5 types de ransomware courants

Les ransomware constituent désormais une menace sérieuse pour les entreprises et les particuliers du monde entier. Le rapport Coveware by Veeam du 4e trimestre 2024 fait état d’une moyenne trimestrielle de paiement de rançons de 553 959 $ (soit une augmentation de 16 % par rapport au 3e trimestre 2024), le paiement médian au 4e trimestre 2024 étant de 110 890 $. Alors que toutes les formes de virus, de ver ou de logiciel malveillant peuvent être dangereuses, les ransomwares peuvent être particulièrement dommageables car ils visent à extorquer des fonds à la victime de l’infection sous la menace de pertes ou de fuites de données.

Cet article explique les types de ransomware courants, leur fonctionnement et les moyens par lesquels les utilisateurs et les administrateurs système peuvent réduire le risque d’infection.

Quels sont les cinq types de ransomware ?

Les ransomwares peuvent être divisés en cinq grandes catégories selon la menace qu’ils représentent pour leurs victimes.

• Lockers : Ce type de ransomware bloque l’accès des utilisateurs à leur machine et exige de la victime qu’elle transmette le paiement à l’attaquant (généralement en cryptomonnaie) pour déverrouiller l’accès. L’avertissement peut inclure une menace de suppression des données de l’utilisateur s’il ne se conforme pas dans un délai donné.
• Crypto-ransomware : cette variante s’apparente aux lockers, à ceci près qu’elle nécessite une étape supplémentaire de chiffrement des fichiers de la victime pour l’empêcher de récupérer les données du système tant que la rançon n’est pas payée. Certaines victimes ne parviennent toujours pas à restaurer tous les fichiers chiffrés, même après avoir payé la rançon.
• Scarewares : Les scarewares sont moins perturbateurs que les autres types de ransomware. Il affiche un faux avertissement à la victime, lui indiquant que son système est infecté par un cheval de Troie ou un virus et lui demandant d’acheter un produit pour résoudre le problème.
• Doxware/Leakware : Plutôt que de restreindre l’accès aux données ou de menacer de les supprimer, les développeurs de doxware menacent de publier les documents sensibles trouvés sur les machines infectées. Les doxwares et scarewares se chevauchent parfois, les utilisateurs de sites Web pirates étant ciblés par des ransomwares qui menacent d’alerter les autorités qu’ils ont téléchargé des fichiers illicites.
• Ransomwares en mode service (RaaS) : Des pirates professionnels offrent leurs services à des attaquants non qualifiés. Les pirates distribuent le rançongiciel, acceptent les paiements et gèrent le décryptage pour leurs clients en échange d’un pourcentage du paiement.

Les ordinateurs peuvent être infectés accidentellement par des rançongiciels parce que les utilisateurs téléchargent des logiciels infectés à partir de sites Web malveillants ou via des attaques ciblées. Une plaisanterie courante consiste à dire que les logiciels malveillants s’accompagnent désormais d’un service après-vente, car les pirates aident les victimes à acheter les cryptomonnaies et à les transférer pour payer la rançon.

Exemples de souches de ransomware

Il existe plusieurs souches de ransomware, chacune dotée d’un mécanisme d’infection. Voici quelques-unes des souches de ransomware les plus connues :

• Akira: ce ransomware a été observé pour la première fois en mars 2023. Akira ciblait initialement les systèmes Windows, mais une variante Linux a été lancée en avril 2023. Il aurait touché plus de 250 organisations et rapporté aux pirates plus de 42 millions de dollars de rançon.
• RansomHub : Lancé en février 2024, RansomHub est une forme de ransomware qui chiffre et exfiltre des données. Jusqu’à présent, il a fait plus de 200 victimes, y compris des organismes de santé publique et gouvernementaux. Les méthodes d’exfiltration de données de RansomHub varient en fonction du groupe qui utilise l’outil.
• Blacksuit (Royal) : le ransomware Royal est une souche relativement nouvelle lancée en 2023. Il exfiltre les données et publie en ligne les données de la victime si celle-ci refuse de payer la rançon. Les cibles sont généralement de grandes entreprises, et les demandes de rançon s’élèvent à $60 millions.
• Cicada3301 : Présentant de nombreuses similitudes avec BlackCat, Cicada3301 est écrit en Rust. C’est aujourd’hui un outil fréquemment utilisé par les pentesters Black Hat qui cherchent à gagner de l’argent en tant qu’affiliés du ransomware. Il cible principalement les petites et moyennes entreprises et peut infecter des systèmes d’exploitation et des architectures modernes couramment répandus.
• Brouillard: Observé pour la première fois dans la nature en mai 2024, Fog est un ransomware qui ciblait initialement des établissements d’enseignement basés aux États-Unis. Rapide, il peut passer de l’intrusion initiale à l’exfiltration et au chiffrement des données en à peine deux heures. Le ransomware utilise une application de bureau à distance légitime pour ses communications de commande et de contrôle, ce qui rend difficile la détection des activités malveillantes aux premiers stades de l’infection.
• Qilin : Cet opérateur de ransomware en mode service est apparu en 2022 et a acquis sa notoriété en 2024 après avoir publié des données siphonnées auprès de Synnovis, un prestataire du service national de santé (NHS) du Royaume-Uni. Qilin paie à ses affiliés 80 % des rançons qu’ils perçoivent et a infecté de nombreuses grandes entreprises aux États-Unis et en Europe.

FAQ sur les ransomwares

Les réponses aux questions fréquemment posées vous aideront à mieux connaître les attaques par ransomware.

Quel est le type d’attaque par ransomware le plus courant ?

Le crypto-ransomware constitue le type d’attaque le plus courant. Ce type de ransomware chiffre les fichiers de la victime pour l’empêcher d’y accéder tant qu’elle n’a pas payé la rançon. Dans de nombreux cas, même une fois la rançon payée, les données restent irrécupérables.

Quels sont les quatre vecteurs de ransomware les plus utilisés ?

Les quatre vecteurs d’attaque les plus courants des ransomwares sont les pièces jointes aux e-mails, les fenêtres contextuelles dans les navigateurs, les messages instantanés et les SMS. La plupart des attaques trompent l’utilisateur et le poussent à exécuter un fichier exécutable malveillant.

Quelles sont les trois principales causes d’attaques par ransomware réussies ?

Les causes les plus courantes d’attaques par ransomware sont les erreurs des utilisateurs, telles que les attaques de phishing ou les mauvaises pratiques de cybersécurité. Par exemple, l’installation d’un logiciel provenant d’une source inconnue, le clic sur un lien malveillant ou le branchement de périphériques USB inconnus sur un ordinateur peuvent favoriser une infection par ransomware.

Protégez-vous contre les ransomwares avec Veeam

Les entreprises peuvent prendre plusieurs mesures pour se protéger contre les ransomwares.

L’utilisation d’un logiciel antivirus et d’outils de blocage des publicités peut réduire la probabilité d’une infection. Une autre mesure de précaution importante consiste à effectuer régulièrement des mises à jour de sécurité.

Cependant, les solutions techniques ont leurs limites. Il est important de former vos employés à la cybersécurité afin qu’ils soient moins susceptibles de tomber dans le piège d’attaques de phishing ou de tentatives d’ingénierie sociale.

Même avec ces précautions, le risque d’être victime d’une nouvelle attaque demeure. C’est là que la protection contre les ransomwares de Veeam peut vous sauver la mise. Les ransomwares modernes sont si sophistiqués que certaines variantes peuvent désactiver la restauration du système Windows et accéder aux sauvegardes de votre lecteur réseau, ce qui vous empêche de les utiliser pour restaurer vos données. Nous recommandons aux entreprises de suivre la règle du 3-2-1-1-0 pour garantir une protection des données maximale. Même si vos sauvegardes réseau sont affectées d’une façon ou d’une autre par un ransomware, vous pouvez toujours compter sur une sauvegarde hors site et hors ligne en cas d’urgence.

Si vous souhaitez en savoir plus sur la manière dont Veeam Backup et Replication peut vous aider à protéger vos données contre les ransomwares, contactez-nous dès aujourd’hui pour parler à un représentant commercial ou planifier une démonstration.