Logo Cyber Cover
Retour aux articles

Les ransomware ou rancongiciels représentent plus de 40 % des cyber attaques constatées en France à l’encontre des entreprises. C’est la menace n°1 contre lesquelles les entreprises doivent se protéger. Pourtant, à l’heure où certains se posent la question des conséquences du paiement éventuel de la rançon, où tout le monde insiste sur la nécessité de fiabiliser / sécuriser les sauvegardes (également ciblées par ces malwares), un nouveau mode opératoire est en train d’apparaître, de nature à précipiter le paiement des rançons. Explications.

1-RANSOMWARE : DE QUOI PARLE-T’ON ?

Définition

Un rançongiciel ou ransomware est une forme de logiciel malveillant qui crypte les fichiers d'une entreprise. L'attaquant demande ensuite une rançon à la victime pour lui permettre de retrouver l'accès aux données après paiement de la rançon.

Les victimes de ransomware reçoivent des instructions sur la manière de payer afin d’obtenir en retour une clé de décryptage. Le montant de la rançon est généralement adapté à la taille de l’entreprise et peut aller de quelques milliers à des centaines de milliers d’euros, payables aux cybercriminels en Bitcoins (intraçable).

Comment fonctionne un ransomware ?

Il existe un certain nombre de vecteurs que les rançongiciels peuvent emprunter pour accéder à un ordinateur avant de toucher et de compromettre l’intégralité du système d’information, sauvegardes comprises.

L'un des systèmes de diffusion les plus courants est le Phishing (campagne de « hameçonnage » par envoi d’emails).  Ces emails contiennent des pièces jointes, qui une fois ouvertes, permettent à l’attaquant de s'emparer de l'ordinateur de la victime.

D'autres formes de logiciels de rançon plus agressifs, comme NotPetya, exploitent les failles de sécurité pour infecter les ordinateurs sans avoir besoin de tromper les utilisateurs via l’envoi d’emails frauduleux.

Le logiciel malveillant peut faire plusieurs choses une fois qu'il s'est emparé de l'ordinateur de la victime, mais l'action la plus courante consiste à crypter une partie ou la totalité des fichiers de l'utilisateur. Mais la chose la plus importante à savoir est qu'à la fin du processus, les fichiers ne peuvent pas être décryptés sans une clé mathématique connue uniquement de l'attaquant. La victime voit alors apparaître un message expliquant que ses fichiers sont désormais inaccessibles et qu’ils ne seront décryptés que si la victime envoie un paiement en Bitcoins à l'attaquant.

Les malwares s’attaquent à présent aux sauvegardes, laissant présager un avenir sombre pour bon nombre d’entreprises insuffisamment sécurisées, dotées de politiques de sauvegardes trop naïves, face à l’ingéniosité déployée par les cybercriminels.

 

Ransomwares : quelles sont les entreprises visées?

Il existe différentes types d’attaquants, ciblant des entreprises de taille différente.

Certains cybercriminels privilégient la quantité en déployant des attaques de masse qui vont toucher sans distinction petites et moyennes entreprises.

Parfois, c'est une question d'opportunité ; Les cyber-attaquants peuvent par exemple cibler les universités parce qu'elles ont tendance à avoir des équipes de sécurité plus petites avec un nombre important d'utilisateurs et de partage de fichiers, autant d’éléments qui favorisent la pénétration de leurs défenses.

Pour d’autres attaquants, la priorité des attaques sera ciblée vers des entreprises qui par leur activité seront plus susceptibles de payer une rançon rapidement. Citons les établissements médicaux, les groupes hôteliers, les laboratoires d’analyse médicales ou certaines professions traitant un volume important de données confidentielles (avocats, experts comptables…), qui ont souvent besoin d'un accès immédiat à leurs dossiers et qui sont prêts à payer rapidement pour garder secrète leurs informations.

cyber_assurance


2-MAZE RANSOMWARE : L’ASSURANCE D’UNE NOUVELLE FORME DE CHANTAGE

Il existe depuis peu de temps une variante au ransomware, appelée "leakware" ou "doxware", dans laquelle l'attaquant menace de publier les données sensibles de sa victime à moins qu'une rançon ne soit payée. Bien que des menaces aient été émises dans le passé pour publier des données volées lors d'attaques par rançon, il n'y avait eu jusqu’à présent aucun cas confirmé d'attaquants ayant donné suite à leurs menaces. Le groupe de cybercriminel Maze montre une assurance dans sa capacité à faire monter la pression et commence à rendre public des données confidentielles dérobées à une entreprise (Décembre 2019).

La menace Maze

Le gang de cybercriminalité connu sous le nom de Maze ransomware a publié les données d'entreprises qui avaient refusé de payer les rançons.

Actuellement, sur le site web mis à la disposition par ces cybercriminels, 29 entreprises sont répertoriées comme n'ayant pas payé la rançon, le site présentant même des échantillons de données volées lors des attaques.

MAZE a utilisé un site web public, créé pour exposer les victimes. "Les entreprises représentées ici ne souhaitent pas coopérer avec nous et tentent de cacher notre attaque réussie contre leurs ressources", explique le site dans un anglais approximatif. "Accédez ici à leurs bases de données et à leurs documents privés !"

Les attaques se font probablement en deux étapes. Dans la première, des acteurs malveillants piratent un réseau et volent des données. Dans la seconde, ils placent les logiciels malveillants pour crypter les fichiers. Cela confirme que les personnes derrière ce genre d'agressions sont compétentes et disposent de nombreux outils pour accomplir leur mission.

 

Quelques exemples publics

Southwire : En décembre, le fabricant de câbles Southwire, basé à Carrollton, en Géorgie, a refusé de payer une rançon de 200 BTC (1 664 320 dollars), ce qui a entrainé comme conséquence la publication d’une partie des données volées. Southwire a intenté un procès dans le district nord de la Géorgie contre le groupe de hacker MAZE, forçant ainsi le fournisseur d'accès Internet hébergeant le site web de MAZE à mettre le site hors ligne…. Quelques jours plus tard, le site web était à nouveau remis en ligne avec un autre fournisseur d'hébergement.

Medical Diagnostic Laboratories (MDLab) : basé dans le New Jersey a également été attaqué par le ransomware de MAZE (2 décembre 2019). MD Lab a pris contact avec l'équipe Maze, mais les négociations se sont enlisées et aucune rançon n'a été payée. Selon les informations publiées sur le site web de Maze, 231 postes de travail avaient été cryptés lors de l'attaque. Lorsque MD Lab a refusé de négocier, l'équipe de Maze a décidé de faire pression et a publié immédiatement 9,5 Go de données de recherche privées de l'entreprise, y compris des recherches en immunologie. L'équipe Maze a ensuite annoncé les données volées sur un forum de piratage afin de tenter de relancer les négociations avec la société. Selon Bleeping Computer, 100 Go de données ont été volés lors de l'attaque. L'équipe Maze a exigé le paiement d'une rançon de 100 BTC (832 880 $) pour les clés permettant de déverrouiller les fichiers cryptés et un autre paiement de 100 BTC pour détruire les données volées.

Le « Center for Facial Restoration, Inc. » a annoncé avoir subi un sort similaire suite à une attaque par rançongiciel le 8 novembre 2019. Les attaquants ont volé les données des patients avant de déployer le logiciel de rançon et ont demandé une rançon au prestataire de soins de santé ainsi qu'à une vingtaine de patients. Des photographies et des informations personnelles de près de 3 500 personnes auraient été volées lors de cette attaque.

 

Mise en ligne de données confidentielles

Quelles seraient les conséquences de la mise en ligne d’informations commerciales confidentielles de votre entreprise si vous refusiez de payer la rançon ?  

La simple restauration de vos données à partir de sauvegardes ne suffit pas, à supposer que la sauvegarde n’ait pas été elle-même cryptée….

Il y a probablement beaucoup de choses que votre entreprise ne voudrait pas voir partagées publiquement. Il peut s'agir de votre propriété intellectuelle, de vos secrets de fabrication, de votre base de données clients avec tous les détails, ou de données financières. Vos clients eux même ne voudraient pas non plus que leurs informations qu’ils partagent avec vous, soient divulguées sur la place publique ou vendues au plus offrant.

 

Violation des données personnelles

Ce changement de comportement des cybercriminels transforme la nature de l’attaque. L’entreprise victime jusqu’à présent d’une atteinte à son système d’information (les données étaient cryptées mais non volées) change de statut et devient victime d’une atteinte aux données personnelles.

Ceci implique pour elle, conformément au RGPD, de déclarer la violation à la CNIL dans les 72 heures, de notifier à chacune des personnes concernées la nature et l’ampleur de la violation, et de faire face à d’éventuelles mises en cause par des tiers.

Cette violation ou divulgation des données peuvent à terme engendrer un préjudice pour vos clients qui seront davantage susceptibles d'être victimes de fraude ou de vol d'identité par le biais de futures escroqueries, construites à partir des informations dérobées ou publiées.

 

Ransomware : quelles conséquences financières ?

Les fuites de données sont coûteuses.

Au-delà de la rançon éventuellement versée, il y a des coûts associés aux dommages collatéraux tels que :

  • Perte de CA
  • Arrêt des services, arrêt de la production
  • Indisponibilité du site
  • la perte d’image auprès des clients
  • les frais d’experts informatiques afin d'atténuer les effets de l’attaque et rétablir le système d’information.
  • l'atteinte à la réputation de la marque de l'entreprise
  • RGPD : frais juridiques, analyses forensic, frais de notification, éventuelles sanctions au regard des obligations contractuelles non respectées
  • frais de monitoring pour les clients
  • les conséquences pécuniaires d’un préjudice causé à des tiers consécutif à cette violation

 

Ransomware : une cyber-assurance pour protéger votre entreprise ?

Face à ces fuites de données, à ce chantage à la rançon, l’entreprise subit généralement de plein fouet les conséquences de cette attaque.

Comment négocier avec des cybercriminels ? Faut-il payer la rançon ? Comment gérer la crise en interne, les déclarations légales vis-à-vis du RGPD et de la CNIL ? Comment supporter les conséquences financières de cette attaque ? Comment redémarrer rapidement, faire face à la crise, gérer les notifications clients et éventuelles réclamations ??

Un bon contrat de cyber assurance adapté à votre entreprise, proposé par un spécialiste de la cyber assurance vous aidera sur tous ces points. Il est essentiel ici de rappeler que les risques cyber ne font qu’évoluer, et qu’il est essentiel de s’appuyer sur un courtier expert dans le domaine, seul capable de vous conseiller et de vous accompagner efficacement en cas de cyber attaque. Tous les contrats de cyberassurance ne vous couvrent pas de la même façon. Un courtier spécialisé saura vous conseiller et vous accompagner dans la durée.

 

ASSURANCE RANSOMWARE : NOS CONCLUSIONS

Dans leur volonté d'augmenter la pression sur leurs victimes afin de les obliger à payer, avec la diffusion des données confidentielles et personnelles, les attaques de type ransomware changeront à l'avenir de statut et constitueront une violation de données personnelles. L'entreprise devra dès lors, dans un soucis de respect du Réglement Général de la Protection des Données (RGPD), faire face à ses obligations légales et en supporter des conséquences financières. 

Grace à un taux de réussite toujours plus élevé (nombre d’entreprises acceptant de payer afin d’éviter de voir certaines informations confidentielles diffusées), il est fort probable que 2020 ouvre la voie à un nombre de cyber attaques toujours plus élevées, et qu'un nombre toujours plus élevé de cybercriminels s'engagent dans ce nouveau mode opératoire !

 Marc-Henri BOYDRON

cyber_assurance

Revenir aux articles

Nos offres Cyber Assurance

Assurance cyber

Faire face à une cyber attaque

  • Assistance - Gestion de crise 24/7
  • Atteinte aux données / RGPD

Transférer le risque financier d'une cyber attaque

  • Prise en charge des dommages subis
  • Responsabilité civile cyber
Notre couverture Cyber
Offre Abonné

Cyber prévention

Vous préparer à une cyber attaque

  • Cyber diagnostic préventif
  • Service Security Rating
  • Surveillance exposition web 24/7
  • Entrainement au Phishing
  • Plateforme sensibilisation cybersécurité
  • Exercice entrainement à une cyber crise
Notre service prévention

Diagnostic Cyber

Demandez un diagnostic gratuit de votre exposition aux risques numériques.

Obtenez votre devis
Diagnostic Cyber

01 89 73 01 15