Ransomware

Les ransomwares sont des malwares qui bloquent l'accès de l'utilisateur à ses fichiers ou à son appareil, puis exigent un paiement pour rétablir l'accès. Les auteurs d'attaques par ransomware s'en prennent aussi bien aux entreprises qu'aux organisations et aux particuliers.

Antivirus gratuit

Tout sur les attaques de ransomware

Les ransomwares ont fait les gros titres tout au long de l'année 2021 et continuent de faire parler d'eux en 2022. Vous avez peut-être entendu parler d'attaques contre de grandes entreprises, des organisations ou des agences gouvernementales, ou peut-être que vous, en tant que particulier, avez été victime d'une attaque de ransomware sur votre propre appareil.

C'est un problème important et une perspective effrayante que de voir tous vos fichiers et données pris en otage jusqu'à ce que vous payiez. Si vous souhaitez en savoir plus sur cette menace, lisez ce qui suit pour découvrir les différentes formes de ransomware, comment vous l'obtenez, d'où il vient, qui il cible et, enfin, ce que vous pouvez faire pour vous en protéger.

Qu'est-ce qu'un ransomware ?

Définition des ransomwares

Les ransomwares, ou ransomware, sont des malwares qui empêchent les utilisateurs d'accéder à leur système ou à leurs fichiers personnels et exigent le paiement d'une rançon pour y accéder à nouveau. Si certains pensent qu'un virus a bloqué leur ordinateur, les ransomwares sont généralement classés dans une catégorie de malwares différente de celle des virus.

Les premières variantes de ransomware ont été développées à la fin des années 1980, et le paiement devait être envoyé par courrier postal. Aujourd'hui, les auteurs de ransomwares exigent que le paiement soit effectué par crypto-monnaie ou par carte de crédit, et les attaquants ciblent des particuliers, des entreprises et des organisations de toutes sortes. Certains auteurs de ransomwares vendent leur service à d'autres cybercriminels, ce qui est connu sous le nom de " Ransomware-as-a-Service " ou RaaS.

Attaques par ransomware

Comment un acteur de la menace mène-t-il une attaque par ransomware ? Tout d'abord, il doit accéder à un appareil ou à un réseau. Cet accès lui permet d'utiliser le logiciel malveillant nécessaire pour crypter, ou verrouiller, votre appareil et vos données. Les ransomwares peuvent infecter votre ordinateur de différentes manières

Comment puis-je attraper un ransomware ?

  • Malspam: Pour obtenir un accès, certains acteurs de la menace utilisent le spam, c'est-à-dire qu'ils envoient un courriel contenant une pièce jointe malveillante au plus grand nombre de personnes possible, afin de voir qui ouvre la pièce jointe et "mord à l'hameçon", pour ainsi dire. Le spam malveillant, ou malspam, est un courrier électronique non sollicité utilisé pour diffuser des malwares. Le courrier électronique peut contenir des pièces jointes piégées, telles que des PDF ou des documents Word. Il peut également contenir des liens vers des sites web malveillants.
  • La publicité malveillante: Le malvertising est une autre méthode d'infection très répandue. Le malvertising, ou publicité malveillante, consiste à utiliser la publicité en ligne pour distribuer des malwares avec peu ou pas d'interaction de la part de l'utilisateur. En naviguant sur le web, même sur des sites légitimes, les utilisateurs peuvent être dirigés vers des serveurs criminels sans même avoir à cliquer sur une publicité. Ces serveurs répertorient les informations relatives aux ordinateurs des victimes et à leur emplacement, puis sélectionnent les malwares les mieux adaptés à leur diffusion. Il s'agit souvent de ransomwares. Le malvertising utilise souvent une iframe (élément invisible d'une page web) infectée pour faire son travail. L'iframe redirige vers une page d'atterrissage d'exploitation, et le code malveillant attaque le système à partir de la page d'atterrissage via le kit d'exploitation. Tout cela se produit à l'insu de l'utilisateur, c'est pourquoi on parle souvent de téléchargement par drive-by-download.
  • Spear phishing: le spearphishing est un moyen plus ciblé d'attaquer un ransomware. Un exemple de spear phishing serait d'envoyer des courriels aux employés d'une certaine entreprise, en prétendant que le PDG vous demande de répondre à une importante enquête auprès des employés, ou que le département des ressources humaines vous demande de télécharger et de lire une nouvelle politique. Le terme "whaling" est utilisé pour décrire de telles méthodes visant les décideurs de haut niveau d'une organisation, tels que le PDG ou d'autres cadres.
  • L'ingénierie sociale: Le malpam, la malvertising et le spear phishing peuvent contenir, et contiennent souvent, des éléments d'ingénierie sociale. Les acteurs de la menace peuvent utiliser l'ingénierie sociale pour inciter les gens à ouvrir des pièces jointes ou à cliquer sur des liens en se présentant comme légitimes, que ce soit en semblant provenir d'une institution de confiance ou d'un ami. Les cybercriminels utilisent l'ingénierie sociale dans d'autres types d'attaques par ransomware, par exemple en se faisant passer pour le FBI afin d'effrayer les utilisateurs et de les inciter à leur verser une somme d'argent pour débloquer leurs fichiers. Un autre exemple d'ingénierie sociale serait qu'un acteur de la menace recueille des informations sur vos profils de médias sociaux publics concernant vos intérêts, les endroits que vous visitez souvent, votre travail, etc. et utilise certaines de ces informations pour vous envoyer un message qui vous semble familier, en espérant que vous cliquerez avant de réaliser qu'il n'est pas légitime. 
Infographie sur la publicité malveillante et les ransomwares.

Cryptage des fichiers et demande de rançon

Quelle que soit la méthode utilisée par l'auteur de la menace, une fois qu'il a obtenu l'accès et que le logiciel de ransomware (généralement activé par la victime en cliquant sur un lien ou en ouvrant une pièce jointe) crypte vos fichiers ou vos données afin que vous ne puissiez plus y accéder, vous verrez apparaître un message demandant le paiement d'une rançon pour restaurer ce qu'il a pris. Souvent, l'attaquant demande un paiement en crypto-monnaie.

Types de ransomware

Les trois principaux types de ransomware sont les scarewares, les screen lockers et les ransomwares crypteurs :

  • Scareware: Les scarewares ne sont pas si effrayants que cela. Il s'agit de logiciels de sécurité malveillants et d'escroqueries à l'assistance technique. Vous pouvez recevoir un message contextuel vous informant qu'un logiciel malveillant a été découvert et que le seul moyen de s'en débarrasser est de payer. Si vous ne faites rien, vous continuerez probablement à être bombardé de fenêtres pop-up, mais vos fichiers sont pour l'essentiel en sécurité. Un logiciel de cybersécurité légitime ne solliciterait pas ses clients de cette manière. Si vous n'avez pas encore installé le logiciel de cette société sur votre ordinateur, elle ne vous surveillera pas pour détecter une éventuelle infection par un ransomware. Si vous disposez d'un logiciel de sécurité, vous n'avez pas besoin de payer pour que l'infection soit éliminée : vous avez déjà payé le logiciel pour qu'il s'acquitte de cette tâche.
  • Verrouillage d'écran: Passez en alerte terroriste orange pour ces types. Lorsqu'un ransomware verrouillant l'écran s'installe sur votre ordinateur, cela signifie que vous n'avez plus accès à votre PC. Au démarrage de votre ordinateur, une fenêtre pleine grandeur apparaît, souvent accompagnée d'un sceau officiel du FBI ou du ministère américain de la justice indiquant qu'une activité illégale a été détectée sur votre ordinateur et que vous devez payer une amende. Toutefois, le FBI ne bloque pas l'accès à votre ordinateur et n'exige pas de paiement pour une activité illégale. S'il vous soupçonne de piratage, de pédopornographie ou d'autres cybercrimes, il passe par les voies légales appropriées.
  • Les ransomwares crypteurs: Il s'agit là de l'aspect le plus désagréable de la situation. Ce sont eux qui s'emparent de vos fichiers et les cryptent, exigeant un paiement pour les décrypter et les retransmettre. La raison pour laquelle ce type de ransomware est si dangereux est qu'une fois que les cybercriminels ont mis la main sur vos fichiers, aucun logiciel de sécurité ou de restauration du système ne peut vous les restituer. À moins que vous ne payiez la rançon, la plupart des fichiers disparaissent. Et même si vous payez, rien ne garantit que les cybercriminels vous rendront vos fichiers.

Mac ransomware

Découvrez KeRanger, le premier véritable ransomware Mac .

Ne voulant pas rester en marge du jeu des ransomwares, les auteurs du logiciel malveillant Mac ont lancé en 2016 le premier ransomware pour les systèmes d'exploitation Mac . Baptisé KeRanger, le ransomware infectait une application appelée Transmission qui, une fois lancée, copiait des fichiers malveillants qui restaient en arrière-plan pendant trois jours jusqu'à ce qu'ils explosent et chiffrent les fichiers. Heureusement, le programme anti-malware intégré d'Apple, XProtect, a publié peu après la découverte du ransomware une mise à jour qui l'empêche d'infecter les systèmes des utilisateurs. Néanmoins, le ransomware Mac n'est plus théorique. 

Après KeRanger, Findzip et MacRansom ont été découverts en 2017. Plus récemment, en 2020, il y a eu ce qui ressemblait à un ransomware(ThiefQuest, alias EvilQuest), mais il s'est avéré qu'il s'agissait en fait de ce que l'on appelle un "wiper". Il prétendait être un ransomware pour cacher le fait qu'il exfiltre toutes vos données, et bien qu'il chiffre les fichiers, il n'a jamais eu de moyen pour les utilisateurs de les décrypter ou de contacter le gang pour obtenir des paiements. 

Ransomware mobile

Ce n'est qu'à l'apogée du tristement célèbre CryptoLocker et d'autres familles similaires en 2014 que les ransomwares sont apparus à grande échelle sur les appareils mobiles. Les ransomwares mobiles affichent généralement un message indiquant que l'appareil a été verrouillé en raison d'une activité illégale. Le message indique que le téléphone sera déverrouillé après paiement d'une somme d'argent. Les ransomwares mobiles sont souvent diffusés par des applications malveillantes et exigent que vous démarriez le téléphone en mode sans échec et que vous supprimiez l'application infectée afin de récupérer l'accès à votre appareil mobile.

Qui sont les cibles des auteurs de ransomwares ?

Lorsque les ransomwares ont été introduits (puis réintroduits), leurs premières victimes étaient des systèmes individuels (c'est-à-dire des gens ordinaires). Cependant, les cybercriminels ont commencé à réaliser leur plein potentiel lorsqu'ils ont introduit les ransomwares dans les entreprises. Les ransomwares ont connu un tel succès auprès des entreprises, interrompant leur productivité et entraînant des pertes de données et de revenus, que leurs auteurs ont orienté la plupart de leurs attaques vers elles.

À la fin de l'année 2016, 12,3 % des cas détectés dans les entreprises étaient des ransomwares, alors que seulement 1,8 % des cas détectés chez les particuliers étaient des ransomwares dans le monde entier. En 2017, 35 % des petites et moyennes entreprises avaient subi une attaque par ransomware. La menace persiste jusqu'à la pandémie mondiale de 2020 : Les gangs de ransomwares ont attaqué les hôpitaux et les établissements médicaux et ont développé de nouvelles tactiques comme la "double extorsion", dans laquelle les attaquants sont capables d'extorquer plus d'argent en menaçant de divulguer des données sensibles qu'en décryptant les ordinateurs qu'ils ont cryptés. Certains groupes de ransomware proposent leurs services à d'autres, en utilisant le modèle "Ransomware-as-a-Service" ou "RaaS". 

Rapport sur les ransomwares dans les petites et moyennes entreprises.


Rapport sur les ransomwares dans les petites et moyennes entreprises.

Sur le plan géographique, les attaques de ransomware se concentrent toujours sur les marchés occidentaux, le Royaume-Uni, les États-Unis et le Canada étant respectivement les trois premiers pays visés. Comme d'autres acteurs de la menace, les auteurs de ransomwares suivent l'argent, et recherchent donc des régions où les PC sont largement adoptés et où la richesse est relative. À mesure que les marchés émergents d'Asie et d'Amérique du Sud accélèrent leur croissance économique, il faut s'attendre à une augmentation des ransomwares (et d'autres formes de malwares) dans ces régions également.

Comment supprimer un ransomware ?

On dit qu'il vaut mieux prévenir que guérir. C'est certainement vrai en ce qui concerne les ransomwares. Si un pirate crypte votre appareil et demande une rançon, rien ne garantit qu'il le décryptera, que vous payiez ou non.

C'est pourquoi il est essentiel de se préparer avant d'être touché par un ransomware. Les deux mesures clés à prendre sont les suivantes :

  • Installez un logiciel de sécurité avant d'être victime d'un ransomware
  • Sauvegarder vos données importantes (fichiers, documents, photos, vidéos, etc.)

Si vous êtes victime d'une infection par un ransomware, la règle numéro un est de ne jamais payer la rançon. (Tout ce que cela fait, c'est encourager les cybercriminels à lancer d'autres attaques contre vous ou contre quelqu'un d'autre. 

L'une des options possibles pour supprimer un ransomware est de pouvoir récupérer certains fichiers cryptés à l'aide de décrypteurs gratuits. Soyons clairs : des décrypteurs n'ont pas été créés pour toutes les familles de ransomware, dans de nombreux cas parce que le ransomware utilise des algorithmes avancés et sophistiqués à l'adresse chiffrement .

Et même s'il existe un décrypteur, il n'est pas toujours évident de savoir s'il s'agit de la bonne version du logiciel malveillant. Vous ne voulez pas crypter davantage vos fichiers en utilisant le mauvais script de décryptage. Par conséquent, vous devrez prêter une attention particulière au message de rançon lui-même, ou peut-être demander l'avis d'un spécialiste de la sécurité ou de l'informatique avant d'essayer quoi que ce soit.

D'autres moyens de faire face à une infection par un ransomware consistent à télécharger un produit de sécurité connu pour sa capacité de remédiation et à lancer une analyse pour supprimer la menace. Vous ne récupérerez peut-être pas vos fichiers, mais vous aurez l'assurance que l'infection sera nettoyée. Dans le cas d'un ransomware de verrouillage d'écran, une restauration complète du système peut s'avérer nécessaire. Si cela ne fonctionne pas, vous pouvez essayer de lancer une analyse à partir d'un CD ou d'une clé USB amorçable.

Si vous voulez essayer de contrecarrer une infection par un ransomware crypteur, vous devez rester particulièrement vigilant. Si vous remarquez que votre système ralentit sans raison apparente, éteignez-le et déconnectez-le d'Internet. Si, lorsque vous redémarrez, le logiciel malveillant est toujours actif, il ne sera pas en mesure d'envoyer ou de recevoir des instructions du serveur de commande et de contrôle. Cela signifie qu'en l'absence d'une clé ou d'un moyen d'obtenir un paiement, le logiciel malveillant peut rester inactif. Dans ce cas, téléchargez et installez un produit de sécurité et lancez une analyse complète.

Toutefois, ces options de suppression des ransomwares ne fonctionnent pas dans tous les cas. Comme indiqué ci-dessus, pour les consommateurs, soyez proactifs dans votre défense contre les ransomwares en installant des logiciels de sécurité tels que Malwarebytes Premiumet en sauvegardant toutes vos données importantes. Pour les entreprises, renseignez-vous sur les solutions professionnelles Malwarebytes qui incluent la détection, la prévention et le retour en arrière des ransomwares

Comment se protéger des ransomwares ?

Security Les experts s'accordent à dire que la meilleure façon de se protéger contre les ransomwares est de les empêcher de se produire.


Découvrez les meilleurs moyens de prévenir une infection par un ransomware.

Découvrez les meilleurs moyens de prévenir une infection par un ransomware.

Bien qu'il existe des méthodes pour traiter une infection par un ransomware, il s'agit au mieux de solutions imparfaites, qui nécessitent souvent des compétences techniques bien supérieures à celles de l'utilisateur moyen d'un ordinateur. Voici donc ce que nous recommandons de faire pour éviter les retombées des attaques de ransomware.

La première étape de la prévention des ransomwares consiste à investir dans un programme de cybersécurité performant, doté d'une protection en temps réel conçue pour contrecarrer les attaques de malwares avancés tels que les ransomwares. Vous devez également rechercher des fonctionnalités qui protègent les programmes vulnérables contre les menaces (technologie anti-exploitation) et qui empêchent les ransomwares de prendre les fichiers en otage (composante anti-ransomware ). Les clients qui utilisaient la version premium de Malwarebytes pour Windows, par exemple, ont été protégés contre toutes les principales attaques de ransomware de 2017.

Ensuite, même si cela vous fait mal, vous devez créer régulièrement des sauvegardes sécurisées de vos données. Nous vous recommandons d'utiliser un service de stockage en nuage qui comprend un site chiffrement de haut niveau et une authentification à facteurs multiples. Cependant, vous pouvez acheter des clés USB ou un disque dur externe pour sauvegarder des fichiers nouveaux ou mis à jour. Veillez toutefois à déconnecter physiquement les périphériques de votre ordinateur après la sauvegarde, car ils risquent d'être infectés par un ransomware.

Ensuite, assurez-vous que vos systèmes et logiciels sont mis à jour. L'épidémie de ransomware WannaCry a tiré parti d'une vulnérabilité dans les logiciels Microsoft. Bien que l'entreprise ait publié un correctif pour la faille de sécurité en mars 2017, de nombreuses personnes n'ont pas installé la mise à jour, ce qui les a laissées ouvertes aux attaques. Nous comprenons qu'il est difficile de rester au fait d'une liste toujours plus longue de mises à jour provenant d'une liste toujours plus longue de logiciels et d'applications utilisés dans votre vie quotidienne. C'est pourquoi nous vous recommandons de modifier vos paramètres afin d'activer la mise à jour automatique.

Enfin, restez informé. L'un des moyens les plus courants d'infecter les ordinateurs avec un ransomware est l'ingénierie sociale. Renseignez-vous(et vos employés si vous êtes chef d'entreprise) sur la manière de détecter les malspams, les sites web suspects et autres escroqueries. Et surtout, faites preuve de bon sens. Si cela semble suspect, c'est probablement le cas.

Comment les ransomwares affectent-ils mon entreprise ?

GandCrab, SamSam, WannaCry, NotPetya - ce sont tous des types différents de ransomware et ils frappent durement les entreprises. En fait, les attaques de ransomware contre les entreprises ont augmenté de 88 % au cours du second semestre 2018, les cybercriminels délaissant les attaques axées sur les consommateurs. Les cybercriminels reconnaissent que les grosses affaires se traduisent par de gros gains et ciblent les hôpitaux, les agences gouvernementales et les institutions commerciales. Au total, le coût moyen d'une violation de données, y compris les mesures correctives, les pénalités et les paiements de ransomware, s'élève à 3,86 millions de dollars.

La majorité des cas de ransomware recensés ces derniers temps ont été identifiés comme étant GandCrab. Détecté pour la première fois en janvier 2018, GandCrab a déjà connu plusieurs versions, les auteurs de la menace rendant leur ransomware plus difficile à défendre et renforçant son chiffrement. On estime que GandCrab a déjà récolté environ 300 millions de dollars en rançons payées, avec des rançons individuelles comprises entre 600 et 700 000 dollars.

Lors d'une autre attaque notable survenue en mars 2018, le ransomware SamSam a paralysé la ville d'Atlanta en mettant hors service plusieurs services municipaux essential , notamment la collecte des recettes et le système d'enregistrement de la police. Au total, l'attaque SamSam a coûté 2,6 millions de dollars à Atlanta pour y remédier.

Compte tenu de la vague d'attaques de ransomwares et des coûts considérables qui y sont associés, le moment est venu de protéger intelligemment votre entreprise contre les ransomwares. Nous avons déjà abordé le sujet en détail, mais voici un bref aperçu de la manière de protéger votre entreprise contre les malwares.

  • Sauvegardez vos données. Si vous disposez de sauvegardes, il suffit d'effacer et de réimager les systèmes infectés pour remédier à une attaque de ransomware. Vous pouvez analyser vos sauvegardes pour vous assurer qu'elles n'ont pas été infectées, car certains ransomwares sont conçus pour rechercher des partages de réseau. Par conséquent, il est préférable de stocker les sauvegardes de données sur un serveur en nuage sécurisé avec un niveau élevé de chiffrement et une authentification à facteurs multiples.
  • Apportez des correctifs et mettez à jour vos logiciels. Les ransomwares s'appuient souvent sur des kits d'exploitation pour obtenir un accès illicite à un système ou à un réseau (par exemple GandCrab). Tant que les logiciels de votre réseau sont à jour, les attaques de ransomware basées sur des exploits ne peuvent pas vous nuire. Par ailleurs, si votre entreprise utilise des logiciels obsolètes, vous risquez d'être victime d'un ransomware, car les fabricants de logiciels ne publient plus de mises à jour de sécurité. Débarrassez-vous des logiciels abandonnés et remplacez-les par des logiciels encore pris en charge par le fabricant.
  • Sensibilisez vos utilisateurs finaux aux spams et à la création de mots de passe forts. Les cybercriminels entreprenants à l'origine d'Emotet utilisent l'ancien cheval de Troie bancaire comme vecteur de ransomware. Emotet s'appuie sur le courrier indésirable pour infecter un utilisateur final et s'implanter sur votre réseau. Une fois sur votre réseau, Emotet se comporte comme un ver, se propageant de système en système à l'aide d'une liste de mots de passe courants. En apprenant à repérer les courriers indésirables et en mettant en œuvre l'authentification multifactorielle, vos utilisateurs auront une longueur d'avance sur les cybercriminels.
  • Investissez dans une bonne technologie de cybersécurité. Malwarebytes Endpoint Detection and Response, par exemple, vous offre des capacités de détection, de réponse et de remédiation par l'intermédiaire d'un agent pratique sur l'ensemble de votre réseau. Vous pouvez également demander un essai gratuit de la technologie anti-ransomwareMalwarebytes pour en savoir plus sur notre technologie de protection contre les ransomwares. 

Que faire si vous êtes déjà victime d'un ransomware ? Personne ne souhaite s'occuper d'un ransomware après coup.

  • Vérifiez s'il existe un décrypteur. Dans de rares cas, vous pourrez peut-être décrypter vos données sans payer, mais les menaces des ransomwares évoluent constamment dans le but de rendre le décryptage de vos fichiers de plus en plus difficile, alors ne vous faites pas trop d'illusions.
  • Ne payez pas la rançon. Nous recommandons depuis longtemps de ne pas payer la rançon et le FBI (après quelques échanges) est d'accord avec nous. Les cybercriminels n'ont pas de scrupules et rien ne garantit que vous récupérerez vos fichiers. De plus, en payant la rançon, vous montrez aux cybercriminels que les attaques par ransomware fonctionnent.

Historique des attaques de ransomware

Le premier ransomware, connu sous le nom de PC Cyborg ou AIDS, a été créé à la fin des années 1980. PC Cyborg chiffrait tous les fichiers du répertoire C : après 90 redémarrages, puis demandait à l'utilisateur de renouveler sa licence en envoyant 189 dollars par courrier à PC Cyborg Corp. Le site chiffrement utilisé était assez simple à inverser, de sorte qu'il ne représentait qu'une faible menace pour les personnes qui s'y connaissaient en informatique.

Avec quelques variantes apparues au cours des dix années suivantes, une véritable menace de ransomware n'est apparue qu'en 2004, lorsque GpCode a utilisé la faiblesse de RSA chiffrement pour demander une rançon sur des fichiers personnels.

En 2007, WinLock a annoncé l'apparition d'un nouveau type de ransomware qui, au lieu de crypter les fichiers, verrouillait les ordinateurs de bureau. WinLock prenait le contrôle de l'écran de la victime et affichait des images pornographiques. Il exigeait ensuite le paiement d'un SMS payant pour les supprimer.

Avec le développement de la famille de ransomwares Reveton en 2012 est apparue une nouvelle forme de ransomware : le ransomware des forces de l'ordre. Les victimes sont bloquées sur leur ordinateur et voient apparaître une page d'apparence officielle contenant les identifiants d'organismes chargés de l'application de la loi, tels que le FBI et Interpol. Le ransomware prétend que l'utilisateur a commis un délit, comme le piratage informatique, le téléchargement de fichiers illégaux ou même la pornographie enfantine. La plupart des familles de ransomwares des forces de l'ordre exigeaient le paiement d'une amende allant de 100 à 3 000 dollars au moyen d'une carte prépayée telle que UKash ou PaySafeCard.

Les utilisateurs moyens ne savaient pas quoi en penser et pensaient qu'ils faisaient réellement l'objet d'une enquête de la part des forces de l'ordre. Cette tactique d'ingénierie sociale, aujourd'hui appelée "culpabilité implicite", amène l'utilisateur à douter de son innocence et, plutôt que d'être rappelé à l'ordre pour une activité dont il n'est pas fier, à payer la rançon pour faire disparaître l'affaire.

En 2013, CryptoLocker a réintroduit dans le monde le ransomware chiffrant, mais cette fois-ci, il était beaucoup plus dangereux. CryptoLocker utilisait le site chiffrement de qualité militaire et stockait la clé nécessaire au déverrouillage des fichiers sur un serveur distant. Il était donc pratiquement impossible pour les utilisateurs de récupérer leurs données sans payer la rançon.

Ce type de ransomware chiffrant est toujours utilisé aujourd'hui, car il s'est avéré être un outil incroyablement efficace pour permettre aux cybercriminels de gagner de l'argent. Des épidémies de ransomware à grande échelle, telles que WannaCry en mai 2017 et Petya en juin 2017, ont utilisé des ransomwares chiffrants pour piéger des utilisateurs et des entreprises dans le monde entier.

Fin 2018, Ryuk a fait irruption sur la scène des ransomwares avec une série d'attaques contre des publications de presse américaines ainsi que contre l'Onslow Water and Sewer Authority de Caroline du Nord. Fait intéressant, les systèmes ciblés ont d'abord été infectés par Emotet ou TrickBot, deux chevaux de Troie voleurs d'informations désormais utilisés pour diffuser d'autres formes de malwares comme Ryuk, par exemple. Directeur de Malwarebytes Labs , Adam Kujawa pense qu'Emotet et TrickBot sont utilisés pour trouver des cibles de grande valeur. Une fois qu'un système est infecté et signalé comme une bonne cible pour un ransomware, Emotet/TrickBot réinfecte le système avec Ryuk.

En 2019, les criminels à l'origine du ransomware Sodinokibi (une ramification présumée de GandCrab) ont commencé à utiliser des fournisseurs de services gérés (MSP) pour propager les infections. En août 2019, des centaines de cabinets dentaires à travers le pays ont constaté qu'ils ne pouvaient plus accéder aux dossiers de leurs patients. Les attaquants ont utilisé un MSP compromis, dans ce cas une société de logiciels de dossiers médicaux, pour infecter directement plus de 400 cabinets dentaires utilisant le logiciel de tenue de dossiers. 

Toujours en 2019, Malwarebytes a découvert la famille de ransomwares Maze. Selon le rapport 2021 State of Malware Report de Malwarebytes, "Maze ne se contente pas de garder les données en otage, il menace également de rendre publiques les données saisies si la rançon n'est pas payée." Un autre gang de ransomwares est apparu la même année : REvil, également connu sous le nom de "Sodin" ou "Sodinokibi". Il s'agit d'un gang de ransomware sophistiqué qui utilise un modèle de Ransomware-as-a-Service (RaaS) pour vendre son logiciel à d'autres personnes qui souhaitent l'utiliser pour commettre des attaques par ransomware. 

En 2020, une nouvelle famille de ransomware baptisée Egregor a fait son apparition. On pense qu'il s'agit en quelque sorte d'un successeur de la famille de ransomwares Maze, car de nombreux cybercriminels qui travaillaient avec Maze sont passés à Egregor. Comme Maze, Egregor utilise une attaque de "double extorsion", dans laquelle il chiffre les fichiers et vole les données de la victime qu'il menace de publier en ligne si la rançon n'est pas payée. 

Si les attaques de ransomware contre les particuliers sont un problème depuis plusieurs années, les attaques de ransomware contre les entreprises, les hôpitaux et les systèmes de soins de santé, les écoles et les districts scolaires, les gouvernements locaux et d'autres organisations ont fait la une des journaux en 2021. De Colonial Pipeline au grand boucher JBS en passant par Steamship Authority, le plus grand service de ferry du Massachusetts, les attaquants de ransomware ont montré qu'ils étaient capables et désireux de perturber les grandes entreprises qui fournissent des biens de consommation courante tels que l'essence, la nourriture et les transports. 

Tout au long de l'année 2021, nous avons vu se succéder les gros titres d'attaques de ransomware contre de grandes entreprises et organisations (voir la section "Actualités" ci-dessus pour en lire un grand nombre). En milieu d'année, le gouvernement américain a déclaré que les ransomwares devaient faire l'objet d'une enquête au même titre que le terrorisme, et a créé le site web StopRansomware.gov pour rassembler des informations sur la manière d'arrêter les attaques de ransomwares et d'y survivre.

Que nous réserve le reste de l'année 2021 et 2022 en matière de menaces liées aux ransomwares ? Nous ne le savons pas, mais nous serons là pour vous tenir informés. Consultez cette page pour de futures mises à jour et suivez le blogMalwarebytes Labs pour connaître les dernières nouvelles en matière de cybersécurité.