L’année dernière, le montant d’un seul de rançon suite à une attaque de ransomware a franchi la barre d’un million de dollars. Au cours de l’année, les cybercriminels se sont concentrés de plus en plus sur les attaques ciblées contre les entreprises et les organisations, plutôt que de se focaliser sur les utilisateurs individuels.
Les attaques WannaCry et Petya ont généré des ondes de choc qui ont affecté les professionnels de la cybersécurité et les dirigeants d’entreprises. Bien que ces deux attaques aient entraîné d’importantes perturbations dans les activités commerciales — qui se sont traduites par une perte de revenus et, dans certains cas, par la chute des cours de leurs actions — les instigateurs à l’origine de ces attaques n’ont pu rapporter que très peu d’argent. Dans de nombreux cas, l’année dernière, le coût de la réparation des dommages générés par les attaques de ransomware était toutefois bien plus élevé que celui des autres stratagèmes d’extorsion.
Selon Cybersecurity Ventures, le coût des dommages causés par les ransomwares est estimé à plus de 5 milliards de dollars. Dans l’ensemble, les attaques par ransomware ont augmenté de 250 % par rapport à l’année précédente. Lors du troisième trimestre de l’année dernière, une attaque était lancée toutes les 40 secondes.
En moyenne, les entreprises ont dû payer environ 1 400$ pour obtenir les clés de déchiffrement des attaquants afin de récupérer leurs données. Bien que toutes les attaques ne soient pas payantes pour les criminels, beaucoup le sont. Voici pourquoi l’industrie des ransomwares ne cesse de croître.
Attaque contre l’hôpital de l’Indiana en janvier 2018
Il n’a pas fallu longtemps pour que les ransomwares fassent la une des journaux en 2018. Hancock Health, un hôpital situé à Greenfield, en Indiana, a signalé la semaine dernière qu’il avait été victime d’une attaque par ransomware, laquelle a été découverte le vendredi 11 janvier. Le malware malicieux était identifié comme étant la souche SamSam.
Contrairement à la plupart des variantes de ransomwares qui utilisent des techniques d’ingénierie sociale telles que le phishing et les pièces jointes malveillantes, SamSam cible les serveurs non corrigés en analysant Internet pour rechercher de connexions RDP ouvertes. Les attaquants utilisent ensuite les tactiques de force brute sur ces connexions RDP afin de rechercher les fichiers critiques.
Pour le cas de Hancock Health, le compte administratif d’un tiers fournisseur sur le portail d’accès à distance de l’hôpital a été compromis.
En effet, les organisations de soins de santé sont une cible populaire pour la souche SamSam. Les cybercriminels, qui semblaient opérer en Europe de l’Est, ont réclamé une rançon de quatre bitcoins, d’une valeur d’environ 55 000 $ au moment de l’attaque. En outre, les médecins ont dû recourir à des crayons et du papier pour pouvoir continuer à travailler.
Les administrateurs de l’hôpital ont examiné les options qui s’offraient à eux face à la menace. Bien que celle-ci ait été de nature aléatoire, elle est survenue à un mauvais moment pour l’hôpital.
Steve Long, PDG de Hancock Health, a déclaré : « Nous étions dans une situation très précaire au moment de l’attaque. Avec la tempête de verglas et de neige à portée de main, associée à l’une des pires saisons de grippe de tous les temps, nous voulions récupérer nos systèmes le plus rapidement possible pour éviter d’allonger le fardeau et de détourner les patients vers d’autres hôpitaux. »
En fin de compte, bien que les administrateurs aient eu la possibilité de récupérer toutes les données à partir de sauvegardes, ils ont choisi de payer la rançon 48 heures après l’attaque, car le coût de la récupération dépassait les demandes des attaquants. Une fois le paiement effectué, la clé a été libérée et toutes les opérations étaient à nouveau opérationnelles dès lundi matin.
Devriez-vous payer lorsque vous êtes victime d’une attaque par ransomware ?
La communauté informatique, en général, est contre le paiement de rançons.
Une enquête menée auprès de la communauté Spiceworks, un réseau en ligne de professionnels de l’informatique, a révélé que les répondants étaient quasi unanimes à ce sujet. Cette opinion était même partagée par les membres dont les réseaux avaient été infectés. Ces victimes ont indiqué que la plupart des données étaient récupérables à partir de sauvegardes. Ceci, malgré le fait qu’elles aient subi des pertes de données à cause des sauvegardes non surveillées ou échouées, ou d’une perte de données entre 1 et 24 heures après leur dernier cycle de sauvegarde.
On peut donc supposer que l’organisation a le choix de payer la rançon ou non. Mais si elle ne dispose pas de données sauvegardées et non affectées, elle n’aura pas d’autre choix que le paiement de la rançon.
Autres entreprises victimes des attaques par le ransomware SamSam
Hancock Health n’a pas été la seule victime de SamSam ce mois-ci. Des attaques ont également été signalées contre un autre hôpital de l’Indiana — une municipalité du Nouveau-Mexique — et contre la célèbre société de systèmes de dossiers de santé électroniques Allscripts.
Rob Mayes, le City Manager de la ville de Farmington – qui a été touchée par l’attaque – a déclaré que le FBI leur avait conseillé de ne pas payer la rançon de 35 000$. Grâce à leur plan efficace en matière de continuité de la sauvegarde des données, la ville a pu les récupérer et reprendre ses activités.
Allscripts a rapporté qu’ils n’ont pas payé la rançon demandée par les pirates. Le compte Bitcoin ayant été utilisé pour le paiement de Hancock Health a reçu un afflux de 26 bitcoins depuis le 25 décembre de l’année dernière. Cela représente une valeur d’environ 300 000$.
En se référant aux nombres de cas constatés en janvier, on pourrait supposer que 2018 sera une année record en termes d’attaques par ransomwares.
Il y a beaucoup de choses que vous pouvez faites pour atténuer les dommages causés par de telles attaques, et même les prévenir.
Voici quelques conseils qui empêcheront les ransomwares de détruire votre réseau et de verrouiller vos données :
- Utiliser le meilleur filtre antispam que vous puissiez obtenir pour protéger les utilisateurs contre les liens et les pièces jointes de phishing comportant un code malveillant,
- Mettre en œuvre des couches de filtrage de contenu pour empêcher les utilisateurs et les sessions automatisées avec des sites Web qui servent de centres de téléchargement,
- Installer un système de protection antivirus et antimalware réputés sur les périphériques d’extrémité,
- Utiliser l’approche de secours 3-2-1,
- Déployer un antivirus de passerelle qui analyse toutes les sessions Internet actives et supprime les paquets de code infectés par des malwares,
- Désactiver le protocole de bureau à distance sur tous les ordinateurs qui sont directement exposés à Internet,
- Désactiver les fichiers s’exécutant depuis les dossiers AppData ou LocalAppData,
- Former les utilisateurs afin de les éduquer à devenir plus vigilants et proactifs,
- Protéger les informations d’identification privilégiées sur les systèmes d’extrémités.
Les ransomwares constituent actuellement un moyen efficace pour les cybercriminels d’attaquer les organisations. Ces derniers sont en train de passer des campagnes de spam malveillant vers des attaques plus ciblées.
Vous êtes un professionnel du service informatique et vous voulez vous assurer que les données et les appareils sensibles de votre organisation sont protégés ? Contactez l’un de nos spécialistes ou envoyez-nous un e-mail à l’adresse info@titanhq.fr pour toute question.