Attaques de ransomwares en Afrique : les stratégies nationales à l’épreuve et une checklist complète pour se protéger
Devenus une menace à l’échelle mondiale, les ransomwares se déploient de plus en plus dans le cyberespace africain. De nombreuses organisations ou entreprises privées à l’échelle de ces pays en font ces derniers mois les frais. On en veut pour preuve la très récente attaque de l’ASECNA ou encore celle de l’ARTP au Sénégal. Entre la connaissance réelle de la menace, l’investissement dans le domaine de la cybersécurité et la mise en œuvre de politique de sécurité réelle, le gap est visible. Les ransomwares constituent une véritable menace pour tout utilisateur d’appareil numérique.
Qu’est-ce qu’un ransomware ?
Le malware de rançonnage, ou ransomware est un type de malware qui empêche les utilisateurs d'accéder à leur système ou à leurs fichiers personnels en exigeant à la clé le paiement d'une rançon en échange du rétablissement de l'accès. Évitant ainsi que leurs données soient publiées.
Les rançongiciels sont le principal type de cyberattaque auquel sont confrontées les organisations du secteur privé à travers le monde. Les rançongiciels (ransomwares) sont un type de logiciels malveillants utilisés par les cybercriminels (souvent des groupes de hackers) pour accéder au système d'une organisation. Les attaques par ransomware entraînent généralement des perturbations très coûteuses sur le fonctionnement de l’entreprise victime ainsi que parfois la perte de données essentielles.
Les types de ransomwares : Les deux types de ransomwares les plus répandus sont les crypteurs et les bloqueurs d'écran. Les crypteurs, comme leur nom l'indique, cryptent les données d'un système, rendant le contenu inutile sans la clé de décryptage. Les bloqueurs d'écran, quant à eux, bloquent simplement l'accès au système à l'aide d'un écran "verrouillé", affirmant que le système est crypté.
Pour preuve la dernière attaque de Lockbit sur l’ASECNA. En 2021, une attaque de ransomware a aussi frappé le 4 juillet un millier d’entreprises dans 17 pays, dont le Kenya et l’Afrique du Sud. 70 millions de dollars, telle est la rançon demandée par les cybercriminels. Des raisons de plus donc de croire que le continent africain est devenu une cible de choix. L'état des lieux de la maturité cyber en Afrique francophone fait une belle fixation sur des chiffres clés non négligeables : dans l’étude réalisée en 2021 par le cabinet Deloitte auprès de 210 entreprises dans 11 pays, 40 % des entreprises africaines ont enregistré « une augmentation du nombre d'incidents » depuis l'arrivée de la pandémie de Covid-19. Kaspersky estime dans une autre étude qu’entre janvier et août 2020, l'Afrique a été la cible de 28 millions de cyberattaques causant ainsi un manque à gagner global sur le continent de 4,12 milliards de dollars lié au cybercrime. Soit près de 10% de PIB, pour l'année 2021.
Les méthodes les plus courantes pour accéder au système d'une organisation lors d'une attaque par ransomware sont les suivantes :
- Ingénierie sociale : un cybercriminel cible une personne au sein d'une organisation et le manipule pour qu'elle lui donne accès. Ces attaques ont généralement pour origine des courriels de phishing, des sites web trompeurs et des publicités en ligne
- Exploitation des vulnérabilités d'un système connecté à Internet : les cybercriminels analysent internet pour découvrir et envoyer des instructions de logiciels malveillants aux systèmes qui n'ont pas été corrigés ou configurés pour remédier aux vulnérabilités connue
- Compromission de la chaîne d'approvisionnement : des hackers très expérimentés peuvent compromettre des produits ou services tiers, tels que des logiciels libres, utilisés par une organisation pour obtenir un accès direct à un réseau
Les attaques par ransomware offrent la possibilité de causer de graves préjudices aux personnes et aux organisations, notamment l'interruption des fonctions internes et de la prestation de services, des pertes financières, une atteinte à la réputation et des répercussions négatives sur les personnes compromises. Alors qu'à l'origine, ils visaient principalement les ordinateurs personnels, les ransomwares de chiffrement ciblent de plus en plus les utilisateurs professionnels, car les entreprises sont souvent prêtes à payer plus que les particuliers pour débloquer les systèmes critiques et reprendre leurs activités quotidiennes.
Qui est sujet à risque ?
Tout appareil connecté à Internet risque de devenir la prochaine victime d'un ransomware. Les ransomwares analysent un appareil local et tout stockage connecté au réseau, ce qui signifie qu'un appareil vulnérable fait également du réseau local une victime potentielle. Si le réseau local est une entreprise, le ransomware pourrait crypter des documents importants et des fichiers système, ce qui pourrait interrompre les services et la productivité.
Si un appareil se connecte à Internet, il doit être mis à jour avec les derniers correctifs de sécurité logiciels, et il doit être équipé d'un anti-malware qui détecte et arrête les ransomwares. Les systèmes d'exploitation obsolètes, tels que Windows XP, qui ne sont plus maintenus, présentent un risque beaucoup plus élevé.
L'impact des ransomwares sur les entreprises
Une entreprise victime d'un ransomware peut perdre des milliers de dollars en productivité et en pertes de données. Les attaquants qui ont accès aux données font chanter les victimes pour qu'elles paient la rançon en menaçant de divulguer les données et d'exposer la violation des données. Les entreprises qui ne paient pas assez vite peuvent subir des effets secondaires supplémentaires tels que des dommages à la marque et des litiges. Les organisations qui ne paient pas assez vite risquent donc de subir des effets secondaires supplémentaires, tels que l'atteinte à la marque et les litiges.
Pourquoi les ransomwares se répandent-ils ?
Avec l'augmentation du nombre de personnes travaillant à domicile, les cybercriminels ont augmenté leur utilisation du phishing. Le phishing est le principal point de départ de l'infection par les ransomwares. L'e-mail de phishing cible les employés, qu'il s'agisse d'utilisateurs peu privilégiés ou d'utilisateurs très privilégiés. Le courrier électronique est peu coûteux et facile à utiliser, il constitue donc un moyen pratique pour les attaquants de diffuser les ransomwares. La maturité des utilisateurs en termes d’utilisation d’Internet et surtout d’appareils numériques pour travailler est tellement faible en Afrique qu’ils sont facilement des cibles de choix. Les cybercriminels le savent et ne s’en privent pas. La sensibilisation demeure l’un des meilleurs moyens pour mieux aborder la question. Une stratégie efficace contre les ransomwares doit intervenir à plusieurs niveaux.
Alors que le télétravail devient une habitude, les entreprises doivent affiner et renforcer la protection de leurs terminaux, en particulier dans la façon dont elles détectent et bloquent les infections par ransomware. Quels enseignements faut-il tirer du télétravail ? Le livre blanc sur les enseignements disponible en lecture et téléchargement.
Comment réagir et surtout anticiper ?
La charge d'un ransomware est immédiate. Le logiciel malveillant affiche un message à l'intention de l'utilisateur avec des instructions pour le paiement et des informations sur ce qui est arrivé aux fichiers. Il est important que les administrateurs réagissent rapidement, car certains ransomwares tentent de se propager à d'autres endroits du réseau et de trouver des fichiers critiques dans des analyses supplémentaires. Vous pouvez prendre quelques mesures de base pour répondre correctement aux ransomwares, mais notez que l'intervention d'un expert est généralement nécessaire pour l'analyse des causes profondes, le nettoyage et les enquêtes. Il est important en amont de préparer un plan de réponses aux incidents. Ce plan se décline en plusieurs étapes. L’éditeur mondial de solutions de cybersécurité Kaspersky a publié une checklist complète et ultime de protections efficacement contre les ransomwares.
Téléchargez la checklist complète et ultime de protection contre les ransomwares.
La Rédaction d’Africa CyberSecurity Mag