Il est indéniable qu’en 2019, les logiciels de rançon ont constitué la plus grande actualité de la cybercriminalité. L’année dernière, des vagues successives de ransomwares ont paralysé des institutions publiques, des organisations et des entreprises dans le monde entier. Ces attaques ont provoqué des pertes de données pour les entreprises, ont mis un terme à la productivité des organisations et ont provoqué des pertes économiques considérables en raison des coûts de récupération de ces attaques. Une entreprise a dépensé plus de 50 millions d’euros pour un retour à la normale et la reprise de son activité après un incident de ce type. Certaines organisations qui ont subi des attaques par rançongiciels ont également pris la décision controversée de payer la rançon pour récupérer leurs fichiers.
S’il est une caractéristique qui définit la cybercriminalité, c’est bien sa capacité à évoluer et à s’adapter à de nouveaux paysages, ainsi que sa capacité à rechercher de nouveaux moyens de porter atteinte à la sécurité de ses victimes. Les rançongiciels n’y font pas exception et, vers la fin de 2019, nous avons commencé à voir apparaître de nouvelles tactiques utilisées par ce type de logiciels malveillants.
Des rançons combinées à du chantage
La dernière tendance en matière de logiciels de rançon est d’associer le cryptage des fichiers de ses victimes avec une tentative de chantage, et donc de les rendre plus susceptibles de payer la rançon. Plusieurs campagnes de rançonnement ont été observées qui, avant de crypter le système, volent des données sensibles, qu’elles peuvent ensuite menacer de divulguer si la rançon n’est pas payée.
Le dernier rançongiciel à avoir été vu utilisant cette technique s’appelle Nemty, et ses auteurs ont créé un blog spécialement pour publier les fichiers volés. Pour l’instant, les seules données figurant sur le blog sont 3,5 Go de fichiers volés à une victime. Un nombre croissant de souches de rançongiciels utilisent cette tactique. La première souche ayant combiné rançon et chantage de cette manière a été Maze ; d’autres ransomwares ont utilisé cette tactique comme DoppelPaymer et Sodinokibi.
Les informations volées et utilisées de cette manière peuvent comprendre des données très sensibles, comme des informations financières de l’entreprise, des informations personnelles sur les employés, des détails sur les clients ou d’autres documents importants.
Début mars, Visser Precision, une entreprise qui fournit des pièces pour l’industrie aérospatiale, automobile, industrielle et manufacturière, a subi une attaque de ce type. Les cybercriminels ont utilisé le rançongiciel DoppelPaymer pour crypter les fichiers de l’entreprise. Les attaquants ont ensuite commencé à publier les fichiers qui avaient été volés à l’entreprise, y compris les accords de non-divulgation (NDA) et les schémas de l’antenne de missile conçue par l’entreprise.
Un moyen de forcer le paiement
Avec cette tactique, les cybercriminels espèrent rendre les victimes plus susceptibles de payer la rançon ; avec la menace d’une éventuelle violation des données, une organisation qui subit ce genre d’attaque pourrait avoir à faire face aux répercussions d’une violation des réglementations sur la protection des données. En outre, elle devrait prendre les autres mesures nécessaires en cas de violation des données, comme la notification auprès des clients concernés, ce qui pourrait avoir un impact négatif sur la réputation de l’organisation.
Le coût des logiciels de rançon
Cette nouvelle tendance n’est que la dernière façon d’essayer de soutirer de l’argent aux victimes de rançon. Cependant, selon les chiffres publiés par le FBI, ce type de cybercriminalité a connu un succès considérable ces dernières années. Entre janvier 2013 et juillet 2019, les opérateurs de ransomware ont gagné 144,35 millions de dollars en bitcoin.
Se protéger contre les dernières menaces
La cybercriminalité a prouvé à maintes reprises qu’elle est capable d’évoluer pour s’adapter à tous les efforts déployés pour y mettre fin. C’est pourquoi il est si important de prendre toutes les mesures possibles pour la combattre. La première chose à faire est de s’assurer que les cybercriminels ne puissent pas pénétrer dans le système par un protocole mal protégé ; selon le FBI, entre 70 et 80 % des rançongiciels pénètrent par le protocole RDP (Remote Desktop Protocol). Pour éviter que cela ne se produise, ce protocole doit être désactivé, sauf si cela est strictement nécessaire.
Le deuxième vecteur d’entrée le plus courant pour les logiciels de rançon est le phishing. Pour empêcher les menaces d’entrer par ce vecteur, la meilleure option est de suivre une position de confiance zéro (Zero Trust) : si vous ne connaissez pas l’expéditeur, n’ouvrez aucune pièce jointe et ne cliquez sur aucun lien.
Même si nous faisons preuve de prudence, il y a toujours une chance qu’un cybercriminel parvienne à trouver un moyen d’entrer dans le système d’information de l’entreprise. C’est pourquoi il est si important de disposer d’une solution de cybersécurité qui sache exactement ce qui se passe sur le réseau à tout moment. Panda Adaptive Defense surveille toute activité sur chaque ordinateur, à tout moment. Il arrête tout processus inconnu jusqu’à ce qu’il puisse être classé comme fiable. De plus, cette technologie n’utilise pas de signatures pour détecter les logiciels malveillants, une technique qui peut laisser passer des logiciels malveillants nouveaux ou inconnus sur le réseau. Elle adopte, à la place, une approche Zero Trust beaucoup plus efficace.
Les rançongiciels ne vont pas cesser de causer des problèmes aux entreprises à l’échelle mondiale, et cette nouvelle tendance ne sera pas la dernière innovation utilisée par les cybercriminels pour mettre en danger la cybersécurité des entreprises. Protégez-vous avec Panda Adaptive Defense.