Blog - Lockself

Comment fonctionne un ransomware et quels sont les risques ?

Rédigé par LockSelf | 22 octobre 2020

Le ransomware ou rançongiciel (en Français) est l'outil favori des groupes cybercriminels pour gagner de l'argent rapidement et "facilement" depuis plusieurs années.
Selon une étude menée par Kaspersky, une entreprise est frappée par un ransomware toutes les 40 secondes dans le monde.
Les attaques par ransomware représentent plus de 60% des cyberattaques subies par les entreprises.
Cela représente une manne financière que les cybercriminels ne sont pas prêts de remplacer par un nouvel outil.

 

Comment un ransomware peut arriver sur un des ordinateurs de mon entreprise ?


Le principal vecteur d'infection est la pièce jointe d'un email qui, une fois ouverte s'avère ne pas être le fichier excel ou PDF escompté.
L'enjeu pour un cybercriminel souhaitant que sa pièce jointe infectée soit ouverte par un salarié de l'entreprise est de le tromper avec un email plausible, lié au contexte de la société ou du service visé.
Si l'email s'adresse au service RH par exemple, il est commun que son contenu fasse état d'une candidature à un poste avec CV en pièce jointe.
Egalement, s'il s'adresse au service comptabilité, l'email parlera d'une facture impayée avec un rappel en pièce jointe.
L'objectif étant de créer un besoin chez le salarié ciblé pour qu'il trouve justifié d'ouvrir cette pièce jointe, sans éveiller sa suspicion.
Dans des cas plus rares, le ransomware peut être sauvegardé sur une clé usb qui sera déposée au pied des locaux de l'entreprise dans l'espoir qu'un curieux consulte le contenu de la clé sur son ordinateur professionnel.
Une fois le ransomware sauvegardé et exécuté sur le poste de l'utilisateur, le logiciel fait ce qu'il doit faire en quelques minutes à l'échelle des potentiels milliers de postes de l'entreprise.

 

Que fait le ransomware une fois ouvert ?

Dès son exécution, le logiciel va se mettre à chercher tous les fichiers qu'il juge important, en cherchant des mots clés comme "contrat" ou des extensions comme PDF.
Cette recherche sera effectuée sur le poste de l'utilisateur lui même mais également sur tous les partages réseaux auxquels le poste est connecté. Tous les espaces de stockage de fichier de l'entreprise accessibles par ce poste utilisateur seront parcourus et leur contenu sera référencé par le ransomware comme "fichier à traiter".
Une fois cette liste de fichier établie, le logiciel transfèrera ces fichiers à un serveur appartenant au cybercriminel pour pouvoir assurer la partie "chantage" de l'opération.
Pour paralyser l'entreprise, tous ces fichiers seront chiffrés et laissés à leur emplacement sur le poste utilisateur ou sur le partage réseau rendant impossible leur consultation.



Les conséquences

Une fois à ce stade, le cybercriminel vous informe que vous ne pouvez plus (à juste titre) accéder à vos fichiers et que ces derniers seront progressivement rendus publics si vous ne payez pas la rançon.
Une fois dans cette situation, vous pouvez espérer que le ransomware a déjà été analysé et que ses clefs de déchiffrement sont disponibles sur internet, malheureusement cela n'est que très rarement le cas.

 

Se prémunir

La cible des ransomwares étant les fichiers stockés sur les ordinateurs et le réseau de l'entreprise, la solution serait de ne pas stocker ces fichiers en "accès libre" sur les postes et les partages réseaux.
Cela veut donc dire, déplacer ces fichiers vers un espace de stockage nécessitant une authentification pour accéder à son contenu.
De plus, au dela de l'accès aux fichiers, leur stockage doit être sécurisé et controlé (localisation) pour ne pas ouvrir la porte à d'autres menaces.