verifuite

Type de menace

Ransomware

Ransomware

Un ransomware (ou rançongiciel) est un type de logiciel malveillant sophistiqué conçu pour bloquer l'accès au système informatique ou aux fichiers d'une organisation en les chiffrant. Les cybercriminels exigent ensuite le paiement d'une rançon (souvent en cryptomonnaie) en échange de la clé de déchiffrement.

Depuis 2019, la quasi-totalité des groupes de ransomwares pratiquent ce que l'on appelle la double extorsion : avant même de chiffrer les postes de travail et les serveurs, ils exfiltrent discrètement d'énormes volumes de données confidentielles. S'ils estiment que l'organisation ne paiera pas, ils menacent de publier ces données pour forcer la main de la victime.

Pourquoi cela provoque-t-il des fuites de données ?

Lorsqu'une victime refuse de céder au chantage et de payer la rançon (ce qui est d'ailleurs recommandé par les autorités), le groupe cybercriminel met sa menace à exécution. Il publie les données volées sur son site de fuite (ou leak site), souvent hébergé sur le dark web.

Ces publications massives sont à l'origine d'une immense partie des fuites recensées aujourd'hui. Les données exposées peuvent inclure :

  • Ressources Humaines : fiches de paie, numéros de sécurité sociale, copies de pièces d'identité, contrats de travail, dossiers médicaux.
  • Données clients : bases de données contenant e-mails, adresses postales, numéros de téléphone et historiques d'achats.
  • Propriété intellectuelle : codes sources, plans industriels, brevets en cours.

Exemples récents et groupes connus

L'écosystème du ransomware est très organisé, fonctionnant souvent sur le modèle du Ransomware-as-a-Service (RaaS), où les développeurs louent leur logiciel à des "affiliés" qui s'occupent de l'intrusion.

  • LockBit : Un des groupes les plus prolifiques au monde. Bien que fortement perturbé par des opérations policières internationales en 2024, il a revendiqué des attaques contre des hôpitaux, des mairies, et de grandes entreprises françaises (ex: l'Hôpital de Cannes, La Poste Mobile via un prestataire).
  • Play : Connu pour cibler de nombreuses collectivités locales et entreprises de taille intermédiaire en France (ex: la ville de Lille, Département du Loiret).
  • Medusa et Alphv (BlackCat) : D'autres groupes redoutables ayant ciblé l'éducation, la santé et l'industrie.

Que faire en tant qu'organisation ?

La prévention est la seule véritable ligne de défense efficace :

  • Sauvegardes saines et isolées : Maintenir des sauvegardes hors-ligne (ou immuables), testées régulièrement pour s'assurer de la capacité à restaurer les systèmes.
  • Cloisonnement du réseau : Segmenter les réseaux pour empêcher la propagation latérale (lorsque le pirate passe d'un poste infecté aux serveurs critiques).
  • Authentification forte (MFA) : Imposer l'authentification à double facteur sur tous les accès distants (VPN, webmail).
  • Plan de réponse à incident : Préparer et tester à l'avance les procédures de crise pour réagir rapidement sans paniquer.

Sources : ANSSI (CERT-FR) · CISA (StopRansomware)

Dernières fuites liées

Aucune fuite recensée pour le moment.