parallels-awingu

Corel acquiert Awingu pour accélérer son offre d'espace de travail à distance sécurisé. Lire la suite

Que sont les attaques par ransomware et pourquoi sont-elles en augmentation ?

Le nombre de cyberattaques augmente chaque jour. Notamment, les attaques par ransomware sont en constante augmentationIl ne se passe pas un jour sans qu'une nouvelle attaque de ransomware et une violation de données soient mentionnées dans la presse. Mais qu'est-ce qu'un ransomware exactement, et quels en sont les types ? Comment ces attaques par ransomware se produisent-elles, et que pouvez-vous faire pour les prévenir ? Dans ce billet de blog, nous allons formuler une réponse à toutes ces questions.

Utilisateur de ransomware piraté
Une demande de paiement de ransomware - c'est un message que vous... Ne le fais pas. veulent voir.

Que sont les attaques par ransomware ?

Les rançongiciels sont un type de logiciel malveillant (logiciels malveillants), qui est utilisé par les cybercriminels pour chiffrer une (partie d'une) donnée d'un appareil, la rendant ainsi inaccessible. Pour retrouver l'accès, les criminels exigent le paiement d'une rançon importante avant de donner la clé de décryptage ou de désactiver l'écran de verrouillage. Mais, bien sûr, c'est mieux de réduire vos chances d'être attaqué. pour commencer - plutôt que de payer la rançon.

Pour mettre davantage de pression sur les victimes en ce qui concerne la demande de rançon, les pirates peuvent utiliser un logiciel ransomware spécifique qui non seulement crypte les fichiers mais recherche également les données sensibles et renvoie ces informations au pirate. Pendant ce type d'attaque de logiciels malveillants, Les groupes de ransomware passent souvent inaperçus dans le système d'exploitation.tout en recherchant les données les plus précieuses à exploiter. Si les organisations ne veulent pas payer la rançon, l'attaquant du logiciel malveillant menace souvent de publier les données volées en ligne, ce qui a des conséquences désastreuses.

Qui sont les cibles des attaques par ransomware ?

En général, tout le monde peut devenir la cible d'attaques par ransomware. Cependant, si l'on considère les plus récentes violations de données pour la seule année 2022, il est clair que les pirates vont se concentrer sur les organisations qui travaillent avec beaucoup de fichiers personnels et de données sensibles, les grands groupes d'utilisateurs et éventuellement les petites équipes informatiques. (comme dans l'éducation ou les soins de santé). En outre, ils ont également tendance à cibler les acteurs industriels, car les perturbations de leurs processus informatiques posent d'importants problèmes à la chaîne d'approvisionnement de l'entreprise.

Quels sont les types d'attaques par ransomware ?

Un large éventail de variantes de ransomware est utilisé, mais examinons les plus courantes :
  • Crypto ransomware ou "crypteurs".: Ce type de malware est peut-être le plus connu. Un cybercriminel va crypter des fichiers et pour garder la clé de décryptage, pour laquelle vous devrez payer une rançon. Des exemples notables sont CryptoLocker, GoldenEye, WannaCry, ...
  • Locker ransomware : Cette variante du ransomware bloque les fonctions de base de votre ordinateur. Vous n'aurez pas accès à votre appareil et vous ne verrez qu'un écran de verrouillage ou un popup avec le message que vos fichiers et applications sont inaccessibles et que vous devez payer une certaine somme d'argent avant de pouvoir y accéder à nouveau.
  • Scareware : Type de logiciel malveillant conçu pour effrayer ou manipuler les gens afin qu'ils visitent des pages Web ou téléchargent des logiciels infectés par des logiciels malveillants. Pour ce faire, ils utilisent des tactiques d'ingénierie sociale et des fenêtres publicitaires intempestives. L'objectif est de faire croire aux utilisateurs qu'ils doivent acheter ou télécharger un logiciel (qui est en fait malveillant). Voici quelques exemples de scareware : PC Protector, SpySheriff, Antivirus360, ...
  • Doxware : Avec ce terme, nous faisons spécifiquement référence aux ransomwares qui sont utilisés pour obtenir des données personnelles. Ils compromettent la vie privée des employés en obtenant l'accès aux photos et aux fichiers sensibles, après quoi ils menacent de divulguer les données. Souvent, les attaquants ciblent délibérément des victimes spécifiques pour ce type d'attaque.
  • Ransomware as a service (RaaS) : Il s'agit d'un modèle économique pour les cybercriminels. N'importe qui, même sans savoir coder, peut acheter des outils sur le marché noir et les utiliser pour mener des attaques par ransomware. Les outils sont hébergés et maintenus par des collectifs de hackers. Les fournisseurs de RaaS les plus connus sont REvil, DarkSide, Maze, ...
Un ransomware a verrouillé l'ordinateur
Le but d'un rançongiciel est de verrouiller vos données et de vous faire payer la clé.

Comment les attaques par ransomware se produisent-elles ?

Les opérateurs de ransomware tentent d'accéder au réseau ou au système de l'entreprise par différentes techniques. Très souvent, ils essaieront de le faire par l'intermédiaire d'individus dans l'organisation, mais ils peuvent aussi tenter d'infecter les systèmes directement. La liste suivante met en évidence certains des moyens les plus courants utilisés par les attaques de ransomware.

  • Phishing: Les criminels envoient aux employés de votre organisation un courriel qui contient un lien malveillant ou des pièces jointes malveillantes. Il se peut que le lien mène à un site Web hébergeant un fichier ou un code hostile, ou que la pièce jointe comporte une fonctionnalité de téléchargement intégrée. Si l'une des personnes de l'entreprise clique sur le contenu des e-mails de phishing ou l'ouvre, un logiciel malveillant peut être installé et le ransomware infecte les systèmes.
  • Réseau insuffisamment protégé : Si vous agissez de manière proactive en sécurisant votre réseau, les cybercriminels peuvent tenter d'exploiter de multiples vulnérabilités et vecteurs d'attaque pour s'introduire et laisser agir leurs logiciels malveillants.
  • Ouvrez RDP : L'utilisation de RDP sans aucune mesure de sécurité est une chose que les cybercriminels aiment voir, car ils peuvent exploiter ses faiblesses. Ils peuvent ainsi accéder au système de l'entreprise. Les chercheurs ont trouvé 25 vulnérabilités ( !) dans certains des clients RDP les plus populaires (FreeRDP, le client RDP intégré de Microsoft, ...) utilisés par les entreprises en 2020.
  • Connexions VPN non sécurisées : Les tunnels VPN relient directement les appareils de vos employés à votre réseau. Avec RDP, le Centre national de cybersécurité du Royaume-Uni a identifié le VPN comme l'un des principaux facteurs de risque d'une attaque par ransomware.car un logiciel malveillant peut pénétrer à distance dans votre réseau d'entreprise à partir du périphérique client.

Exemples d'attaques majeures de ransomware en 2022.

Chaque jour, une autre grande organisation est victime d'une attaque par ransomware. Parmi les victimes récentes, citons :

  • Systèmes gouvernementaux au Costa Rica (mai 2022) : La cyberattaque a ciblé des systèmes allant de la perception des impôts aux processus d'importation et d'exportation en passant par l'agence des douanes. En outre, ils ont également eu accès au système des ressources humaines de l'agence de sécurité sociale et du ministère du travail. Le cartel Conti a demandé beaucoup d'argent pour cette attaque. Entre-temps, ils ont commencé à publier les informations volées car ils en avaient assez d'attendre la rançon.
  • Florida International University (avril 2022) : Une violation de données qui a eu un impact sur les informations sensibles des étudiants et des professeurs. BlackCat était derrière l'attaque.
  • L'association écossaise pour la santé mentale (mars 2022) : L'organisme de santé a été visé par un gang de ransomware qui a impacté les systèmes informatiques. Plus de 12 Go de données personnelles et sensibles ont été divulguées en ligne. Le gang de ransomware Ransomex est à l'origine de l'attaque.
  • KP Snacks (février 2022) : Les pirates de la bande Conti ont pu voler de nombreux documents sensibles tels que des échantillons de relevés de cartes de crédit, des feuilles de calcul comprenant des données personnelles d'employés, des accords confidentiels, ... Ils ont publié encore plus de ces données en ligne après ne pas avoir reçu la rançon à temps.
  • Moncler (janvier 2022) : En début d'année, le géant italien de la mode de luxe a été victime d'une violation de données suite à une attaque du gang de ransomware BlackCat. Par la suite, l'entreprise a expliqué que diverses données avaient été impactées. Il ne s'agissait pas seulement de données relatives à des clients, mais aussi à des employés actuels et anciens, ainsi qu'à des fournisseurs et des partenaires commerciaux.


Il ne s'agit là que d'une poignée de milliers d'exemples (connus du public). Les attaques par ransomware ne sont pas limitées à certains secteurs verticaux ou pays. Sans les bonnes mesures de sécurité en place, tout le monde peut devenir victime d'un ransomware.

Le gang des ransomwares de Conti
Le célèbre collectif de pirates Conti Group est à l'origine d'un grand nombre d'attaques par ransomware survenues l'année dernière.

Pourquoi les attaques par ransomware sont-elles en hausse ?

Passage au travail hybride et à distance

Les attaques par ransomware sont en augmentation, car les groupes de ransomware continuent d'adapter leurs techniques dans ce monde numérique en mutation. Avec l'accélération du travail à distance et le passage au travail hybride, les acteurs malveillants ne se concentrent pas seulement sur les organisations en général, mais ciblent également les particuliers pour accéder aux systèmes d'exploitation, aux fichiers et aux applications des entreprises.

De plus en plus de personnes travaillent en dehors des réseaux de bureaux. De nombreuses entreprises ont rapidement mis en place une solution de travail à distance, surprises par la pandémie mondiale. Toutefois, dans de nombreux cas, les entreprises ont opté pour des solutions non sécurisées (par exemple, en ouvrant des points de terminaison RDP ou en facilitant les VPN "nus"). Elles ont ainsi créé des failles dans leur défense en matière de cybersécurité, ce qui en fait une cible facile pour les logiciels malveillants.

Avantages financiers pour le groupe ransomware

Une autre raison de cette augmentation est que de plus en plus de groupes criminels voient l'avantage des attaques par ransomware car les entreprises ont tendance (dans la plupart des cas) à payer la rançon. C'est un gain d'argent rapide pour eux. Voler et menacer de divulguer les données a bien fonctionné pour ces gangs de ransomware, et nous constatons donc une nette évolution du déni de données vers l'extraction de données. Voyons comment vous pouvez éviter de les rendre riches.

Meilleures pratiques pour prévenir les attaques et la propagation des ransomwares

Personne ne souhaite payer la rançon ou avoir des fichiers et des données chiffrés, n'est-ce pas ? Alors comment les organisations peuvent-elles prévenir de telles attaques par ransomware ? Comment pouvez-vous vous défendre ? Nous avons répertorié pour vous quelques bonnes pratiques de protection contre les ransomwares :

  • Informez et formez vos employés :
    • Les administrateurs informatiques ne doivent pas cliquer sur des liens inconnus ou ouvrir des pièces jointes malveillantes, et ils doivent toujours utiliser des mots de passe forts avec la fonction MFA activée.
    • Facilitez la formation de vos employés à la sensibilisation à la sécurité. Ce qui précède est plus difficile à faire appliquer à vos employés, il est donc fondamental de les sensibiliser et de les former à l'hygiène de la cybersécurité.
    • Les courriels de phishing et les attaques d'ingénierie sociale sont encore des techniques très populaires auprès des cybercriminels pour cibler les individus afin de les faire entrer par gateway dans le système informatique de l'organisation. Assurez-vous que vos employés connaissent ces pratiques afin qu'ils puissent les reconnaître et les contrer lorsqu'ils sont confrontés à une tentative.
  • Sauvegarde des données:
    • Sauvegardez régulièrement vos fichiers et vos applications.
    • Veillez également à sécuriser vos sauvegardes de données hors ligne et vérifiez qu'elles ne sont pas connectées en permanence aux ordinateurs et aux réseaux qu'elles sauvegardent.
  • Segmentation du réseau :
    • Si vous avez un système infecté, assurez-vous que le malware ne peut pas se propager à un autre système informatique en segmentant les réseaux de production et les réseaux à usage général.
    • Ainsi, si quelqu'un utilise un ordinateur infecté et infecte l'un des petits réseaux, vous pouvez essayer d'isoler le ransomware avant qu'il ne se propage davantage.
    • Cela donne également à l'équipe informatique plus de temps pour supprimer le ransomware sans qu'il ne se propage dans toute l'organisation.
  • Vérifiez les paramètres du port :
    • Les ports RDP ouverts sont l'un des moyens les plus courants de lancer des attaques par ransomware. Utiliser le port RDP 3389 "nu" pour donner aux employés un accès à distance, c'est ouvrir la porte aux pirates et leur dire : "Bienvenue, par ici s'il vous plaît !"
    • Un autre port qui est souvent ciblé est le port 445 de Server Message Blocked.
  • Limiter les privilèges d'accès des utilisateurs :
    • Pour empêcher les ransomwares d'entrer, définissez minutieusement les autorisations des utilisateurs.
    • Définissez des limites quant aux applications, aux bureaux et aux fichiers auxquels ils ont accès.
    • Ajoutez des couches de sécurité en accord avec le modèle Zero Trust, car vous ne pouvez faire confiance à personne, même s'il s'agit d'un employé autorisé. Assurez-vous que vous avez le contrôle sur ce à quoi chaque utilisateur ou groupe d'utilisateurs peut accéder ou faire.

Que faire si vous êtes victime d'une attaque par ransomware ?

Que pouvez-vous faire si vous êtes victime d'une attaque par ransomware ? Voyons les moyens les plus courants de se remettre d'une infection par un ransomware.

  • Faites pas payer une rançon: Tout d'abord, restez calme et ne vous précipitez pas pour payer la rançon. Cela ne fera qu'encourager les criminels à continuer à le faire. (Et comment pouvez-vous être sûr que les attaquants du ransomware vous rendront vos données après avoir payé) ?
  • Identifier la source du ransomware: Essayez de découvrir quel était le point d'entrée du ransomware. Parlez avec vos utilisateurs pour savoir qui a ressenti les premiers signes de l'attaque.
  • Isoler les machines infectées: Vous ne savez pas toujours à quelle vitesse le ransomware pourrait se propager, mais déconnectez tous les appareils du réseau dès que possible. Cela peut contribuer à réduire l'impact d'une infection par un ransomware à l'échelle de l'entreprise.
  • Signalez l'attaque aux autorités: Il s'agit d'un crime, et vous devriez le signaler à la police. Ils pourraient également être en mesure de vous aider car ils ont accès à des ressources plus puissantes pour ce type de crime.
  • Restaurez vos données : Si vous avez effectué des sauvegardes régulières de vos données, vous pouvez utiliser ces fichiers de sauvegarde hors site ou cloud pour restaurer vos données. C'est pourquoi vous devez avoir une stratégie de sauvegarde des données afin de pouvoir avancer rapidement sans perdre trop de temps. Toutefois, soyez prudent car certains ransomwares peuvent être présents depuis des mois dans vos systèmes et donc dans vos sauvegardes également. Vous devriez toujours lancer une solution anti-malware sur vos sauvegardes pour vérifier.

Comment Awingu peut-il contribuer à la prévention des ransomwares ?

Awingu sur les appareils

Awingu est un espace de travail unifié qui permet à une entreprise d'offrir à ses employés un accès distant sécurisé aux serveurs de fichiers, aux applications et aux postes de travail. Nos clients l'utilisent comme une couche de protection supplémentaire pour sécuriser le RDP "nu", ainsi que pour fournir une alternative sécurisée aux VPN.

Les utilisateurs peuvent accéder à l'espace de travail via le navigateur et rien ne doit être installé sur l'appareil. Ainsi, même s'ils utilisent un appareil infecté, il n'y a pas de connexion directe au réseau de l'entreprise, et vous n'avez donc pas à craindre une infection par un ransomware.

Awingu est doté de diverses capacités de sécurité intégrées qui vous aideront à sécuriser l'accès :

  • Espace de travail basé sur un navigateur
  • MFA intégrée
  • Détection et surveillance des anomalies dans le tableau de bord
  • Cryptage SSL
  • Pas de données locales sur l'appareil de l'utilisateur final
  • Contrôle granulaire de l'utilisation
  • Sensibilisation au contexte


Si vous souhaitez en savoir plus sur la façon dont Awingu peut vous aider à protéger votre organisation contre les attaques de ransomware, cliquez ici!

  • https://www.globenewswire.com/news-release/2021/12/23/2357418/0/en/Mimecast-The-Rise-of-Ransomware-During-the-COVID-19-Pandemic.html
  • https://threatpost.com/cybersecurity-best-practices-ransomware/176316/
  • https://www.computerweekly.com/news/252504676/Ransomware-attacks-increase-dramatically-during-2021
  • https://www.pbs.org/newshour/nation/why-ransomware-attacks-are-on-the-rise-and-what-can-be-done-to-stop-them
  • https://www.upguard.com/blog/best-practices-to-prevent-ransomware-attacks
  • https://www.zdnet.com/paid-content/article/how-to-recover-from-a-ransomware-attack/
  • https://www.techtarget.com/whatis/definition/scareware
  • https://www.darkreading.com/attacks-breaches/ransomware-has-evolved-and-its-name-is-doxware
  • https://blog.malwarebytes.com/malwarebytes-news/2021/02/rdp-the-ransomware-problem-that-wont-go-away/
  • https://www.csoonline.com/article/3236183/what-is-ransomware-how-it-works-and-how-to-remove-it.html
  • https://www.blackfog.com/the-state-of-ransomware-in-2022/#January
Table des matières
Vous voulez en savoir plus sur l'Awingu ?
Ce site web utilise des cookies. Lisez notre transparent politique en matière de cookies!