Un rançongiciel peut aussi être le résultat d’une attaque de la chaîne d’approvisionnement, comme en 2021 lors de l’incident Kaseya (Kaseya incident), qui a exploité une vulnérabilité de la plateforme de gestion informatique de l’entreprise pour amplifier fortement la portée du rançongiciel dans un nombre incalculable d’organisations au niveau mondial.
Lorsqu’une attaque par rançongiciel a lieu, l’attention se porte souvent sur les demandes de rançon exorbitantes et les dilemmes éthiques et juridiques liés au paiement (ethical and legal conundrums over payment). Le traumatisme organisationnel et humain subi par les victimes est décuplé lorsque l’incident est aggravé par l’exfiltration de données et les menaces de divulgation.
De nombreuses données illustrent qu’un incident de rançongiciel réussi coûte très cher aux victimes. Dans son rapport « Cost of a Data Breach Report 2024 », IBM estime le coût moyen de récupération d’une telle attaque à près de 5 millions d’euros. Les organisations victimes d’une attaque disposent généralement de trois solutions : restaurer leurs données à partir de sauvegardes, obtenir un outil de déchiffrement de chercheurs en sécurité (comme ceux impliqués dans l’initiative « No More Ransom ») ou payer la rançon en échange d’un déchiffreur. Mais si aucune de ces options ne fonctionne ?
Souvent, les attaquants ciblent aussi les systèmes de sauvegarde de leurs victimes, les corrompant ou les chiffrant avant de déployer le rançongiciel sur les environnements de production. Les outils de déchiffrement développés par les chercheurs sont plus judicieux en dernier recours, car souvent ils ne répondent pas à l’urgence des besoins de reprise d’activité.
Mais en plus d’éventuels pièges juridiques et réglementaires, payer ne garantit absolument rien. Colonial Pipeline l’a appris à ses dépens lorsque les outils de décryptage qui lui ont été fournis contre une rançon de plusieurs millions étaient si médiocres que la restauration des systèmes à partir de sauvegardes a été la seule option valable. (Remarque : par la suite, le ministère américain de la Justice a récupéré la majeure partie de la rançon (recovered most of the ransom).
ESET Ransomware Remediation entend apportre une nouvelle approche à ce problème, combinant prévention et remédiation. Le système crée des sauvegardes de fichiers ciblées, inaccessibles aux criminels, par un processus qui se déclenche dès que le risque est évident, donc dès la détection d’une éventuelle tentative de rançongiciel. Les sauvegardes de données étant souvent ciblées, cette approche permet de réduire l’utilisation involontaire des sauvegardes compromises.
