Rançongiciel.

Un rançongiciel chiffre des fichiers, des bases de données, des machines virtuelles ou des volumes de stockage entiers, puis affiche un message exigeant une rançon en cryptomonnaie en échange de la clé de déchiffrement. Les opérateurs actuels mènent généralement des campagnes de « double extorsion » : ils exfiltrent les données avant de chiffrer et menacent de les publier sur des sites de fuite si la victime refuse de payer. L'accès initial provient typiquement de l'hameçonnage, de portails RDP/VPN exposés, de vulnérabilités logicielles ou d'identifiants compromis.

Les campagnes réelles illustrent ce schéma. WannaCry (mai 2017) s'est propagé à travers les réseaux à la manière d'un ver en exploitant l'exploit SMB EternalBlue. L'incident Colonial Pipeline (mai 2021) — provoqué par des affiliés de DarkSide entrés via un mot de passe VPN divulgué et dépourvu de MFA — a interrompu la distribution de carburant sur toute la côte est des États-Unis. Quelques semaines plus tard, REvil a exploité une faille zero-day du logiciel de gestion VSA de Kaseya (CVE-2021-30116) pour diffuser le rançongiciel en aval vers 800 à 1 500 entreprises lors d'une seule attaque sur la chaîne d'approvisionnement, avant d'exiger 70 millions de dollars pour un déchiffreur universel.

flowchart LR
  A[Acces initial<br/>hameconnage / RDP / VPN] --> B[Reconnaissance et elevation de privileges]
  B --> C[Exfiltration des donnees]
  C --> D[Chiffrement massif]
  D --> E[Message de rancon + menace de fuite]
  E --> F{La victime paie ?}
  F -->|Oui| G[Dechiffreur peut-etre fourni]
  F -->|Non| H[Donnees divulguees / systemes perdus]

Les défenses efficaces combinent des sauvegardes hors ligne et immuables, EDR/XDR, MFA sur tous les accès distants, un patching rapide, la segmentation réseau, des comptes à moindre privilège et un plan de réponse aux incidents testé. Payer ne garantit pas la restauration et peut financer d'autres attaques.