Ransomware Basics

bilingualhomepageTop News
Written By David Shipley

French | Spanish

What is Ransomware?

Ransomware, or ransom malware locks users out of their device or just certain files which can only be decrypted in exchange for a ransom. Back in the 1980s when ransomware attacks were just beginning to appear, cybercriminals would accept payment by mail. However, today payments are made via cryptocurrencies like Bitcoin. In the early days of ransomware, cybercriminals mostly targeted individuals, but gradually shifted to targeting businesses small and large which offered a higher pay out. You don’t even need to be especially technologically talented to become a ransomware attacker now with the growth of ransomware-as-a-service (RaaS).

In order to stage a ransomware attack, cybercriminals first need to be able to gain control of your files or network. This can be done via social engineering and phishing tactics where a cybercriminal would impersonate someone in a position of authority or a trusted organization in an attempt to have you disclose vital confidential information that will grant them access to your or your organization’s network. Ransomware gangs can also exploit existing system weaknesses and gain access this way. Once they have found a way in, they are able to move throughout your network undetected, which is why it’s essential that you encrypt your data and have a backup that’s not located on your network.

Types of Ransomware

Cybercriminals use three types of ransomware for most attacks: scareware, screen lockers and encrypting data. Each type is more dangerous than the last, which is why we have provided a brief description of each along with the tell-tale signs associated with them.

Scareware uses security software and tech support scams. Targets usually will receive pop-up messages explaining that their device has been infected with malware which can be fixed for a fee. This ransomware attack is mostly harmless: if you’re willing to put up with multiple pop-ups your data is safe. For this attack, cybercriminals are depending on your fear of malware so you’ll pay the ransom without checking to see if your device has been infected.

Ransomware gangs can sometimes impersonate cybersecurity software that you have purchased in an attempt to trick you into paying the ransom. However, keep in mind that a legitimate cybersecurity software provider will never demand a fee in exchange for a service – you’re already paying for them to protect your device - so if your device IS infected, it’s their job to fix it based on the fee you initially paid in order to have the software set up.

If you don’t already use a cybersecurity software, these pop-ups are a clear indication of a scam. Cybersecurity software that you haven’t purchased won’t monitor your network – they will never send you a message explaining that a threat has been detected – and they will never demand a fee to fix that threat outside of initially purchasing the software.

Lock Screen is used to lock you out of your device or deny access to certain programs or files. Once a cybercriminal gains access to your device or network, they won’t let you access it, often using a full screen message imitating an FBI or official-looking seal which claims that due to illegal activity, your device has been frozen and in exchange for a fee it can be unlocked.

Something to keep in mind should you receive this kind of messaging: the FBI or other jurisdictional bodies will not lock you out of your device and demand a ransom. They will pursue formal legal action should illegal content be found on your device or network.

Encryption is the type of ransomware you’ve probably heard of before since it’s the most effective and promises the greatest payout if it’s successful. It involves encrypting files and demanding payment in exchange for the decryption key. The problem is, once a cybercriminal gains access to your files, there is no course of action that would guarantee their return or that the cybercriminals cooperate with you. Even if you pay a ransom, the criminals aren’t obliged to return your data to you.

To learn more about how encryption works, check out our blog Data Encryption and Ransomware.

Ransomware Cyber Threat Landscape for Businesses

As ransomware groups become more organized and methodical in their attacks, the threat for organizations continues to grow. With the increased availability of RaaS, more cybercriminals are able to conduct sophisticated attacks. RaaS authors are able to recruit ransomware gangs to implement the attacks, creating two distinct groups of ransomware cybercriminals: those who create it and those who implement it.

SMBs are targeted specifically because they may lack a robust security team or the funds to protect them from an attack. But it’s not just SMBs that need to worry about ransomware attacks – ransomware groups target organizations that they believe may be slacking or have less developed security measures – which also includes large organizations and enterprises. We have only to look back at some of the most detrimental ransomware attacks this year to see that ransomware gangs are not concerned so much with the size of the business as with the potential pay out and lacking security measures.

Ransomware groups may not even target your organization directly but may attack a supplier or subcontractor. In July of this year, the IT solutions developer, Kaseya, was targeted among many other organizations in a ransomware attack conducted by REvil. While the CEO reports that “less than 0.1% of the company’s customers were [affected] in the breach,” it’s estimated that 800 to 1,500 SMBs may have been affected as a result of their affiliation with Kaseya.

Ransomware Attacks Timeline 2021

 2021 was a record year for ransomware attacks, and some ransomware groups were more prolific than others. We created a timeline listing the bigger attacks as well as the ransomware groups responsible for committing them.

What Can Businesses Do to Prevent Ransomware Attacks?

  1. Phishing Simulations: One of the top ways ransomware gangs gain access to your network and confidential files is through phishing attacks. Our research shows that while people often know what a phishing attack is, they struggle to identify one in practice. Phishing simulations that resemble real phishes that your organization has experienced train teams to recognize and report those threats before they become a real issue.

  2. Encrypt Your Data: As discussed in our last blog, if your data has already been encrypted, cybercriminals can’t steal it. While they can encrypt it using their own algorithm, your confidential information is safe from their prying eyes.

  3. Keep a Backup: Even if you have followed the first two steps, ransomware gangs can still encrypt your files and lock you out of your confidential information. Keeping a backup is a great way to still have access to these files in the event of a ransomware attack. A backup that is stored in a network separate from the one used by your organization is an even more secure step in keeping your information safe and accessible.

Did you find this blog helpful? Make sure to share it with your teams and colleagues to foster a positive and knowledgeable cybersecurity culture.

Les rançongiciels - quelques faits élémentaires

Qu’est-ce qu’un rançongiciel?

Les rançongiciels, ou logiciels rançonneurs, bloquent l’accès d’un utilisateur à son appareil ou à certains fichiers qui ne peuvent être déchiffrés qu’en échange d’une rançon. Dans les années 1980, alors que les attaques au rançongiciel commençaient tout juste à apparaître, les cybercriminels demandaient le paiement par courrier. De nos jours, les paiements sont effectués via des cryptomonnaies telles que le Bitcoin. Dans les premiers jours des rançongiciels, les cybercriminels ciblaient principalement les individus, mais ils se sont progressivement tournés vers les petites et grandes entreprises, ce qui leur offrait des paiements plus élevés. Vous n’avez même pas besoin d’avoir un talent technologique particulier pour monter une attaque au rançongiciel, maintenant que les rançongiciels peuvent être achetés en tant que service.

Pour organiser une attaque au rançongiciel, les cybercriminels doivent d’abord être en mesure de prendre le contrôle de vos fichiers ou de votre réseau. Cela peut être fait par le biais de l’ingénierie sociale et de tactiques d’hameçonnage lors desquelles un cybercriminel se fera passer pour une personne en position d’autorité ou une organisation de confiance dans le but de vous pousser à révéler des informations sensibles vitales qui lui donneront accès à votre réseau ou à celui de votre organisation. Les groupes criminels qui utilisent les rançongiciels peuvent également exploiter les faiblesses existantes du système pour y accéder. Une fois qu’ils ont trouvé un moyen de pénétrer dans le système, ils peuvent se déplacer sur l’ensemble de votre réseau sans être détectés; il est donc essentiel de chiffrer vos données et de conserver une copie de sécurité qui ne se trouve pas sur votre réseau.

Types de rançongiciels

Les cybercriminels utilisent principalement trois types de rançongiciels, pour la majorité de leurs attaques, soit le faux logiciel de sécurité, le verrouillage d’écran et le cryptage des données. Chaque type est plus dangereux que le précédent, nous avons donc fourni une brève description de chacun ainsi que les signes révélateurs qui leur sont associés.

Comme le nom l’indique, un faux logiciel de sécurité (ou scareware en anglais) utilise des logiciels de sécurité et des escroqueries d’assistance technique. Les cibles recevront généralement des messages contextuels expliquant que leur appareil a été infecté par des logiciels malveillants qui peuvent être éliminés moyennant des frais. Cette attaque au rançongiciel est principalement inoffensive si vous êtes prêt à prendre en charge plusieurs fenêtres contextuelles, mais vos données sont en sécurité. Pour cette attaque, les cybercriminels misent sur votre peur des logiciels malveillants, vous paierez donc la rançon sans vérifier si votre appareil a réellement été infecté.

Afin de vous inciter à payer la rançon, les groupes criminels qui utilisent les rançongiciels peuvent parfois usurper l’identité du logiciel de cybersécurité que vous avez acheté. Cependant, gardez à l’esprit qu’un fournisseur de logiciels de cybersécurité légitime n’exigera jamais de frais en échange d’un service (vous les payez déjà pour protéger votre appareil), donc si votre appareil est infecté, c’est à eux de régler le problème en fonction des frais que vous avez initialement payés pour installer le logiciel.

Si vous n’utilisez pas déjà un logiciel de cybersécurité, ces fenêtres contextuelles sont une indication claire d’une arnaque. Les logiciels de cybersécurité que vous n’avez pas achetés ne surveilleront pas votre réseau, ils ne vous enverront jamais de message expliquant qu’une menace a été détectée et ils n’exigeront jamais de frais pour résoudre cette menace en dehors de l’achat initial du logiciel.

L’écran de verrouillage est utilisé pour vous verrouiller de votre appareil ou refuser l’accès à certains programmes ou fichiers. Une fois qu’un cybercriminel accède à votre appareil ou à votre réseau, il vous en bloquera l’accès, souvent en utilisant un message qui s’affichera sur la totalité de l’écran et qui imitera le sceau du FBI ou un autre sceau d’apparence officielle affirmant qu’en raison d’une activité illégale, votre appareil a été gelé et qu’il peut être déverrouillé moyennant des frais.

Quelque chose à garder à l’esprit si vous recevez ce type de messages : le FBI ou d’autres organes juridictionnels ne vous bloqueront pas de votre appareil et n’exigeront pas de rançon. Ils intenteront une action en justice formelle dans le cas où du contenu illégal serait trouvé sur votre appareil ou votre réseau.

Le chiffrement est le type de rançongiciel dont vous avez probablement entendu parler auparavant, car il est le plus efficace et promet le plus gros paiement en cas de succès. Cela implique le chiffrement des fichiers et l’exigence de paiement en échange de la clé de déchiffrement. Le problème est qu’une fois qu’un cybercriminel a accès à vos fichiers, il n’y a pas de ligne de conduite garantissant la récupération des données ou la coopération des cybercriminels. Même si vous payez une rançon, les criminels ne sont pas tenus de retourner vos données.

Pour en savoir plus sur le fonctionnement du chiffrement, consultez notre billet de blogue intitulé Chiffrement des données et rançongiciel.

Portrait des menaces posées aux entreprises par les rançongiciels

À mesure que les groupes criminels qui utilisent les rançongiciels deviennent plus organisés et méthodiques dans leurs attaques, la menace pour les organisations ne cesse de croître. Avec la disponibilité accrue de rançongiciels vendus comme logiciels-services, de plus en plus de cybercriminels peuvent mener des attaques sophistiquées. Les créateurs de rançongiciels-services sont en mesure de recruter des groupes criminels pour commettre des attaques, créant deux groupes distincts de cybercriminels qui utilisent des rançongiciels, soit ceux qui le créent et ceux qui les utilisent.

Les PME sont spécifiquement ciblées parce qu’elles peuvent manquer d’équipement de sécurité robuste ou de fonds pour se protéger contre les attaques. Cependant, les PME ne sont pas les seules à devoir se soucier des attaques au rançongiciel : les groupes criminels qui utilisent des rançongiciels ciblent aussi des organisations qui, selon eux, pourraient ne pas faire attention à la cybersécurité ou avoir des mesures de sécurité moins développées, ce qui comprend également les grandes organisations et entreprises. Il suffit de regarder certaines des attaques au rançongiciel qui ont fait le plus de dégâts cette année pour s’apercevoir que les groupes criminels qui utilisent des rançongiciels ne se soucient pas tant de la taille de l’entreprise que du paiement potentiel ou l’absence de mesures de sécurité.

Ces groupes criminels peuvent même ne pas cibler directement votre organisation, mais s’attaquer plutôt à un fournisseur ou un sous-traitant. En juillet de cette année, le développeur de solutions informatiques Kaseya a été ciblé avec de nombreuses autres organisations par une attaque au rançongiciel lancée par REvil. Bien que le PDG rapporte que « moins de 0,1 % des clients de l’entreprise ont été [touchés] par l’atteinte », on estime que 800 à 1 500 PME pourraient avoir été touchées en raison de leur affiliation à Kaseya.

Chronologie des attaques au rançongiciel en 2021

 2021 a été une année record pour les attaques au rançongiciel, et certains groupes qui utilisent ce type d’attaque ont été plus prolifiques que d’autres. Nous avons établi une chronologie répertoriant les plus grandes attaques, ainsi que les groupes criminels responsables de ces attaques.

Que peuvent faire les entreprises pour prévenir les attaques au rançongiciel?

  1. L’un des principaux moyens utilisés par les groupes criminels qui utilisent des rançongiciels est d’accéder à votre réseau et aux fichiers sensibles est par le biais d’attaques d’hameçonnage. Nos recherches montrent que même si les gens savent souvent ce qu’est une attaque d’hameçonnage, ils ont du mal à en identifier une en pratique. Les simulations d’hameçonnage qui ressemblent à de véritables courriels d’hameçonnage que votre organisation a connus permettent aux équipes de reconnaître et de signaler ces menaces avant qu’elles ne posent un réel problème.

  2. Comme nous l’avons souligné dans notre dernier billet de blogue, si vos données ont déjà été chiffrées, les cybercriminels ne peuvent pas les voler. Bien qu’ils puissent les chiffrer à l’aide de leur propre algorithme, vos informations sensibles sont à l’abri des regards indiscrets.

  3.  Même si vous avez suivi les deux premières étapes, les groupes criminels qui utilisent les rançongiciels peuvent toujours chiffrer vos fichiers et vous empêcher d’accéder à vos informations sensibles. Conserver une copie de sécurité de vos données est un excellent moyen de continuer à avoir accès à ces fichiers en cas d’attaque au rançongiciel. Une copie de sécurité stockée sur un réseau distinct de celui utilisé par votre organisation est une mesure supplémentaire pour assurer la sécurité et l’accessibilité de vos informations.

Avez-vous trouvé ce billet de blogue utile? Assurez-vous de le partager avec vos équipes et vos collègues pour favoriser une culture de cybersécurité positive et bien informée.

Conceptos básicos de ransomware

¿Qué es el ransomware?

El ransomware o malware de rescate bloquea a los usuarios de su dispositivo o de ciertos archivos que solo se pueden desencriptar a cambio de un rescate. En la década de 1980, cuando los ataques de ransomware apenas comenzaban a aparecer, los ciberdelincuentes aceptaban pagos por correo. Sin embargo, hoy en día los pagos se realizan a través de criptomonedas como Bitcoin. En los primeros días del ransomware, los ciberdelincuentes atacaban principalmente a individuos, pero gradualmente fueron cambiando a pequeñas y grandes empresas que podrían pagar más. Ahora, con el crecimiento del ransomware como servicio (RaaS), ya ni siquiera es necesario tener un talento tecnológico especial para convertirse en un atacante de ransomware.

Para organizar un ataque de ransomware, los ciberdelincuentes primero deben poder obtener el control de sus archivos o red. Esto se puede hacer a través de tácticas de ingeniería social y phishing en las que un ciberdelincuente se haría pasar por alguien en una posición de autoridad o una organización de confianza para que usted revele información confidencial vital que le otorgará acceso a su red o a la de su organización. Las bandas de ransomware también pueden explotar las debilidades existentes del sistema y obtener acceso de esta manera. Una vez que han encontrado una manera de entrar, pueden moverse por toda su red sin ser detectados, por lo que es esencial que encripte sus datos y guarde una copia de seguridad fuera de su red.

Tipos de ransomware

Los ciberdelincuentes utilizan tres tipos de ransomware para la mayoría de los ataques: scareware, screen lockers y cifrado de datos. Cada tipo es más peligroso que el anterior, por lo que hemos proporcionado una breve descripción de cada uno junto con los signos reveladores asociados.

Scareware utiliza software de seguridad y estafas de soporte técnico. Las víctimas generalmente recibirán mensajes emergentes donde se les dice que su dispositivo ha sido infectado con malware, y que es un problema que se les puede arreglar a cambio de un pago. Este ataque de ransomware es en su mayoría inofensivo, si está dispuesto a soportar múltiples ventanas emergentes, sus datos están seguros. Para este ataque, los ciberdelincuentes dependen del miedo que usted le tenga al malware, por lo que pagará el rescate sin verificar si su dispositivo ha sido infectado o no.

Las bandas de ransomware a veces pueden hacerse pasar por el software de ciberseguridad que usted adquirió en un intento de engañarlo para que pague el rescate. Sin embargo, tenga en cuenta que un proveedor legítimo de software de ciberseguridad nunca exigirá una tarifa a cambio de un servicio. Usted ya está pagando por el servicio para proteger su dispositivo, por lo que si su dispositivo ESTÁ infectado, es su trabajo solucionarlo en función de la tarifa que pagó inicialmente para configurar el software.

Si aún no utiliza un software de ciberseguridad, estas ventanas emergentes son una clara indicación de una estafa. Un software de ciberseguridad que no haya comprado no va a monitorear su red, nunca le enviará un mensaje explicando que se ha detectado una amenaza, y nunca exigirá un pago para solucionar esa amenaza además de la compra inicial del software.

La pantalla de bloqueo se utiliza para bloquear su acceso a su dispositivo o denegar el acceso a ciertos programas o archivos. Cuando un ciberdelincuente obtiene acceso a su dispositivo o red, ya no le permitirá acceder a él, a menudo utilizando un mensaje de pantalla completa que imita al FBI o un sello de aspecto oficial que afirma que debido a una actividad ilegal, su dispositivo ha sido congelado y, a cambio de un pago, se puede desbloquear.

Algo a tener en cuenta si recibe este tipo de mensajes es que el FBI u otros organismos jurisdiccionales jamás van a dejarlo sin acceso a su propio dispositivo ni exigirán ningún pago. Emprenderán acciones legales formales en caso de que se encuentre contenido ilegal en su dispositivo o red.

El cifrado es el tipo de ransomware del que probablemente ya haya oído hablar, porque es el más efectivo y promete el mayor pago si tiene éxito. Implica encriptar archivos y exigir un pago a cambio de la clave de desencriptado. El problema es que, una vez que un ciberdelincuente obtiene acceso a sus archivos, no hay ningún modo de actuar que garantice su regreso o que los ciberdelincuentes cooperen con usted. Incluso si paga un rescate, los delincuentes no están obligados a devolverle sus datos.

Para obtener más información sobre cómo funciona el cifrado, consulte nuestra entrada de blog sobre cifrado de datos y ransomware.

Panorama de amenazas cibernéticas de ransomware para empresas

La amenaza para las organizaciones crece más a medida que los grupos de ransomware se vuelven más organizados y metódicos en sus ataques. Con una mayor disponibilidad de RaaS, son más los ciberdelincuentes que pueden llevar a cabo ataques sofisticados. Los autores de RaaS pueden reclutar bandas de ransomware para implementar los ataques, creando dos grupos distintos de ciberdelincuentes de ransomware, los que lo crean y los que lo implementan.

Las pymes son atacadas específicamente porque pueden carecer de un equipo de seguridad robusto o de los fondos para protegerlas de un ataque. Pero no son solo las pymes las que deben preocuparse por los ataques de ransomware: los grupos de ransomware se dirigen a organizaciones que creen que pueden andar un poco desprotegidas o cuyas medidas de seguridad están menos desarrolladas, lo que también incluye a grandes organizaciones y empresas. Solo tenemos que mirar hacia atrás en algunos de los ataques de ransomware más perjudiciales de este año para ver que a las bandas de ransomware no les preocupa tanto el tamaño del negocio como el posible pago y la falta de medidas de seguridad.

Es posible que los grupos de ransomware ni siquiera se dirijan directamente a su organización, sino que ataquen a uno de sus proveedores o subcontratistas. En julio de este año, el desarrollador de soluciones de TI, Kaseya, fue blanco entre muchas otras organizaciones de un ataque de ransomware realizado por REvil. Si bien el CEO informa que "menos del 0.1% de los clientes de la compañía se vieron [afectados] en la violación", se estima que entre 800 y 1500 pymes pueden haberse visto afectadas como resultado de su afiliación con Kaseya.

Cronología de ataques de ransomware 2021

 El 2021 fue un año récord para los ataques de ransomware, y algunos grupos de ransomware fueron más prolíficos que otros. Creamos un cronograma donde vemos los ataques más importantes, así como los grupos de ransomware responsables de cometerlos.

¿Qué pueden hacer las empresas para prevenir los ataques de ransomware?

  1. Simulaciones de phishing Una de las principales formas en que las bandas de ransomware obtienen acceso a su red y archivos confidenciales es a través de los ataques de phishing. Nuestra investigación muestra que, si bien las personas a menudo saben lo que es un ataque de phishing, en la práctica se les complica identificarlo. Las simulaciones de phishing que se asemejan a phishes reales que su organización ha experimentado entrenan a los equipos para que reconozcan e informen sobre estas amenazas antes de que se conviertan en un problema real.

  2. Encripte sus datos como vimos en nuestra última entrada de blog, si sus datos ya han sido encriptados, los ciberdelincuentes no podrán robarlos. Si bien pueden encriptarlos utilizando su propio algoritmo, su información confidencial está a salvo de sus miradas indiscretas.

  3. Guarde una copia de seguridad incluso si ha seguido los dos primeros pasos, las bandas de ransomware pueden encriptar sus archivos y bloquearle el acceso a su propia información confidencial. Mantener una copia de seguridad es una excelente manera de seguir teniendo acceso a estos archivos en caso de un ataque de ransomware. Una copia de seguridad que se almacena en una red separada de la utilizada por su organización es un paso aún más seguro para mantener su información segura y accesible.

¿Le pareció útil esta entrada de blog? No deje de compartirla con sus equipos y compañeros para fomentar una cultura de ciberseguridad positiva y bien informada.

David Shipley
Previous

How to Foster Positive Behavioral Change
Next

Data Encryption and Ransomware