Un « ransomware » ou rançongiciel est un malware dont le mode de fonctionnement passe par le chiffrement des données de l’utilisateur afin de lui extorquer une somme d’argent contre la clé de déchiffrement. L’attaquant réclame la rançon sous forme de cryptomonnaies afin de ne pas être identifié par les autorités. La rançon varie de quelques centaines voire quelques milliers de dollars à plusieurs millions de dollars, en fonction de la taille de la cible. Une entreprise peut voir une large partie de son parc de postes utilisateurs infectés, voire des serveurs critiques, certains ransomware peuvent réaliser ce que l’on appelle des déplacements latéraux d’un poste à un autre. Certains cherchent notamment à rendre inutilisables les serveurs de backup afin de ne laisser aucune autre alternative à la victime que de payer pour récupérer ses données. Cependant, verser la rançon ne constitue en rien une garantie que la clé qui sera fournie soit efficace et permettra de déchiffrer le contenu des disques durs. De même, une entreprise attaquée, qu’elle paye ou non la rançon, doit immédiatement renforcer sa sécurité car rien ne lui garantit de ne pas être attaquée une seconde fois.
S’il est communément admis que le ransomware est apparu pour la première fois en 1989 avec le cheval de Troie baptisé AIDS, « Aids Info Disk » ou encore PC Cyborg Trojan qui s’installait dans le fichier AUTOEXE.BAT de MS/DOS, ce mode d’attaque s’est très largement développé à partir de 2012 comme le notait alors le bureau d’enregistrement des plaintes du FBI (Internet Crime Complaint Center / IC3). Depuis, l’industrie du ransomware s’est structurée et on a vu émerger des offres de type « Ransomware as a Service », où un utilisateur lambda sans connaissances techniques spécifiques peut commander en ligne une attaque s’appuyant sur des ransomware prêts à l’emploi.
Outre une protection renforcée des postes clients et des serveurs notamment au moyen de solutions de protection endpoint Next-Gen ou de solution de type EDR, la parade contre une attaque de ransomware consiste à mettre en place des solutions de sauvegarde des données efficaces et surtout à l’abri des attaquants. C’est le seul moyen de reconstituer un système d’information après une attaque en limitant au maximum les pertes de données.