Double extorsion : le nouveau fléau du rançongiciel

La double extorsion, une évolution redoutable dans l’arsenal des ransomwares, ou rançongiciels en français, pose un défi majeur en matière de cybersécurité. Cette tactique, qui combine le cryptage des données avec la menace de leur publication, intensifie la pression sur les victimes. Cette méthode force les entreprises à jongler entre la restauration de l’accès à leurs fichiers et la prévention de fuites de données confidentielles. Ce phénomène, crucial pour les professionnels de la cybersécurité et les entreprises, nécessite une compréhension approfondie pour élaborer des stratégies de défense efficaces.

Évolution des tactiques de ransomware

Les attaques de ransomware, présentes depuis un certain temps, ont constamment évolué, malgré les efforts considérables des experts en sécurité pour les contrer. Alors que des méthodes ont été développées pour diminuer leur prévalence, les techniques des acteurs malveillants ont progressé au même rythme, continuant ainsi à causer des dommages considérables.

L’émergence de la double extorsion

En 2019, le monde a été témoin d’une nouvelle méthode d’attaque par ransomware : la double extorsion. Cette tactique a été utilisée par le groupe malveillant The Maze, qui a ciblé Allied Universal, une entreprise de sécurité. En guise d’avertissement pour non-conformité, 10 % des données volées à cette entreprise ont été rendues publiques. Le groupe Maze a également exigé une rançon de 3,5 millions de dollars, menaçant de divulguer les 90 % restants des données.

L’escalade en 2020 et au-delà

L’année 2020 a vu l’adhésion de groupes malveillants tels que REvil, Ragnar-locker et Lockbit, rejoignant The Maze dans l’exploitation dévastatrice des entreprises. Plus de 1200 entreprises sont tombées victimes de cette tactique, entraînant des coûts d’environ 20 milliards de dollars en 2021, avec des projections atteignant des centaines de milliards de dollars pour les années à venir. Parmi les entreprises touchées, Cognizant, un important prestataire de services informatiques, a perdu environ 70 millions de dollars à cause de cette attaque, l’une des plus létales de l’histoire.

Un exemple notable en France est celui de Bouygues Construction, victime du ransomware Maze en janvier 2020. Cette attaque a provoqué l’arrêt complet de son système informatique, avec une rançon de 10 millions de dollars exigée par les cybercriminels. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a souligné l’impact potentiel élevé de Maze sur les entreprises, combinant des demandes de rançon élevées avec le risque de divulgation de données internes.

Vers une complexité accrue : la quadruple extorsion

Alors que notre focus reste sur la double extorsion, une tendance alarmante se dessine avec l’émergence de stratégies encore plus complexes, telles que la quadruple extorsion. Cette méthode, qui représente une escalade significative dans les tactiques de ransomware, combine le chantage traditionnel à une attaque par déni de service distribué (DDoS). Cette addition crée une double menace, paralysant non seulement les données de l’entreprise mais menaçant également de perturber ses opérations en ligne. Cela souligne une évolution inquiétante vers des attaques de plus en plus sophistiquées et multidimensionnelles dans le paysage des menaces cybernétiques.

Qu’est-ce que la double extorsion ?

Née de l’évolution des techniques employées par les auteurs de ransomwares, la double extorsion implique non seulement le chiffrement des données de la victime, mais également leur vol et divulgation en cas de non-paiement de la rançon demandée. Dans ce scénario, les cybercriminels menacent ainsi de rendre publiques ou de revendre les données sensibles dérobées si la rançon n’est pas payée.

Comment se protéger contre la double extorsion ?

Pour éviter de tomber victime d’une attaque de double extorsion, il est essentiel de mettre en place des mesures de sécurité adéquates :

Maintenir à jour ses logiciels : la plupart des ransomwares exploitent des vulnérabilités dans les systèmes d’exploitation et les logiciels. Il est donc crucial de veiller à ce que toutes les mises à jour de sécurité soient installées régulièrement.
Former les collaborateurs : les attaques par rançongiciel se propagent souvent grâce au « hameçonnage » (phishing), qui consiste à tromper les internautes pour les amener à divulguer leurs identifiants ou à télécharger des fichiers malveillants. Un programme de formation continue sur les bonnes pratiques en matière de cybersécurité peut grandement contribuer à réduire les risques d’infection.
Réaliser des sauvegardes régulières : disposer d’une copie de sauvegarde actualisée des données stockées sur ordinateur est un élément clé de la prévention contre les ransomwares et permet de récupérer ses fichiers sans avoir à payer de rançon.
Utiliser des solutions de sécurité performantes : outre un antivirus à jour, une solution complète de protection contre les logiciels malveillants incluant une fonctionnalité anti-ransomware peut aider à bloquer les menaces avant qu’elles n’affectent vos fichiers.

Mesures de mitigation contre la double extorsion

Afin de contrer efficacement la menace de la double extorsion, les entreprises doivent adopter une approche de cybersécurité proactive et multicouche :

Politique de confiance zéro : Adoptez une approche de sécurité basée sur le principe de « ne jamais faire confiance, toujours vérifier ». Limitez l’accès aux réseaux et aux données sensibles uniquement aux utilisateurs et dispositifs authentifiés et autorisés. Cela réduit le risque d’accès non autorisé et de mouvements latéraux dans le réseau.
Chiffrement des données : Protégez vos informations contre les accès non autorisés en chiffrant les données sensibles, tant en transit qu’au repos. Le chiffrement rend les données inutilisables pour les attaquants, même s’ils parviennent à les exfiltrer.
Sauvegardes hors ligne : Assurez-vous de disposer de copies de sauvegarde régulières et actualisées, stockées hors ligne ou dans des environnements isolés. Cela garantit la disponibilité de vos données en cas d’attaque et réduit la dépendance à la rançon pour la restauration des données.
Évaluation et correction des vulnérabilités : Menez des audits de sécurité réguliers pour identifier les failles potentielles dans vos systèmes et réseaux. Appliquez rapidement les correctifs et mises à jour de sécurité pour prévenir les exploitations de vulnérabilités par les attaquants.
Surveillance des journaux de données : Mettez en place une surveillance continue des journaux de données pour détecter toute activité suspecte ou anormale. Utilisez des outils d’analyse et de détection des menaces pour identifier rapidement les signes d’une attaque et intervenir avant que les dommages ne soient trop importants.

En intégrant ces mesures de mitigation, les entreprises peuvent renforcer leur posture de sécurité et réduire considérablement les risques associés à la double extorsion, tout en se préparant à répondre efficacement en cas d’attaque.

Les conséquences de la double extorsion pour les entreprises

L’évolution des techniques utilisées par les cybercriminels a des conséquences lourdes pour les organisations. En effet, non seulement elles subissent les conséquences de l’indisponibilité de leurs données et la perte financière associée au versement éventuel d’une rançon, mais elles doivent également faire face aux risques liés à la divulgation de données sensibles, dont :

La violation de la législation sur la protection des données, telle que le Règlement général sur la protection des données (RGPD) en vigueur au sein de l’Union européenne. Les entreprises peuvent ainsi encourir des amendes importantes et voir leur réputation entachée.
La perte de confiance des clients et partenaires, qui pourraient réévaluer leur collaboration avec une organisation victime d’une telle attaque. La fuite d’un plan stratégique ou d’informations commerciales sensibles peut également avoir un impact négatif sur les résultats financiers à long terme de l’entreprise.
Vulnérabilité des associés tiers : Compromission des informations partagées avec des partenaires, comme dans le cas d’Apple Inc. avec Quanta Computer Inc.
L’atteinte à la sécurité nationale, dans le cas où des données volées concernent des infrastructures critiques, telles que les réseaux électriques ou les centrales nucléaires, voire des projets de recherche et développement sensibles.

Face à ces risques, il apparaît primordial pour les entreprises de tous secteurs et de toutes tailles d’investir dans la prévention des menaces liées au ransomware et à la double extorsion, afin de continuer à mener leurs activités en toute sérénité.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.