Les ransomwares ne sont pas nouveaux. Depuis le milieu des années 2000, ils ont fait des ravages dans les entreprises, des plus grandes aux plus petites. Entre 2005 et 2017, plus de 7 600 demandes de rançon ont été signalées au Centre des plaintes concernant la criminalité sur Internet (IC3). Les attaques de ransomwares ont perturbé pendant des semaines les opérations de certaines de ses victimes et ont coûté des milliards de dollars aux organisations. Le ransomware est régulièrement considéré comme la menace n° 1 en matière de cybersécurité. Il y a tout juste un an, il semblait que la férocité du ransomware n’avait aucune limite.
Cependant, l’omniprésence croissante des ransomwares a stagné, sinon reculé en 2018. Selon Kaspersky, les ransomwares ne sont plus la menace numéro 1. Ils ont cédé la place aux malwares de cryptomining. Les chevaux de Troie bancaires ont aussi récemment éclipsé les ransomwares. Il n’est pas surprenant que ces derniers ne fassent plus les manchettes qu’ils faisaient il y a à peine douze mois. Les attaques de ransomwares sont peut-être en baisse, mais vous ne devez en aucun cas les sous-estimer.
Un ransomware a pris d’assaut un aéroport du Royaume-Uni
Le 14 septembre 2018, un ransomware a frappé l’aéroport de Bristol, forçant ses employés à afficher les horaires d’arrivée et de départ des vols sur des affiches et des tableaux blancs. En effet, l’attaque a affecté les communications internes de l’aéroport. Des alertes d’horaires ont été régulièrement annoncées sur le système de sonorisation pendant deux jours, au cours desquels le personnel informatique de l’aéroport s’est efforcé de mettre fin au malware. Heureusement, l’attaque s’est limitée aux fonctions opérationnelles de l’aéroport. Elle n’a eu aucun impact sur les opérations aériennes, de sorte que les passagers n’ont jamais été en danger.
Plus tôt cette semaine, 380 000 passagers ont été touchés par un piratage de British Airways. On pense que les pirates ont réussi à contourner les défenses de British Airways à cause d’un code trouvé sur le site web de la compagnie. Bien qu’il ne s’agisse pas d’une attaque de ransomware, il semble que les compagnies aériennes et les aéroports soient des cibles faciles pour les cybercriminels.
Une série d’attaques de ransomwares pendant la période d’été
Voici quelques-unes des nombreuses attaques qui ont eu lieu pendant cette période.
- Le géant mondial du transport maritime, Cosco Shipping Lines, a été contraint de cesser les activités dans plusieurs de ses ports en Amérique du Nord, en Amérique centrale et en Amérique du Sud. Cela fait suite à une attaque de ransomware qui a mis fin à ses opérations de messagerie électronique et de téléphonie réseau dans ces régions. Après l’attaque, l’entreprise a averti ses employés de ne pas ouvrir des e-mails suspects (c’était le point d’entrée de la récente attaque). On estime que 93 % des e-mails de phishing sont maintenant à l’origine des attaques des ransomwares. Ce n’est pas la première fois qu’une compagnie maritime mondiale est victime de piratage informatique, puisque l’an dernier, la compagnie danoise A.P. Moller-Maersk a été également victime de la souche de malware NotPetya.
- Wendell Furniture, à Colchester, a perdu l’accès à son système de commande pendant plusieurs semaines après que ses serveurs aient été infectés par un malware. Les pirates ont réussi à voler l’information sur les ventes des huit dernières années, y compris les noms, adresses, numéros de téléphone et adresses électroniques de ses clients. Wendell a fini par payer des milliers de dollars aux pirates pour récupérer les données.
- Un détaillant de matelas de Winnipeg, au Canada, a été frappé par une demande de rançon qui a fait tomber ses serveurs, ce qui a complètement mis fin à ses activités. Best Sleep Centre a négocié la rançon initiale pour 6 000 $ à 2 000 $. Selon le propriétaire, l’attaque était causée par le manque de diligence dans la mise en œuvre des mises à jour régulières. Il a également déclaré que la société a tiré une leçon coûteuse de cet incident.
L’importance des sauvegardes
La seule certitude concernant le ransomware est que le maintien d’une solution de sauvegarde fonctionnelle bien conçue servira de mesure efficace contre ses effets durables, peu importe comment il peut évoluer un jour.
Pour protéger vos données et pour pouvoir les récupérer suite à une attaque de ransomware, vous devez disposer d’un système de sauvegarde fiable et sûre. La règle 3-2-1 est la meilleure pratique pour la sauvegarde et la restauration. Découvrez comment fonctionne l’approche de sauvegarde 3-2-1.
Le visage changeant des ransomwares
Les inquiétudes concernant les ransomwares ont atteint des sommets l’été dernier lors des attaques WannaCry et Locky, lesquelles ont détruit de nombreuses entreprises dans le monde entier. Bien que les dommages qu’elles ont causés aient été sans précédent, le montant des rançons versées était toutefois faible. En conséquence, les attaques à grande échelle ont considérablement diminué au cours des douze derniers mois.
Cela ne signifie pas que le ransomware ne constitue plus une menace. Pour ajuster leur tir, les pirates ont maintenant changé de stratégie, passant à des attaques plus ciblées. Les rançons ont également été réduites à des montants plus réalistes, ce qui a augmenté les taux de paiement de ce genre d’attaque. Comme les attaques sont très ciblées, elles font de moins en moins partie des gros titres des actualités. Pourtant, la liste des victimes continue de s’allonger.
Fin 2016, lorsque le FBI a annoncé que les ransomwares représentaient une industrie qui pèse des milliards de dollars, cela a fait tourner beaucoup de têtes, y compris celles de programmeurs expérimentés et malintentionnés. Ces derniers ont commencé à créer des codes malveillants plus complexes qu’ils pouvaient ensuite vendre sur le dark web à des pirates qui ne possédaient pas les compétences en matière codage pour réaliser leurs projets malveillants.
Le terme « Ransomware as a Service » (RaaS) a rapidement été inventé pour décrire ce qui est maintenant devenu une entreprise clé en main pour ceux qui sont prêts à payer quelques centaines de dollars à l’avance et à partager les rançons qu’ils obtiennent. C’est l’une des principales raisons pour lesquelles le nombre de familles de ransomwares a diminué. Par contre, le nombre de variantes a augmenté.
Les attaques de ransomwares ne sont pas toujours motivées financièrement
Les attaques de ransomwares ne sont pas toujours motivées financièrement. Les pirates informatiques commencent à utiliser des charges utiles de chiffrement de malwares pour couvrir leurs traces. Par exemple, ils déploient une charge utile de ransomware avant de déposer un rootkit ou une autre charge utile malveillante. Le dépôt de ransomware reste inactif jusqu’à ce que la charge utile de l’attaque primaire ne soit découverte. Ceci permet aux pirates de lancer une attaque de ransomware pour effacer le système et protéger les signatures de code. Cette attaque peut également être utilisée pour effacer les preuves d’une opération réussie, détruisant ainsi toutes les traces.
Bien qu’il y ait actuellement peu de pirates informatiques professionnels qui mettent en œuvre des attaques de ransomwares, celles qui sont parrainées par l’État-nation sont en hausse, selon Europol. Pas plus tard que la semaine dernière, le département de la Justice des États-Unis a accusé un programmeur informatique travaillant pour le compte du gouvernement nord-coréen d’un certain nombre d’attaques, dont l’attaque de WannaCry qui a été lancée l’an dernier.