Tous les articles


Ransomware : définition et comment se protéger avec une sauvegarde



L’un des plus grands risques de cybersécurité pour les entreprises ces dernières années est la propagation massive de virus « ransomware », allant des noms historiques tels que Cryptolocker, Locky, TeslaCrypt ou Wannacry, aux menaces les plus récentes de ces dernières années :

  • LockBit : Malgré certaines actions des forces de l’ordre, LockBit est resté l’un des groupes les plus actifs pendant une grande partie de la période, bien que son activité semble avoir diminué au cours du second semestre 2024.
  • RansomHub : Émergeant en 2024, RansomHub est rapidement devenu l’un des groupes RaaS les plus importants en termes de nombre d’attaques revendiquées.
  • Jeu : Ce groupe est connu pour son agressivité et son exploitation des vulnérabilités.
  • Akira : On pense qu’il a des liens avec le groupe Conti, aujourd’hui disparu, et il a montré une activité significative.
  • Black Basta : Un autre groupe ayant des liens possibles avec Conti, est resté actif.
  • Qilin (alias Agenda) : Apparu en 2022, a augmenté son activité en 2024.
  • Méduse : Connu pour ses tactiques d’extorsion et sa présence médiatique.
  • Clop : Bien qu’il ait ralenti son activité après une série d’attaques très médiatisées en 2023 (comme celles liées à MOVEit), il est resté une menace.
  • Killsec : Un nouveau groupe a émergé en 2024 avec une activité importante.
  • BianLian : Un groupe connu pour l’extorsion sans cryptage.

La diffusion généralisée de ces virus est due à quelques facteurs clés simples , à savoir la capacité de tromper les utilisateurs avec des sites, des e-mails ou des messages qui semblent parfaitement légitimes (mais contiennent le virus sous forme de pièce jointe déguisée en facture ou autre document) et la difficulté pour les antivirus de détecter à temps les activités suspectes effectuées par ces logiciels malveillants, également en raison de l’apparition continue de nouvelles variantes des mêmes et de nouvelles organisations criminelles.

L’escalade du phénomène des ransomwares ces dernières années a été considérablement alimentée par la prolifération de structures criminelles proposant ce que l’on appelle le « Ransomware-as-a-Service » (RaaS) . Ce modèle opérationnel permet aux affiliés, souvent dotés d’une expertise technique limitée, de tirer parti des infrastructures de ransomware préexistantes développées et exploitées par des groupes criminels plus expérimentés. En pratique, les créateurs de ransomwares fournissent le code malveillant, les passerelles de paiement et l’assistance pour mener les attaques, en échange d’un pourcentage de la rançon payée par la victime. Cette « démocratisation » des cyberattaques a abaissé la barrière d’entrée pour les cybercriminels, entraînant une augmentation exponentielle du nombre d’attaques et la propagation de menaces de plus en plus sophistiquées.

Que fait un virus ransomware ?

Mais que font exactement les ransomwares comme Lockbit ? Et pourquoi ont-ils été définis comme dévastateurs pour la sécurité et la conservation des données des entreprises et des utilisateurs privés ?

Au niveau de base, ces virus font une chose très simple : ils cryptent, et donc rendent inaccessibles (plus « ouvrables » pour ainsi dire), presque tous les fichiers d’un ordinateur , et surtout tous les fichiers qui peuvent être importants, comme les fichiers Excel, les documents (.doc, .docx, etc.), les images JPEG (donc toutes les images et photos), les PDF, les fichiers Zip, etc.

Une fois que le virus a crypté ces fichiers, vous ne pourrez plus les ouvrir de quelque manière que ce soit, à moins de connaître le mot de passe de cryptage et d’utiliser un logiciel spécifique capable d’effectuer le décryptage. Une fois l’infection terminée, le ransomware affichera une fenêtre sur l’écran avertissant l’utilisateur que tous ses fichiers ont été cryptés et que pour les récupérer, il devra payer une rançon dans un certain délai. Voici un exemple de fenêtre :

Si tous nos fichiers ont été rendus inaccessibles par un ransomware, la situation à ce stade peut être vraiment désespérée. C’est un fait bien connu que de nombreuses entreprises décident de payer la rançon (ce qui, cependant, ne peut réellement leur permettre que dans certains cas de récupérer leurs fichiers), mais cette solution est toujours déconseillée pour diverses raisons.

Ne payez pas la rançon : pourquoi céder aux demandes des cybercriminels est une grave erreur

Non, vous ne devez absolument pas payer la rançon, ni tenter de négocier avec les criminels responsables de l’attaque.

Même si nous avons vu certains gouvernements d’État et locaux américains céder aux demandes des cybercriminels, ils restent l’exception : seul un petit pourcentage a payé pour récupérer ses données suite à des attaques de ransomware.

Votre paiement financera très probablement le développement et le lancement de nouvelles variantes de ransomwares, ainsi que potentiellement d’autres activités criminelles. En refusant de payer, vous pouvez aider d’autres victimes potentielles à éviter de futures attaques. De plus, vous n’avez aucune garantie de récupérer vos fichiers : dans certains cas, les pirates ont envoyé des clés de décryptage inutiles, dans d’autres, ils n’ont rien envoyé du tout. Bien qu’ils préfèrent maintenir une réputation « honorable » pour inspirer confiance à leurs victimes, il n’y a pas d’honneur chez les cybervoleurs.

Que faire si vous avez été victime d’une attaque de ransomware

Le mieux est de s’appuyer sur une entreprise spécialisée dans la récupération éventuelle de fichiers ou sur des entreprises qui ont déjà eu des cas similaires et qui savent donc comment agir.

Comme nous le savons actuellement, avec de nombreuses variantes précoces de ransomware, vous pouvez compter sur des services qui vous permettent de décrypter et de récupérer vos fichiers à un coût minime. Presque toutes les sociétés d’antivirus proposent des outils de décryptage de fichiers et de suppression de ransomwares, tels que :

Kaspersky : https://noransom.kaspersky.com/

Trendmicro : https://success.trendmicro.com/en-US/solution/KA-0006362

Les  directives à suivre lorsque vous réalisez que vous avez été infecté par un ransomware comme Lockbit sont les suivantes :

  1. Si vous remarquez que certains fichiers sont devenus inaccessibles, mais qu’aucune fenêtre de rançon n’est encore apparue, nous vous recommandons d’éteindre immédiatement votre ordinateur, de le déconnecter du réseau et de retirer tous les disques externes ou autres périphériques de stockage de données pour éviter toute compromission complète. Faisons donc appel à du personnel expert pour nettoyer le système avant de le redémarrer.
  2. Si l’infection a déjà eu lieu et que la fenêtre de rançon est apparue, nous prenons note des liens fournis par le virus pour payer la rançon (en dernier recours), puis procédons à la suppression du virus. Encore une fois, nous déconnectons tous les périphériques réseau ou disques externes ou autres disques qui pourraient être atteints et compromis par le virus. Nous déconnectons également l’ordinateur du réseau. Nous utiliserons une clé USB pour y copier tous les outils de suppression, de nettoyage et de récupération.
  3. Nous procédons à la suppression du virus et à la tentative de récupération des fichiers avec les outils fournis par l’antivirus.

Une analyse et une suppression supplémentaires pourraient ensuite être effectuées avec n’importe quel antivirus mis à jour.

Ensuite, protégeons-nous immédiatement contre d’éventuelles réinfections en utilisant des outils de surveillance plus « agressifs » pour d’éventuelles activités malveillantes telles que celles typiques des ransomwares. Tous les antivirus récents offrent ce type de protection en temps réel, comme Avast : https://www.avast.com/c-how-to-prevent-ransomware

Le meilleur remède : toujours avoir une sauvegarde inaccessible aux ransomwares

Jusqu’à présent, nous avons parlé du pire des scénarios, c’est-à-dire lorsque tous nos fichiers sont (« temporairement ») perdus et que nous n’en avons aucune copie de sauvegarde. Cela nous met dans la position de devoir faire appel à des experts en récupération de données, ou en tout cas de devoir utiliser des outils spécifiques pour la suppression du virus ransomware et le décryptage des fichiers. Finalement, si tout cela ne fonctionne pas, notre seul dernier recours est de payer une rançon et d’espérer que les cybercriminels qui ont créé le virus sont toujours « joignables », qu’ils n’ont pas été arrêtés ou que les sites n’ont pas été bloqués (auquel cas il est judicieux de se renseigner sur d’éventuelles opérations policières récentes, qui auraient pu d’une manière ou d’une autre accéder aux sources du virus et donc aux clés de décryptage).

Dans cet article, cependant, nous voulons également parler de  prévention , c’est-à-dire des moyens de se protéger de Cryptolocker, Wannacry, Lockbit et de tous les autres ransomwares afin qu’une éventuelle attaque ne bloque pas notre entreprise et ne nous fasse pas perdre toutes nos données personnelles. Les directives de base à suivre sont évidemment l’installation d’un logiciel antivirus et/ou d’un logiciel pare-feu et, comme l’affaire Wannacry nous l’a appris, de toujours maintenir votre système d’exploitation à jour avec les derniers correctifs de sécurité . En outre, la meilleure façon d’échapper indemne à une infection par ransomware est de planifier à l’avance une stratégie de sauvegarde des données complète et efficace. Dans cette deuxième partie de l’article, nous donnerons quelques conseils sur la meilleure façon de réaliser une sauvegarde avec Iperius Backup .

Nous avons pensé l’expliquer clairement et schématiquement à travers les questions et réponses suivantes :

  • Quels types de sauvegardes sont recommandés pour récupérer des fichiers après une attaque de ransomware ?
     Tout d’abord, les sauvegardes hors site , c’est-à-dire les sauvegardes en ligne sur Cloud et FTP, car ces destinations ne sont pas accessibles au virus. Par conséquent, les sauvegardes sur des supports amovibles externes , tels que des disques USB et des cartouches RDX, qui peuvent être remplacés selon une rotation mensuelle, déconnectés physiquement et transportés vers un emplacement extérieur à l’entreprise, sont également utiles en cas de vol ou de catastrophe environnementale ( sauvegarde air-gap ). Nous choisissons toujours deux ou plusieurs destinations pour notre sauvegarde, avec des opérations et des horaires différents . Iperius peut effectuer des sauvegardes en ligne sur Google Drive, Dropbox, OneDrive, Amazon S3, Azure Storage et n’importe quel serveur FTPS/SFTP. Enfin, Iperius prend en charge les sauvegardes immuables à l’aide d’ Object Lock sur Amazon S3 . Toutes ces stratégies, également connues sous le nom de méthode 3-2-1, vous offrent la sécurité de toujours disposer d’une copie restaurable de vos données. Iperius Backup fournit également un espace sécurisé pour le stockage cloud conforme au RGPD dans l’Union européenne : Iperius Storage . Pour plus d’informations sur les sauvegardes dans le cloud, lisez les tutoriels associés .
  • À quelle fréquence dois-je planifier des sauvegardes ?
     La recommandation de base est de créer plusieurs opérations de sauvegarde, avec des planifications différentes . Il doit y avoir une sauvegarde quotidienne, mais aussi une sauvegarde hebdomadaire et mensuelle. Cela permet d’éviter que les sauvegardes précédentes ne soient écrasées par inadvertance par des copies cryptées des fichiers en cas d’infection (vous laissant ainsi une marge de temps pour remarquer l’infection). Soyez prudent avec les sauvegardes effectuées le dimanche, car des infections automatiques peuvent parfois se produire le week-end.
  • Quel mode de sauvegarde dois-je utiliser ?
     Le conseil est d’effectuer des sauvegardes quotidiennes avec le mode Complet + Incrémentiel ou Complet + Différentiel (pour avoir un historique des fichiers modifiés), et des sauvegardes hebdomadaires et mensuelles qui effectuent initialement une sauvegarde complète et mettent ensuite à jour cette sauvegarde uniquement avec des fichiers nouveaux ou modifiés. Ce type de sauvegarde peut être effectué vers des destinations FTP/SFTP, des disques externes, RDX, NAS, des serveurs ou des ordinateurs en réseau. Les sauvegardes sur bandes LTO (même avec des cassettes WORM, sur lesquelles on ne peut écrire qu’une seule fois et qui rendent effectivement les sauvegardes immuables ) sont également recommandées, en particulier dans les environnements d’entreprise et de serveur, car elles se trouvent sur un type de périphérique qui n’est pas accessible par ces virus.
    Enfin, il est absolument recommandé d’effectuer également une sauvegarde d’image (image disque) , c’est-à-dire une sauvegarde complète de l’ensemble du disque sur une base hebdomadaire ou mensuelle, à la fois parce qu’elle nous permet de restaurer rapidement l’ensemble du système à son état d’avant l’infection, sans avoir à refaire les configurations ou à réinstaller les programmes. Ceci est très important pour la continuité des activités et pour pouvoir reprendre le fonctionnement le plus rapidement possible. Lisez les tutoriels pour la sauvegarde et la restauration d’images disque .
  • Je sais que le virus peut également atteindre les dossiers réseau et compromettre les sauvegardes. Comment protéger le NAS sur lequel je sauvegarde ?
     La question est très importante. Il existe plusieurs façons de protéger un NAS contre l’infection par un virus ransomware comme Cryptolocker ou Lockbit. Par exemple, vous pouvez choisir de ne partager aucun dossier sur le NAS sur le réseau et d’utiliser à la place son serveur FTP ou S3. Avec Iperius, il est possible de configurer une sauvegarde FTP ou S3 sur des NAS qui supportent ces protocoles (presque tous). De cette façon, le NAS ne sera en aucun cas accessible au virus.
    Ou, si vous souhaitez conserver les partages réseau NAS, vous devrez vous assurer que seul un utilisateur spécifique peut avoir des autorisations d’écriture sur ses dossiers. Vous pouvez ensuite créer un compte spécifique pour la sauvegarde sur Windows (ou dans Active Directory pour les ordinateurs qui sont dans un domaine), puis utiliser ce compte pour exécuter le service Iperius (ou pour emprunter l’identité du processus Iperius), qui est responsable de l’exécution des sauvegardes planifiées. De cette façon, seul Iperius aura accès en écriture aux dossiers NAS (où évidemment nous aurons donné des droits d’écriture sur les dossiers partagés uniquement à cet utilisateur).

Une option pour protéger les sauvegardes contre les ransomwares

En tant que mesure de sécurité supplémentaire pour éviter les cas de corruption de sauvegardes précédentes suite à une infection par ransomware, Iperius propose une option spécifique qui vous permet de détecter la présence de fichiers corrompus ou cryptés par des virus ransomware avant de sauvegarder des fichiers et des dossiers vers des destinations locales, réseau ou cloud. Cette analyse intelligente protège les sauvegardes précédentes contre l’écrasement par des copies de fichiers compromises, les protégeant ainsi des attaques de virus. Dans l’image ci-dessous, nous voyons comment activer cette option :

Dans cette option, vous pouvez également exclure certaines extensions de l’analyse, au cas où de faux positifs se produiraient.

Réflexions sur le vol et la diffusion de données sensibles

Malheureusement, les dernières attaques de ransomware présentent un autre danger : la sauvegarde ne peut pas être la seule solution. Les campagnes de ransomware modernes ont en fait fait évoluer leurs tactiques, allant au-delà du simple cryptage des données comme seule forme de coercition. De plus en plus, les opérateurs de ransomware adoptent une stratégie de « double extorsion » : en plus de rendre les fichiers inaccessibles grâce au chiffrement, ils exfiltrent une quantité importante de données sensibles avant l’attaque. Cette mesure ajoute une couche de pression supplémentaire sur les victimes, car la menace n’est plus seulement la perte d’opérations due au blocage des systèmes, mais aussi la divulgation publique potentielle d’informations confidentielles, entraînant des dommages à la réputation, des sanctions réglementaires et une perte de confiance des clients et des partenaires . L’attaque contre Foxconn au Mexique en 2022 en est un exemple clair, où la compromission des données et la menace de diffusion deviennent une arme puissante entre les mains des cybercriminels : https://www.bleepingcomputer.com/news/security/foxconn-confirms-ransomware-attack-disrupted-production-in-mexico/

Conclusions

En conclusion, face à la menace persistante et sophistiquée des ransomwares, une stratégie de défense efficace ne peut ignorer un système de sauvegarde robuste et résilient. L’adoption de solutions telles qu’Iperius Backup pour mettre en œuvre des sauvegardes immuables, en exploitant des technologies telles que Object Lock sur Amazon S3 et l’archivage sur bande WORM LTO, ainsi que la création de copies Air-Gap sur des supports physiquement amovibles, représente un rempart fondamental contre la perte de données et l’interruption d’activité. Il est toutefois essentiel de souligner que la sauvegarde n’est qu’un élément d’une stratégie globale de cybersécurité. La prévention, par la formation des employés à la cybersécurité et la mise en place d’antivirus avancés, de pare-feu correctement configurés et l’adoption d’outils de sécurité supplémentaires, reste la première ligne de défense pour réduire considérablement le risque d’être victime d’attaques de ransomware. Seule une approche synergique combinant une stratégie solide de sauvegarde et de reprise après sinistre avec des mesures de prévention proactives peut garantir une véritable résilience numérique pour les organisations.

Quelques informations supplémentaires sur les ransomwares : https://www.crowdstrike.com/en-us/cybersecurity-101/ransomware/



Pour toute question ou doute concernant cet article, Contactez-nous