Les attaques par rançongiciels sont habituellement causées par un logiciel malveillant qui « bloque l’accès aux données d’un appareil. Lorsqu’un rançongiciel infecte un appareil, il verrouille son écran ou chiffre tous les fichiers qu’il contient », résume le CCC. S’ensuit habituellement une demande de « rançon », payable en monnaie numérique, en contrepartie d’une « clé » permettant de déverrouiller l’appareil.
« L’attaquant impose habituellement une limite de temps pour que la victime paie la rançon. Après ce délai, l’attaquant peut hausser le montant de la rançon ou menacer la victime de détruire tous ses fichiers pour qu’elle ne puisse jamais les récupérer », selon le CCC.
Les attaques par rançongiciels sont en croissance à travers le monde et les dommages causés aux entreprises et aux organisations devraient atteindre 20 milliards de dollars (G$) pour l’année 2021, estime Aon.
La multinationale britannique, qui est notamment active dans les domaines de la gestion des risques, du courtage d’assurance et de la réassurance, évoque des rapports mondiaux faisant état d’une augmentation de plus de 715 % de ce type d’attaque entre 2019 et 2020, et d’une croissance de 60 % de la valeur des paiements découlant d’attaques par rançongiciel depuis 2019.
Le fait est que personne n’est à l’abri de ce type de menace. Elles frappent indépendamment des citoyens, de petites entreprises, de grandes entreprises privées et des organismes gouvernementaux. Les gestionnaires de patrimoine et les conseillers du secteur financiers sont pour leur part des cibles particulièrement attrayantes, estime John O’Connell, président et fondateur de The Oasis Group, une firme de consultation en entreprise basée au New Jersey.
« Les gestionnaires de patrimoine détiennent certaines données clients parmi les plus sensibles en lien direct avec leurs finances, ce qui représente une mine d’or potentielle pour un cybercriminel », affirme-t-il dans un entretien à InvestmentNews.com.
Selon lui, subir une telle attaque ne se limite pas au coût de la rançon. Les dommages peuvent s’étendre également aux clients et entraîner ultimement un coût réputationel pour la victime. « Dans le cas où vous refusez de payer la rançon, peut-être les pirates choisiront-ils de vendre vos informations sur Internet au plus offrant via le Dark Web, ou feront-ils savoir que vous êtes ciblés afin que les vendeurs à découvert puissent vendre vos actions à découvert, ce qui vous endommagerait encore davantage la situation », illustre John O’Connell.
Prévenir les risques
Le CCC est d’avis qu’un certain nombre de mesures peuvent être prises afin de minimiser les risques associés à ce type d’attaque.
Parmi celles-ci, on évoque la formation du personnel en matière de sécurité informatique. « Peu importe les fonctions de sécurité activées sur un appareil, si un lien malveillant est ouvert, l’appareil risque d’être compromis. Il est donc très important que le personnel sache détecter les tentatives d’hameçonnage », écrit le CCC.
Il suggère aussi de sauvegarder régulièrement les données et de les conserver hors ligne. « Même si un rançongiciel n’a infecté qu’un seul appareil du réseau, il peut se propager au réseau complet rapidement et à l’insu du propriétaire ». C’est pourquoi le CCC évoque l’importance de « veiller à ce que vos copies de sauvegarde ne soient pas connectées à Internet ni à un réseau local ».
Plusieurs souches de rançongiciel étant transmises au moyen de pièces jointes de Microsoft Office, le CCC suggère de désactiver par défaut les macros afin d’éviter que la charge de virus du rançongiciel soit téléchargée et exécutée au moment où un utilisateur ouvre une telle pièce jointe. Assurez-vous que « le personnel est au courant qu’une invitation à activer des macros peut représenter un signal d’alarme ».
En cas d’attaque
« Si vous êtes victime d’un rançongiciel, sachez que le paiement de la rançon ne garantit en aucun cas le déchiffrement de vos fichiers par l’auteur de menace », rappelle le CCC.
L’organisme suggère ainsi, en cas d’attaque, d’isolez immédiatement l’appareil infecté, en retirant son accès à Internet et à tout autre réseau, de manière à empêcherez « que l’infection se propage à d’autres dispositifs qui y sont connectés ou aux services infonuagiques que vous utilisez ».
On suggère par la suite de réinitialisez l’appareil infecté et d’effacez toutes les données qu’il contient, après quoi vous serez en mesure de restaurer les fichiers à partir d’une copie de sauvegarde non altérée. Il serait ensuite d’effectuer une mise de mettre à jour de l’ensemble des appareils, changer les mots de passe des utilisateurs, puis de signaler le crime.
Le CCC est d’avis que les organisations devraient se préparer à prévenir les attaques par rançongiciel. À cet égard, il les invite à procéder à des simulations d’attaque par rançongiciel afin de tester notamment les procédures de récupération de données permettant de rétablir les systèmes.
« La décision de payer ou non un auteur de cybermenace devrait être fondée sur la tolérance au risque de votre organisation », rappelle le CCC.