Voici à quelle vitesse un ransomware peut chiffrer tous vos fichiers

Voici à quelle vitesse un ransomware peut chiffrer tous vos fichiers

Il ne faut que cinq minutes à l’une des formes les plus prolifiques de ransomware – ou rançongiciel – pour chiffrer 100 000 fichiers, ce qui montre à quelle vitesse un ransomware peut devenir une crise majeure de cybersécurité pour la victime d’une attaque. Les chercheurs de Splunk ont testé la rapidité avec laquelle 10 grandes souches de ransomware ont chiffré des données. Leurs résultats sont pour le moins effrayants.

Le ransomware LockBit s’impose d’emblée comme le plus véloce. Il lui suffit d’un délai médian de seulement 5 minutes et 50 secondes pour chiffrer 100 000 fichiers. Dans l’un des tests réalisés par Splunk, LockBit n’a mis que 4 minutes et 9 secondes pour chiffrer des fichiers de 53,83 Go sur différents systèmes d’exploitation Windows et spécifications matérielles. LockBit constitue, rappelons-le, l’une des formes les plus prolifiques de ransomware en 2022.

Les auteurs de ce ransomware se sont même vantés d’avoir donné vie à la forme la plus rapide de ransomware. L’analyse des chercheurs de Splunk semble montrer que la vantardise des cybercriminels est malheureusement exacte.

publicité

BitLocker en pôle position

Les rançongiciels sont l’un des problèmes de cybersécurité les plus importants auxquels les organisations sont confrontées aujourd’hui. Les pirates s’introduisent dans les réseaux avant de chiffrer les fichiers et les serveurs et d’exiger le paiement d’une rançon pour obtenir la clé de déchiffrement. Ces demandes de rançon peuvent atteindre des millions de dollars et beaucoup d’entre elles s’accompagnent d’un niveau supplémentaire d’extorsion, avec des menaces de publication des données volées si la rançon n’est pas payée.

Parmi les variantes de ransomware testées, le temps moyen médian de cryptage des fichiers de l’échantillon était de 42 minutes et 52 secondes. Si LockBit a été le plus rapide à chiffrer les fichiers, Babuk ransomware n’est pas loin derrière, avec un temps médian de 6 minutes et 34 secondes pour chiffrer les données. Il a suffi d’un délai médian de 13 minutes et 15 secondes au ransomware Avaddon pour chiffrer des données, contre 14 minutes et 30 secondes pour Ryuk et 24 minutes et 16 secondes pour REvil – l’un des groupes de ransomware les plus prolifiques en 2021. 

Le ransomware BlackMatter a mis 43 minutes et 3 secondes pour chiffrer les fichiers, Darkside – célèbre pour l’attaque par ransomware Colonial Pipeline – a mis 44 minutes et 52 secondes et Conti – connu pour une série d’incidents très médiatisés – a mis un temps médian de 59 minutes et 34 secondes pour chiffrer les 54 Go de fichiers de test. Les ransomwares Maze et PYSA sont les plus lents à crypter les fichiers, prenant chacun 1 heure et 54 minutes pour le faire.

Des parades existent

Bien que le chiffrement le plus lent prenne presque deux heures de plus que le plus rapide, ce n’est toujours pas une durée significative – et cela pourrait facilement passer inaperçu jusqu’à ce qu’il soit trop tard si les cybercriminels ont déclenché l’attaque du ransomware en dehors des heures de travail, comme la nuit ou le week-end. Dans tous les cas, il est difficile d’empêcher une attaque par ransomware une fois que la progression du chiffrement a déjà commencé – ce qui signifie que la meilleure forme de défense contre les ransomwares est de sécuriser le réseau dès le départ.

Deux des techniques les plus courantes utilisées par les cybercriminels pour compromettre les réseaux en vue d’attaques par ransomware sont l’exploitation de mots de passe faibles ou compromis pour les protocoles de bureau à distance et la mise à profit de vulnérabilités non corrigées dans les logiciels.

Il est donc essentiel d’encourager les utilisateurs à utiliser des mots de passe forts pour leurs comptes afin d’éviter toute compromission, et de les accompagner d’une authentification multifactorielle comme barrière supplémentaire contre les attaques. Les services de sécurité de l’information et les services informatiques doivent savoir ce qui se trouve sur leurs réseaux et qui en fait partie, afin de pouvoir corriger les vulnérabilités qui apparaissent et identifier les activités potentiellement suspectes avant qu’une attaque à grande échelle ne soit lancée.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *