Le logiciel rançonneur existe depuis des décennies, mais les attaques du logiciel rançonneur se sont multipliées ces dernières années après que l'attaque du logiciel rançonneur WannaCry a démontré que ces attaques étaient à la fois efficaces et rentables. Ces dernières années, de nombreux groupes de logiciels rançonneur ont vu le jour et proposent des logiciels malveillants sophistiqués.
Ces groupes ont profité de la pandémie de COVID-19 pour propager leurs attaques via RDP et les postes RVP vulnérables. Cependant, alors que la fin de la pandémie COVID-19 est en vue, la pandémie du logiciel rançonneur semble s'accélérer.
À l'origine, logiciel rançonneur était logiciel malveillant poussé par un seul groupe de menace qui chiffrait les fichiers d'un système et demandait une rançon pour la clé de déchiffrement. Toutefois, au cours des dernières années, le visage de la menace que représente le logiciel rançonneur a radicalement changé.
L'un des changements majeurs est l'escalade croissante de ces attaques. Tout d'abord, les attaques par "double extorsion" ont permis de voler des données sensibles avant de les crypter et de menacer de les divulguer si la rançon n'était pas payée. Ensuite, des groupes de "triple extorsion" ont commencé à menacer les clients de leurs victimes et à leur demander des rançons. Aujourd'hui, certains groupes de rançonneurs de logiciels menacent ou lancent des attaques par déni de service distribué (DDoS) afin d'inciter davantage les victimes à payer la rançon.
Une autre évolution majeure est l'émergence du modèle de logiciel rançonneur en tant que service (RaaS), dans lequel un groupe de logiciels rançonneurs développe des logiciels malveillants qu'il distribue ensuite à des "affiliés" pour qu'ils les utilisent dans leurs attaques. Avec RaaS, davantage de groupes ont accès à des logiciels malveillants sophistiqués, ce qui signifie davantage d'attaques de logiciels rançonneur.
Si vous avez été infecté, prenez les mesures suivantes pour gérer l'impact de l'incident et préparer la reprise du logiciel rançonneur :
Une attaque réussie du logiciel rançonneur crypte les données de manière à ce qu'il soit impossible de les décrypter sans la clé de décryptage appropriée. Cependant, il existe quelques options pour la récupération du logiciel rançonneur :
Outre la restauration des fichiers, il est essentiel de veiller à ce que les attaquants ne puissent pas recrypter immédiatement les fichiers sur les ordinateurs infectés. L'engagement d'une équipe de réponse aux incidents (IRT) pour identifier et fermer la vulnérabilité utilisée pour accéder à l'environnement de l'entreprise et pour détecter et supprimer les portes dérobées et les mécanismes de persistance installés sur les systèmes infectés est une étape vitale avant de restaurer ces systèmes.
En matière de logiciel rançonneur, la prévention est toujours la meilleure option. La mise en place d'une solution anti-logiciel rançonneur avant qu'une attaque ne se produise peut permettre à une organisation d'économiser beaucoup de temps, d'argent et d'ennuis. Pour en savoir plus sur les solutions anti-logiciel rançonneur, consultez ce guide de l'acheteur et demandez une démonstration gratuite d'Harmony Endpoint.
Toutefois, si vous êtes victime d'une attaque réussie par un logiciel rançonneur, il est préférable de faire appel à des experts. Les équipes de Check Point chargées de la détection et de la réponse (MDR) et de la réponse aux incidents (IR) ont une grande expérience de la détection, de l'investigation et de la gestion des infections par le logiciel rançonneur.
Si vous êtes confronté à un incident de cybersécurité, appelez notre ligne d'urgence. Pour des questions moins urgentes et pour en savoir plus sur la façon de vous protéger contre de futures attaques du logiciel rançonneur, contactez-nous.