Il est toujours facile d’entrer en communication avec eux. Il suffit de leur écrire en utilisant simplement l’adresse email qui s’affiche à l’écran. Bien qu’ils n’offrent pas de nombreuses options de paiement, celle qu’ils plébiscitent, à savoir le Bitcoin, est rapide et fiable pour effectuer des transactions.
Mieux encore, selon The State of Ransomware 2020, l’enquête réalisée plus tôt cette année au niveau mondial pour le compte de Sophos, les entreprises qui décident de payer pour récupérer leurs données le font dans 94% des cas.
Cette enquête nous apprend que seuls des coûts plus importants à long terme, des perturbations commerciales majeures, la possibilité d’une surveillance réglementaire continue pendant des années, et le fameux problème de l’humiliation publique et de la perte d’activité inciteront les entreprises à révéler qu’elles ont été effectivement victimes d’une d’attaque (ce qui se produit de plus en plus sous l’impulsion des attaquants).
L’enquête a interrogé 5 000 responsables IT dans 26 pays (500 aux États-Unis et 200 au Royaume-Uni) dans différents secteurs et en ciblant des entreprises ayant entre 100 et 5 000 employés.
Il s’agit d’une taille d’échantillon vraiment représentative, dont les résultats soulignent l’un des faits les plus intéressants concernant les ransomwares, et qui pourraient d’ailleurs passer inaperçu dans la presse spécialisée, à savoir que ces attaques touchent désormais n’importe qui, n’importe où.
Peu importe la taille de l’entreprise, ni le secteur ou le pays que vous considérez. Les ransomwares sont omniprésents, la moitié des entreprises ayant participé à cette enquête ont subi une attaque en 2019, dont les trois quarts ont eu leurs données chiffrées.
Ironiquement, cette tendance est apparue malgré le fait que les entreprises aient renforcé leur sécurité afin de réduire leur vulnérabilité vis à vis d’attaques basiques.
Comment les ransomwares ont-ils réagi face à de telles initiatives en matière de protection ? Ces derniers ont simplement passé plus de temps à cibler les entreprises, à la recherche de faiblesses moins évidentes, et en essayant d’en exploiter plusieurs en même temps.
Dans l’ensemble, l’enquête a révélé que même si le téléchargement d’un fichier malveillant ou un lien constituait toujours le plus grand danger (29% des attaques réussies), d’autres méthodes telles que les attaques à distance lancées sur les serveurs (21%), un Remote Desktop Protocol non sécurisé (9%), des fournisseurs externes (9%) et des clés USB infectées (7%) étaient également devenus des vecteurs d’attaque populaires.
Les référentiels et applications Cloud sont aussi une autre cible privilégiée, avec 59% des victimes attaquées avec succès qui ont mentionné que des données Cloud avaient été ciblées sous une forme ou une autre.
Seule une victime sur quatre décide de payer la rançon, ce qui est le plus souvent effectué par une société de cyber-assurance plutôt que par la victime elle-même. Cependant, seules deux tiers environ des victimes américaines estiment qu’elles peuvent se retourner vers leur assurance, 20% des entreprises payant pour une protection qu’elles ne parviennent pas à activer.
Ne payez pas les rançons
En effet, l’enquête a révélé que le paiement des rançons coûte plus cher que la restauration des données à l’aide des sauvegardes réalisées.
Certains n’en sont pourtant pas persuadés, car les temps d’arrêt sont souvent considérés comme la partie la plus coûteuse d’une attaque de ransomware, mais en réalité le coût de la récupération est toujours élevé, avoisinant en moyenne les 732 000$ (environ 671 000€). Ainsi, payer en plus la rançon double tout simplement la note.
Vous comprenez maintenant aisément pourquoi, après une attaque de ransomware, la clé de déchiffrement est presque toujours envoyée suite au paiement de la rançon : en effet, le moindre doute dans l’esprit des victimes réduirait à néant cette entreprise d’extorsion incitant ainsi ces dernières à réaliser elles-mêmes cette pénible tâche de restauration.
La peur de voir cette formidable manne financière disparaître pourrait expliquer pourquoi de plus en plus de cybercriminels, utilisant des ransomwares, ont récemment commencé à menacer de divulguer des données sensibles volées lors de ces attaques, constituant ainsi un moyen de pression supplémentaire pour inciter les victimes à payer les rançons.
Quoi faire ?
La situation n’est pourtant pas désespérée car il est clair que les entreprises peuvent limiter l’effet des attaques de ransomware en partant du principe qu’une attaque est de toutes les façons inévitable mais qu’il est possible de se préparer de manière appropriée pour y faire face.
Voici nos conseils :
- Créez et testez un plan de sauvegarde, y compris le stockage de données hors site où les attaquants ne pourront pas les localiser.
- Si vous avez souscrit une cyber-assurance, assurez-vous qu’elle couvre les risques liés aux ransomwares.
- N’oubliez pas de protéger vos données dans le Cloud ainsi que vos données au niveau central.
- Utilisez une protection anti-ransomware dédiée. 24% des personnes interrogées lors de cette enquête ont été attaquées par des ransomwares mais ont pu arrêter l’attaque avant que leurs données ne soient chiffrées.
- Désactivez le Remote Desktop Protocol (RDP). Les gangs cybercriminels exploitent les identifiants RDP faibles pour lancer des attaques de ransomware ciblées. Désactivez le RDP si vous n’en avez pas besoin et utilisez un limiteur de débit (rate limiting), l’authentification à deux facteurs (2FA) ou un réseau privé virtuel (VPN) si vous en avez besoin.
- Choisissez des mots de passe forts et utilisez l’authentification multifacteur aussi souvent que possible. Enfin ne réutilisez jamais vos mots de passe.
- Patchez tôt, patchez souvent. Les ransomwares comme WannaCry et NotPetya ont utilisé des vulnérabilités non corrigées pour se propager dans le monde entier.
N’hésitez pas à parcourir les conseils de Sophos concernant les erreurs courantes qui facilitent la vie des cybercriminels en aidant à la propagation des ransomwares. Pour obtenir des conseils plus détaillés, veuillez consulter notre page dédiée aux ransomwares.
Dernier podcast Sophos-Naked Security
Billet inspiré de Huge toll of ransomware attacks revealed in Sophos report, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.