsion, les attaquants non seulement cryptent les fichiers, mais volent également des données sensibles et menacent de les divulguer publiquement si la rançon n’est pas payée.

Essuie-glaces
Les essuie-glaces menacent de détruire les données de la victime si elle ne paie pas la rançon.

Comment fonctionnent les ransomwares

La plupart des attaques de ransomware suivent un processus en trois étapes.

1. Accéder
Les acteurs malveillants utilisent diverses méthodes pour accéder aux données sensibles d’une entreprise. L’une des méthodes les plus courantes est le phishing, qui consiste pour les cybercriminels à utiliser des e-mails, des SMS ou des appels téléphoniques pour inciter les gens à fournir leurs informations d’identification ou à télécharger des logiciels malveillants. Les acteurs malveillants ciblent également les employés et autres utilisateurs avec des sites Web malveillants qui utilisent ce qu’on appelle un kit d’exploitation pour télécharger et installer automatiquement des logiciels malveillants sur l’appareil de la victime.

2. Crypter les données
Une fois que les attaquants du ransomware ont accès aux données sensibles, ils les copient et détruisent le fichier d’origine ainsi que toutes les sauvegardes auxquelles ils ont pu accéder. Ils cryptent ensuite leur copie et créent une clé de décryptage.

3. Demander une rançon
Après avoir rendu les données inaccessibles, le ransomware envoie un message via une boîte d'alerte qui explique que les données ont été cryptées et requête de l'argent, généralement en cryptomonnaie, en échange de la clé de décryptage. Les acteurs malveillants derrière ces attaques pourraient également menacer de divulguer les données au public si la victime refuse de payer.

Impact d'une attaque de ransomware

Au-delà de la perturbation immédiate des opérations, les conséquences d’une attaque par ransomware peuvent inclure des pertes financières importantes, des atteintes à la réputation et des défis opérationnels à long terme.

Conséquences financières
Le coût du paiement d’une rançon peut être substantiel, atteignant souvent des millions de dollars, et il n’y a aucune garantie que les attaquants fourniront la clé de déchiffrement ou qu’elle fonctionnera correctement.

Même lorsque les organisations refusent de payer la rançon, les coûts financiers peuvent être importants. La perturbation causée par une attaque de ransomware peut entraîner des temps d’arrêt prolongés, affectant la productivité et pouvant entraîner une perte de revenus. La récupération après une attaque implique des dépenses supplémentaires, notamment le coût des enquêtes médico-légales, des frais juridiques et des investissements dans des mesures de sécurité améliorées.

Atteinte à la réputation
Les clients et les partenaires pourraient perdre confiance dans une entreprise qui a été compromise, ce qui entraînerait une baisse de la fidélité des clients et une perte potentielle de contrats futurs. Les attaques très médiatisées attirent souvent l’attention des médias, ce qui peut nuire à la réputation et à l’image de marque d’une entreprise.

Défis opérationnels
Même avec des sauvegardes, il existe un risque de perte ou de corruption de données, ce qui peut avoir un impact sur la continuité des activités et l'efficacité opérationnelle. Les entreprises peuvent également être confrontées à des sanctions juridiques et réglementaires si elles ne protègent pas les données sensibles, en particulier si elles sont soumises à des réglementations sur la protection des données telles que le règlement général sur la protection des données de l'Union européenne ou la loi californienne sur la protection de la vie privée des consommateurs.

Exemples réels de ransomwares

La plupart des attaques de rançongiciels les plus médiatisées menées par des humains sont menées par des groupes de rançongiciels, qui fonctionnent selon un modèle commercial de rançongiciel en tant que service.

 
  • Depuis son apparition en 2019, LockBit a ciblé divers secteurs, notamment les services financiers, la santé et la fabrication. Ce ransomware est connu pour sa capacité à s'autopropager au sein des réseaux, ce qui le rend particulièrement dangereux. Les filiales de LockBit sont responsables de nombreuses attaques très médiatisées, utilisant des techniques sophistiquées pour crypter les données et exiger des rançons. 
  • Les attaques de BlackByte impliquent souvent une double extorsion, où les cybercriminels cryptent et exfiltrent les données, menaçant de publier les données volées si la rançon n'est pas payée. Ce ransomware a été utilisé pour cibler des secteurs d’infrastructures critiques, notamment les services gouvernementaux et financiers.
  • Le groupe à l’origine du ransomware Hive, actif entre juin 2021 et janvier 2023, recourait à la double extorsion et ciblait généralement les institutions publiques et les infrastructures critiques, notamment les établissements de santé. Dans une victoire significative contre la cybercriminalité, le FBI a infiltré le réseau de Hive en 2022, capturant des clés de décryptage et empêchant plus de 130 millions de dollars de requêtes de rançon. 
  • Le ransomware Akira est un malware sophistiqué actif depuis début 2023 et ciblant les systèmes Windows et Linux. Les acteurs malveillants utilisent Akira pour obtenir un accès initial via des vulnérabilités dans les services VPN, en particulier ceux sans authentification multifacteur. Depuis son apparition, Akira a touché plus de 250 organisations et a réclamé environ 42 millions de dollars de rançongiciels.
 
Prévention

Stratégies de prévention et de protection contre les ransomwares

Protégez vos terminaux et vos clouds

La meilleure forme de protection est la prévention. De nombreuses attaques de ransomware peuvent être identifiées et bloquées avec une solution de protection évolutive des points de terminaison fiable, telle que Microsoft Defender for Endpoint. Les solutions de détection et de réponse étendues (XDR), telles que Microsoft Defender XDR, vont au-delà de la protection des terminaux pour vous aider à sécuriser vos appareils, votre messagerie électronique, vos applications de collaboration et vos identités. Et avec autant d’activités menées dans le cloud, il est important de protéger toute votre infrastructure cloud et vos applications avec une solution comme Microsoft Defender for Cloud.

Organiser des formations régulières

Tenez les employés informés sur la manière de repérer les signes d’hameçonnage et autres attaques de ransomware grâce à des formations régulières. Pour renforcer les apprentissages et identifier les opportunités de formation supplémentaire, effectuez un suivi avec des simulations d’hameçonnage périodiques. Cela aidera vos employés à apprendre des pratiques de travail plus sûres et également à être plus en sécurité lors de l’utilisation de leurs appareils personnels.

Adopter un modèle Zero Trust

Un modèle Zero Trust suppose que chaque requête d’accès, même celles provenant de l’intérieur du réseau, constitue une menace potentielle. Les principes Zero Trust incluent la vérification explicite via une authentification continue, l'application d'un accès au moindre privilège pour minimiser les autorisations et l'hypothèse d'une violation en mettant en œuvre des mesures de confinement et de surveillance solides. Ce contrôle supplémentaire réduit la probabilité qu’une identité ou un appareil malveillant accède aux ressources et installe un ransomware.

 Rejoignez un groupe de partage d'informations

Les groupes de partage d’informations, souvent organisés par secteur d’activité ou par situation géographique, encouragent les organisations structurées de manière similaire à travailler ensemble pour trouver des solutions de cybersécurité. Les groupes offrent également aux organisations différents avantages, tels que des services de réponse aux incidents et de criminalistique numérique, de veille des menaces et la surveillance des plages et domaines IP publics.

Maintenir des sauvegardes hors ligne

Étant donné que certains ransomwares tenteront de rechercher et de supprimer toutes les sauvegardes en ligne que vous pourriez avoir, il est judicieux de conserver une sauvegarde hors ligne à jour des données sensibles que vous testez régulièrement pour vous assurer qu'elle est restaurable si jamais vous êtes victime d'une attaque de ransomware.

Maintenir le logiciel à jour

En plus de maintenir à jour toutes les solutions anti-programme malveillant, assurez-vous de télécharger et d’installer toutes les autres mises à jour système et correctifs logiciels dès qu’ils sont disponibles. Cela permet de minimiser les vulnérabilités de sécurité qu’un cybercriminel pourrait exploiter pour accéder à votre réseau ou à vos appareils.

Créer un plan de réponse aux incidents

Un plan de réponse aux incidents vous fournira les étapes à suivre dans différents scénarios d’attaque afin que vous puissiez reprendre vos activités normalement et en toute sécurité dès que possible.

Répondre à une attaque de ransomware

Si vous êtes victime d’une attaque de ransomware, il existe des options de recours et de suppression.

Isoler les données infectées
Dès que possible, isolez les données compromises pour empêcher le ransomware de se propager à d’autres zones de votre réseau.

Exécuter un programme anti-malware
Une fois que vous avez isolé tous les systèmes infectés, utilisez un programme anti-malware pour supprimer le ransomware.

Décrypter des fichiers ou restaurer des sauvegardes
Si possible, utilisez des outils de décryptage fournis par les forces de l’ordre ou les chercheurs en sécurité pour décrypter les fichiers sans payer la rançon. Si le décryptage n’est pas possible, restaurez les fichiers à partir de vos sauvegardes.

Signaler l'attaque
Contactez les forces de l’ordre locales ou fédérales pour signaler l’attaque. Aux États-Unis, il s'agit de votre bureau local du FBI, de l'IC3 ou des services secrets. Même si cette étape ne résoudra probablement aucun de vos problèmes immédiats, elle est importante car ces autorités suivent et surveillent activement différentes attaques. Leur fournir des détails sur votre expérience pourrait être utile dans leurs efforts pour trouver et poursuivre un cybercriminel ou un groupe de cybercriminels.

Soyez prudent lorsque vous payez la rançon
Même s’il peut être tentant de payer la rançon, rien ne garantit que les cybercriminels tiendront parole et vous accorderont l’accès à vos données. Les experts en sécurité et les forces de l’ordre recommandent aux victimes d’attaques par rançongiciel de ne pas payer les rançons demandées, car cela pourrait les exposer à de futures menaces et soutiendrait activement une industrie criminelle.
RESSOURCES 

Découvrez la sécurité Microsoft

Protégez votre organisation contre les ransomwares complexes grâce à des solutions de protection contre les menaces unifiées basées sur l'IA et à des meilleures pratiques éprouvées.
Une femme en chemise verte regardant un ordinateur.
Solution

Protégez-vous contre les ransomwares

Exposez et répondez aux cyberattaques sophistiquées dans votre environnement multicloud et multiplateforme.
En savoir plus
Un homme assis à un bureau avec un ordinateur portable.
Solution

Surpassez les menaces grâce à un SecOps unifié et alimenté par l'IA

Obtenez des informations XDR et de sécurité ainsi que la gestion des événements, le tout sur une seule plateforme.
En savoir plus
Un ordinateur portable sur une table.
Produit

Protégez l'ensemble de votre entreprise avec Microsoft Defender XDR

Protégez vos terminaux, vos identités, vos applications cloud et vos données contre les cyberattaques.
En savoir plus
Un homme avec des lunettes et une barbe tenant des papiers devant un ordinateur portable.
Produit

Protégez votre petite entreprise avec Microsoft Defender for Business

Protégez-vous contre les attaques de ransomware sophistiquées sur tous les appareils grâce à un antivirus de nouvelle génération et à une détection et une réponse des points de terminaison de niveau entreprise basées sur l'IA.
En savoir plus
Une femme et un homme regardant un ordinateur portable.
Portail de Protection contre les menaces

Actualités sur la cybersécurité et l'IA

Découvrez les dernières tendances et meilleures pratiques en matière de protection contre les cybermenaces et d'IA de sécurité.
Obtenez les dernières ressources
Retour à la section RESSOURCES

Forum aux questions

  • Un ransomware est un type de logiciel malveillant qui crypte des données précieuses et exige le paiement d'une rançon en échange de leur décryptage.
  • Malheureusement, presque toute personne ayant une présence en ligne peut devenir victime d’une attaque de ransomware. Les appareils personnels et les réseaux d’entreprise sont tous deux des cibles fréquentes des cybercriminels.
  • Les attaques de ransomware traditionnelles se produisent lorsqu'un individu est amené à interagir avec du contenu malveillant, par exemple en ouvrant un e-mail infecté ou en visitant un site Web nuisible qui installe un ransomware sur son appareil.
    Lors d’une attaque par rançongiciel exploité par des humains, un groupe d’attaquants cible et compromet des données sensibles d’une organisation, généralement en se servant d’informations d’identification volées.
    En règle générale, qu'il s'agisse d'un rançongiciel d'ingénierie sociale ou d'un rançongiciel géré par l'homme, la victime ou l'organisation reçoit une requête de rançon détaillant les données volées et le coût de leur restitution. Le paiement de la rançon ne garantit toutefois pas que les données seront effectivement restituées ou que de futures violations seront évitées.
  • Les effets d’une attaque de ransomware peuvent être dévastateurs. Aux niveaux tant individuel qu’organisationnel, les victimes pourraient se sentir contraintes de payer des rançons conséquentes sans garantie que leurs données leur seront restituées ou que d’autres attaques ne se produiront pas. Si un cybercriminel divulgue des informations sensibles d’une organisation, cela peut entacher la réputation de celle-ci et fragiliser la confiance qu’elle inspire. Et, selon le type d’informations divulguées et la taille de l’organisation, des milliers de personnes pourraient être exposées au risque d’être victimes d’un vol d’identité ou d’autres cybercrimes.
  • Les cybercriminels qui infectent les appareils des victimes avec des ransomwares veulent de l’argent. Ils ont tendance à fixer des rançons en cryptomonnaies en raison de leur nature anonyme et intraçable. Lorsqu’un individu est ciblé, la rançon peut s’élever à des centaines ou des milliers de dollars américains. Les campagnes de rançongiciels menées par des humains exigent souvent des millions de dollars américains.
  • Les victimes doivent signaler les attaques de ransomware à leurs forces de l’ordre locales ou fédérales. Aux États-Unis, il s'agit de votre bureau local du FBI, de l'IC3 ou des services secrets. Les experts en sécurité et les responsables de l’application de la loi recommandent aux victimes de ne pas payer de rançon. Si vous avez déjà payé, contactez immédiatement votre banque et les autorités locales. Votre banque pourrait être en mesure de bloquer le paiement si vous avez payé avec une carte de crédit.

Suivez la Sécurité Microsoft