Le ransomware est un logiciel malveillant qui pénètre dans le système cible d’une entreprise, crypte les données de grande valeur, ensuite, exige une rançon pour les restaurer. Ces attaques sont devenues de plus en plus récurrentes et représentent une réelle menace pour la croissance et même la survie des entreprises. Il est donc légitime de se poser la question de savoir qui est derrière le ransomware.
Comment connaître qui derriere ransomware ?
Les auteurs de ransomware, pour ne pas se faire repérer, demandent à leurs victimes de leur verser des rançons sous forme de cryptomonnaie. Heureusement, il existe aujourd’hui des outils spécifiques qui permettent de décrypter le fonctionnement de ces criminels. Ces outils agissent en suivant l’argent obtenu après une attaque et en analysant leur méthode de retrait. Cette analyse aboutit généralement sur une plateforme qui reçoit un maximum de cryptomonnaies. Ensuite, il faut identifier les mixeurs qui procèdent au blanchiment des monnaies virtuelles collectées. L’acteur suivant à repérer est la plateforme d’échange peer-to-peer. À cette étape, les forces de l’ordre peuvent intervenir pour mettre le grappin sur cette entreprise. Cette dernière devra dénoncer les criminels responsables de cette attaque.
L’utilisation de ces outils permet de mettre en évidence plusieurs catégories de cybercriminels :
- Les bandes criminelles organisées agissent au travers de spams qui envoient à grande vitesse des virus ou des logiciels malveillants à leurs potentielles victimes. Leurs agissements sont facilités grâce à leur collaboration avec des réseaux de crime et de blanchiment d’argent déjà bien structurés.
- Les ransomwares d’État : ces acteurs agissent pour des États lourdement sanctionnés, afin de dérober de l’argent aux autres pays, ou tout simplement pour les affaiblir.
Comment savoir si vous êtes la cible d’une attaque ransomware ?
Avant de détecter qui est derrière un ransomware, il faut pouvoir reconnaître que vous êtes la cible d’une telle attaque. Voici cinq signaux qui vous aideront à le savoir :
- La présence de Mimikatz : il s’agit d’un des outils les plus utilisés par les cybercriminels. Alors, si vous repérez Mimikatz dans le système informatique de votre structure et qu’aucun admin ne semble en être responsable, vous devez mener une investigation pour savoir si vous êtes attaqué par des pirates.
- La détection d’un scanner réseau : il est utilisé pour rechercher des informations sur l’entreprise (nom de domaine, nom de l’entreprise type de droit admin…).
- La présence d’outils de désactivation de logiciels antivirus : après avoir eu accès à votre système informatique, les criminels voudront certainement désactiver les logiciels de sécurité présents dans vos machines. Alors toute apparition subite de tels outils ne doit pas être prise à la légère.
Comment éviter les attaques ransomware ?
Face à la récurrence de ces attaques, il est important de prendre des mesures efficaces pour les éviter. Voici quelques conseils pour y parvenir :
- Éviter de cliquer sur des liens suspects non vérifiés qui se retrouvent par exemple dans un e-mail de spam.
- Utiliser des outils d’analyse d’e-mails pour déceler les logiciels suspects.
- Avoir recours aux pare-feu et penser à protéger les endpoints
- Faire des téléchargements uniquement sur des sites fiables
- Conserver des copies des données importantes sur un autre appareil que votre ordinateur.