Un Ransomware est un malware qui affecte votre système en bloquant l’accès à vos données (e.g. en les chiffrant par une clé détenue par le hacker) afin de vous contraindre à payer une rançon avant de pouvoir récupérer vos biens informationnels.
Nous allons voir dans cet article comment gérer la situation en cas d’infection par ce type de malware, doit-on payer ou pas, et comment mieux prévenir ce type d’attaque.
Avant d’entrer dans le vif du sujet, parlons du cas réel de la cyberattaque de Colonial Pipeline. Cette attaque a eu lieu le 07 mai 2021 lorsqu’un système de transportation de carburant entre Texas et New York a été frappé par un ransomware, et qui a causé l’arrêt total du pipeline. cet arrêt a engendré des pertes énormes, vu que 45% de tout le carburant consommé sur la côte Est arrive via le réseau de pipelines; les vols ont été perturbés, les stations-service ont enregistré des pénuries importantes et les prix de carburant ont flambé!
En plus de l’arrêt de l’activité, les attaquants ont réussi à exfiltrer 100Go de données et ont menacé de la publier sur Internet si la rançon n’est pas payée.
Afin de rétablir la situation la société a choisi de payer une rançon de 75 Bitcoins (4.4 millions de dollars) aux hackeurs (appelés DarkSide) dans l’espoir de recevoir un outil de déblocage, le 12 mai la société a réussi à rétablir le service. Le gouvernement américain est intervenu en suivant les transferts financiers, une action qui a permis de saisir, le 07 juin 2021, 63.7 des Bitcoins payés .
Les Ransomewares ont des conséquences majeures dont il faudrait être conscient :
- Chiffrement des données de l’organisme avec une clé contrôlée par le hacker, ce qui les rend inaccessibles.
- Vole de données et menace de les publier sur Internet.
- Risque d’attaque DDOS.
- Atteinte à l’image de l’organisme et tracasser les clients par la réussite de l’attaque.
Vous vous demandez peut-être qui est derrière ces attaques si sophistiquées qui arrivent à paralyser le fonctionnement des meilleures entreprises du monde !? Il faut comprendre que ces malwares, dans la plupart des cas, sont développés par des équipes un peu partout dans le monde, avec des connaissances très pointues dans le domaine des IT. Parmi les Gangs de Ransomware les plus connus on cite: Aako (Ranzy) , Astro, Avaddon, Babuk Locker, Blackmatter, CIOP, Conti, Cuba, DarSide et DoppelPaymer. Notez que c’est seulement des exemples, il existe plusieurs Gangs non cités, et peut-être même non identifiés à ce jour, qui œuvrent pour des intérêts différents.
Alors que faire si mon organisation est attaquée par un ransomware ? Payer ou ne pas payer ?
Répondre à cette question est très très difficile, et dépend de plusieurs critères voire d’une analyse de risque détaillée afin d’étudier le risque/bénéfice d’une telle décision.
Voyons d’abord quelques chiffres d’un sondage effectué par CyberEdge Group qui a recueilli d’un échantillon d’entreprise s’ils étaient victimes d’une attaque ransomware, s’ils ont payé la rançon et s’ils ont réussi à récupérer leurs données après paiement!
L’étude montre qu’en 2021, 68.5% des entreprises interrogées ont été victimes d’une attaque Ransomware, 57% d’entre elles déclarent avoir payé la rançon et 71.6% des entreprises ayant payé la rançon, ont réussi à récupérer leurs données!
Étonnamment, c’est un fait, une grande partie des entreprises victimes payent les rançons! et il faut noter également que la plupart récupèrent leurs données. C’est tout à fait normal, car si ses attaquants n’assuraient pas que les victimes puissent récupérer leurs données , les entreprises à payer les rançons seront de moins en moins! c’est un cycle vicieux, les hackers tiennent leur parole afin d’instaurer la confiance, de cette façon, les entreprises seraient moins hésitantes à payer les rançons!
Il faut noter que beaucoup d’entreprises prennent le risque de payer les rançons plutôt que de perdre les données.
Vous me diriez que si toutes les entreprises arrêtent de payer les rançons, ces attaquants pourraient arrêter leurs attaques et passeraient à autre chose, vu qu’ils ne gagneront plus rien! mais la réalité c’est qu’on n’en sait rien, les motifs derrière les attaques cybers ne sont pas que financiers, il y a des activistes, des passionnées de causer du mal à autrui et même des APT (Advanced persistent Threats).
Un récent rapport parlementaire en France propose même d’interdire les garanties rançon dans les contrats d’assurance cyber, c’est un modèle à suivre de près, pour voir si la corrélation entrer payer la rançon et la persistance des attaques par Ransomwares existe ou pas. Les professionnels de la cybersécurité n’en croient pas un mot, et moi non plus d’ailleurs! les hackers vont continuer à faire pression, les attaques ne cesseraient probablement pas si les entreprises ne payent plus.
Il faudrait se mettre à la place d’un attaquant et porter pour un petit moment le chapeau d’un Black Hat pour raisonner: si j’ai développé un malware sophistiqué, je ciblerais le plus grand nombre des organisations sans exception et j’espèrerais qu’une partie d’entre elles allait payer, c’est aussi simple que ça. Les Hackers pourraient même attaquer les pays qui interdisent de payer les rançons en masse et en priorité! c’est de toute une industrie qui serait menacée qu’on est en train de parler!
Je préfère plutôt que les organisations fassent mieux pour se protéger contre ses attaques et réduire au maximum ce risque.
Pour revenir à la question de payer ou de ne pas payer la rançon, je dirais que ça dépend de la situation dans laquelle on est! même si le principe de payer la rançon semble être contre l’éthique, voire même une sorte de contribution à financer des Gangs de malfaiteurs, mais il arrive que des fois, la vie de l’entreprise dépende entièrement de ses données, si elle n’est pas en mesure d’assurer la continuité de l’activité sans ses données, payer la rançon pourrait être envisageable, voire la seule solution de survie. C’est toujours une question de bénéfice/risque qu’il faudrait adopter, et quand on parle du risque, il faut prendre en compte les différents types de risques, le fait que les attaquants ne vous donnent pas accès à vos données même après paiement de la rançon, le risque d’enfreindre des lois, car des pays comme les États-Unis pensent rendre le paiement des rançons illégal et puni par la loi, le risque de divulgation de données sensibles ou des données personnelles, etc. Je risque de décevoir en disant qu’il y a pas de bonne réponse qui ira à tous quant à la décision de payer ou pas! c’est au cas par cas.
Ci-dessous une liste des sociétés qui ont payé des rançons et d’autres qui ont refusé avec les montants correspondants:
| Rançons payées | Refus de paiement |
| CNA Financial (40 millions de dollars) | Norsk Hydro (70 millions de dollars de pertes, refus de payer 3.6 millions de dollars) |
| JBS (11 millions de dollars) | Spectra Logic (refus de paiement de 3.6 millions de dollars) |
| CWT Global (4.5 millions de dollars) | Treamsters (Refus de paiement de 2.5 millions de dollars) |
| Colonial Pipeline (4.4 millions de dollars) | Bose (Refus de paiement) |
| Brenntag (4.4 millions de dollars) | Fujifilm (Refus de paiement) |
| ExaGrid (2.6 millions de dollars) | Maxlinear (refus de paiement) |
Si votre pays interdit le paiement des rançons, ça serait fort probablement une mauvaise idée de le faire, car vous risquez d’enfreindre la loi, être en non-conformité et même s’exposer à des sanctions parfois lourdes. Dans le cas contraire, c’est toute une étude à faire, en voici quelques conseils pour faire votre analyse :
- Au moment de découverte de l’infection, faites le nécessaire pour contenir la situation et sauver ce qui peut être sauvé.
- Démarrez les travaux de forensiques nécessaires afin d’identifier les causes d’infection et les vulnérabilités exploitées et commencer à les corriger rapidement.
- Estimez la perte que vous avez subit (données, pertes financière, coût de la continuité d’activité …)
- Évaluez votre capacité de récupérer vos données sauvegardées.
- Faites une analyse bénéfice/risque de la décision de payer la rançon en tenant en compte les facteurs cités ci-haut.
- Si vous envisagez de payer une rançon, demandez des preuves de possibilité de déchiffrement d’un échantillon de vos données perdues, puis négociez très fort à la baisse le montant de la rançon.
Dans le cas où votre décision est de payer une rançon, penser toujours à négocier très très fort, plusieurs entreprises arrivent à négocier jusqu’à 70% de moins le montant demandé.
Passons maintenant à la meilleure solution, comment se prémunir contre les ransomwares.
Le risque zéro n’existe pas, malgré tout ce que vous allez faire, le risque d’être victime d’une attaque par ransomware reste probable, il est primordial d’être préparé pour de telles attaques et mettre en place les mesures de sécurité nécessaires qui vous permettraient de réduire le plus possible le risque d’infection et les dégâts si par malheur vous en êtes victime.
En voici une liste de préparations à faire pour faire face à des situations où vous seriez victimes de telles attaques :
- Penser à souscrire à une assurance Cybersécurité quand c’est possible.
- Mettez en place une politique pour réagir aux attaques ransomware
- Suivez de prés les nouvelles attaques de ce type et les vulnérabilités qu’ils exploitent.
- Lister à l’avance les situations critiques pour lesquelles vous envisageriez de payer la rançon.
- Préparer à l’avance un moyen pour acquérir rapidement des cryptomonnaie (c’est le seul moyen accepté par les attaquants).
Être préparé c’est bien, mais d’éviter d’être infecté c’est mieux, raison pour laquelle vous devriez mettre en place les mesures nécessaires afin de limiter les chances qu’une attaque ransomware réussisse , à savoir :
- Mettre en place des Antimalwares avec application des mises à jour des signatures.
- Envisagez de mettre en place des campagnes de sensibilisation à la sécurité et plus particulièrement aux attaques de phishing au profit de votre personnel
- Mettre en place des politiques de sauvegarde et de restauration de vos données, avec des tests périodiques pour être confiant quant à la récupération de vos données en cas d’incident.
- Faire des exercices et des simulations d’attaques de phishing pour évaluer la maturité de vos collaborateurs face à ce sujet et y réagir si nécessaire.
- Mettre en place un dispositif de gestion des vulnérabilités
- Penser à garder les systèmes à jour en appliquant les patchs nécessaires rapidement.
- Mettre en place des systèmes honeypots quand c’est possible.
- Mettre en place un dispositif de Threat Intelligence.
- Mettre en place des solutions NAC (Network access control)
- Penser à mettre en place une architecture Zero Trust.
- Mettre en place une solution PAM (Privileged Access Management)
- Mettre en place des solutions NBA (Network Behavior Analysis)
- Mettre en place une solution DLP (Data Loss Prevention)
Toutes ses mesures sont des barrières qui pourraient jouer en votre faveur en cas d’incident lié à des attaques cybers, y compris les ransomwares, et rappelez-vous que le maillon faible en sécurité de l’information est toujours l’être humain, le fait de sensibiliser le personnel à ces attaques réduirait de moitié le risque d’en être victime!
One response
[…] causé des pertes astronomiques même à l’échelle nationale, ce dernier a même payé une rançon de 4,4 millions de dollars au gang pour récupérer les données […]