Ransomware à double extorsion : qu'est-ce que c'est, comment ça marche et comment l'empêcher

Les ransomwares constituent depuis longtemps une préoccupation majeure en matière de cybersécurité pour les entreprises de toutes tailles. Traditionnellement, cela fonctionne en chiffrant des fichiers ou des systèmes entiers, arrêtant ainsi les opérations d'une entreprise à moins qu'elle ne paie pour la clé de déchiffrement. Mais dans la plupart des attaques actuelles, ce n’est plus le cas.

Le plus grand risque en matière de cybersécurité vient désormais des ransomwares à « double extorsion ». Cette variante existe depuis un certain temps, mais elle est devenue une menace bien plus importante ces dernières années, alors que les cybercriminels recherchent de nouveaux moyens d'extorquer de l'argent à leurs victimes.

Les ransomwares à double extorsion ont gagné en popularité parmi les auteurs de menaces car ils ajoutent une couche de pression supplémentaire sur les victimes. Alors que les entreprises bien préparées peuvent se remettre d’une attaque de cryptomonnaie ou de ransomware de casier en recourant à des sauvegardes, des doubles, voire des triples sauvegardes, les attaques d’extorsion sont beaucoup plus difficiles à contrer.

Il est donc essentiel pour la protection contre les ransomwares que les entreprises comprennent exactement ce que représente cette menace, comment elle fonctionne dans la pratique et que faire pour y faire face.

Le ransomware à double extorsion fonctionne en extrayant les données de l'entreprise et en les renvoyant aux cybercriminels, ainsi qu'en cryptant les fichiers. Ces données volées peuvent être utilisées comme pression supplémentaire en exigeant une rançon, car en plus de se retrouver avec des systèmes inutilisables si elles ne paient pas, les entreprises sont également confrontées à la menace de voir leurs actifs les plus sensibles et confidentiels être exposés publiquement ou révélés à leurs concurrents.

L’exfiltration de données est désormais un facteur dans la grande majorité des incidents de ransomware. Au troisième trimestre 2025, par exemple, une étude de BlackFog indique que 96 % des attaques concernaient ce type de données.

Le ransomware à double extorsion est devenu la norme parmi les cybercriminels car il fonctionne. De nombreuses entreprises peuvent avoir l’impression qu’elles n’ont d’autre choix que de payer (même si elles pourraient autrement récupérer des données cryptées) en raison des conséquences auxquelles elles pourraient autrement être confrontées.

L’ajout de l’exfiltration de données n’est qu’une des nombreuses tactiques d’extorsion utilisées par les criminels. Il existe également un ransomware triple shakedown, qui ajoute un élément DDoS à l'attaque, et même un quadruple shakedown, dans lequel les acteurs malveillants font directement pression sur les dirigeants, les clients ou d'autres parties prenantes. Cela a été constaté lors de l’attaque de 2025 contre le groupe de garderies Kido Schools, où les attaquants ont directement contacté les parents avec des appels téléphoniques menaçants.

Une attaque de ransomware à double extorsion suivra quelques étapes clés à mesure que les groupes de ransomware accèdent à une entreprise, recherchent des informations, puis les extraient. Un incident typique peut évoluer comme suit :

1. Accès initial : Obtenu via des e-mails de phishing, des points de terminaison compromis ou en exploitant des vulnérabilités logicielles non corrigées.
2. Élévation de privilèges : Les attaquants élèvent l'accès en utilisant des informations d'identification volées ou des outils comme Mimikatz pour se déplacer latéralement.
3. Exfiltration de données : Les données sensibles sont localisées et transférées hors du réseau via des canaux cryptés, généralement après 11 à 24 jours d'accès non détecté.
4. Cryptage : Les ransomwares sont déployés pour verrouiller des fichiers et des systèmes, souvent en dehors des heures de bureau, afin de retarder la réponse.
5. Demande de rançon : Une demande de paiement est émise en échange d’une clé de décryptage, généralement en cryptomonnaie.
6. Menace de divulgation publique : Pour accroître la pression, les attaquants menacent de divulguer ou de vendre les données volées si la rançon n'est pas payée.

L’impact des ransomwares à double extorsion sur les entreprises peut être vaste. En plus du coup porté à la réputation d'une entreprise, s'il devient public qu'elle n'a pas protégé les données de ses clients, cela peut la laisser ouverte à l'action des régulateurs. Si les autorités locales de protection des données déterminent que la violation est le résultat d'une imprudence ou d'une négligence, l'entreprise s'expose à des amendes de plusieurs millions de dollars.

Les dépenses courantes auxquelles les entreprises peuvent s’attendre en raison d’un ransomware à double extorsion comprennent :

• Paiements directs de rançons
• Activité perdue en raison d'un temps d'arrêt
• Perte de clients due à une atteinte à la réputation
• Consultants externes pour l’atténuation et l’enquête.
• Une nouvelle technologie pour renforcer les systèmes contre de futures attaques
• Amendes réglementaires
• Frais de recours collectif
• Des primes de cyberassurance plus élevées

Les gens peuvent également faire face à de graves conséquences. Par exemple, la divulgation de dossiers médicaux peut être très préjudiciable et embarrassante. C’est l’une des raisons pour lesquelles les organisations de ce secteur constituent des cibles particulièrement tentantes pour les groupes de ransomwares. En fait, le paiement d'une rançon de 22 millions de dollars par Change Healthcare en 2024 aurait alimenté une vague d'attaques ciblant ces entreprises au cours des mois suivants, tandis que les données de BlackFog montrent que la santé reste l'un des secteurs les plus fréquemment attaqués.

Ailleurs, la divulgation des informations de connexion individuelles et des informations financières peut être extrêmement utile aux fraudeurs, en particulier si les clients ont réutilisé leurs mots de passe sur plusieurs sites. En conséquence, les victimes de ransomwares peuvent également être contraintes de payer pour des services de surveillance du crédit ou une compensation directe pour tout client touché par une attaque.

Une fois que les données sont entre les mains de criminels, le mal est déjà fait. Par conséquent, la meilleure défense contre ce type d’attaques consiste à se concentrer sur la prévention des ransomwares. Cela signifie être capable de détecter, d’identifier et de contenir les attaques avant qu’elles n’aient la possibilité de trouver et d’exfiltrer des données. Pour ce faire, il est important d’adopter une approche de défense en profondeur qui inclut des niveaux de protection.

Les éléments clés qui doivent être inclus dans cela sont :

• Architecture zéro confiance : Supposons la non-conformité par défaut. Cela signifie vérifier en permanence tous les utilisateurs et appareils pour empêcher les attaquants de se déplacer latéralement après l’accès initial.
• Technologies de prévention des violations de données : Déployez des outils tels que l'anti-exfiltration de données (ADX) pour bloquer les transferts sortants non autorisés en temps réel et arrêter les attaquants avant qu'ils ne puissent voler des fichiers sensibles.
• Gestion des correctifs et des vulnérabilités : Mettez régulièrement à jour tous les systèmes et applications pour combler les failles de sécurité connues que les groupes de ransomware exploitent pour y accéder.
• Sécurité de la messagerie et MFA : Filtrez les pièces jointes et les liens malveillants au niveau de la passerelle et appliquez une authentification multifacteur pour empêcher le vol d'informations d'identification et les violations basées sur le phishing.
• Segmentation du réseau : Divisez le réseau en zones isolées pour contenir la propagation des ransomwares et limiter les chemins vers les données de grande valeur.
• Gestion des accès privilégiés : Limitez les privilèges d'administrateur et utilisez un accès juste à temps pour réduire le rayon d'explosion si les informations d'identification sont compromises.
  Surveillance continue des mouvements de données anormaux : utilisez l'analyse comportementale pour détecter les transferts ou accès de fichiers inhabituels et déclencher un confinement rapide avant qu'une violation ne se produise.

Si toutes ces mesures échouent et que les entreprises font face à une violation de données et à une poursuite pour ransomware, un plan de réponse et de rétablissement devrait toujours être en place. Comme pour tout incident de sécurité, il faut commencer par s’assurer que tous les systèmes infectés sont isolés pour contenir les dégâts autant que possible, avant de recourir à des plans de sauvegarde et de récupération pour récupérer les données cryptées.

Un plan de suppression efficace des ransomwares doit couvrir les étapes suivantes :

• Contenir l'infection : Isolez immédiatement les points finaux et les serveurs infectés pour empêcher la propagation des ransomwares ou toute nouvelle fuite de données.
• Désactivez les mouvements latéraux : révoquez les informations d'identification compromises, arrêtez les services partagés et appliquez la segmentation du réseau pour empêcher les attaquants d'accéder à des systèmes supplémentaires.
• Identifiez les données exfiltrées : Analysez les journaux et le trafic sortant pour déterminer quelles données ont été volées, ce qui est essentiel pour évaluer le risque de double extorsion.
• Informer les équipes juridiques et de sécurité internes : Impliquez dès le début les parties prenantes exécutives, juridiques et de réponse aux incidents pour coordonner les décisions techniques, juridiques et de communication.
• Suivez les exigences réglementaires : Signalez les violations comme l'exigent des réglementations telles que le RGPD dans les délais établis pour éviter des sanctions supplémentaires et garantir la conformité.
• Restaurer à partir de sauvegardes protégées : Récupérez les systèmes à l’aide de sauvegardes propres et hors ligne pour éviter la réinfection et réduire la dépendance aux paiements de rançons.
  Effectuer une analyse médico-légale : enquêtez sur la cause première et le comportement des attaquants pour combler les lacunes et prévenir les attaques répétées ou les futures violations de données.

Lorsqu’il s’agit d’un ransomware à double extorsion, la question la plus importante sera de savoir s’il faut payer ou non. Dans les cas où les entreprises sont menacées de divulgation publique de données sensibles, il peut être très tentant de céder pour éviter cela.

Cependant, dans la pratique, il existe plusieurs raisons pour lesquelles cela s’avère généralement une mauvaise idée. Ceux-ci incluent :

• Rien ne garantit que les criminels tiendront parole et supprimeront les données qu’ils possèdent.
• Les entreprises ne seront peut-être pas en mesure de récupérer toutes les informations cryptées.
• Cela en fera probablement la cible d’attaques répétées à l’avenir.
• Un paiement peut être illégal selon les lois liées au financement d'activités criminelles.

Ainsi, même s’il peut être plus pénible à court terme de résister à toute demande, cette approche s’avérera probablement bien meilleure à long terme.

En fin de compte, une fois que les données sont entre les mains des criminels, les entreprises ne peuvent plus faire grand-chose. C'est pourquoi la meilleure défense contre les ransomwares doubles (et de plus en plus multiples) consiste en premier lieu à empêcher les données de quitter le réseau. Des outils tels que la surveillance continue, les contrôles d'accès, le cryptage et l'ADX sont essentiels, ainsi qu'une solide formation des employés sur les menaces émergentes.

Les attaques de ransomwares sont désormais presque inévitables. Mais avec des défenses à plusieurs niveaux, des capacités de détection précoce et un plan de réponse clair, les entreprises peuvent agir rapidement, contenir la menace et empêcher les attaquants d’accéder ou d’exfiltrer des données sensibles.