Qu'est-ce que le ransomware et comment se protéger contre ses dangers

Le ransomware est une menace majeure qui affecte aussi bien les utilisateurs domestiques que professionnels.

Avec une perte temporaire ou permanente de données et d'informations, le ransomware impacte votre capital et la réputation de votre entreprise. Il est essentiel de protéger vos actifs contre une attaque de ransomware avant qu'il ne soit trop tard pour réaliser les conséquences qu'elle pourrait avoir.

Tout d'abord, vous devez examiner votre cadre de sécurité pour détecter les failles qui pourraient inviter un programme de ransomware malveillant, surveiller chaque journal pour reconnaître toute menace émergente de ransomware et appliquer les meilleures pratiques de cybersécurité pour mettre en place une défense solide.

Des logiciels comme les logiciels SIEM, les solutions antivirus, les outils d'évaluation des vulnérabilités, les logiciels anti-spam pour les emails aident à combattre le ransomware.

Qu'est-ce qu'une attaque de ransomware ?

Émanant de ses racines dans la crypto-virologie (l'étude de la cryptographie utilisée dans la conception de logiciels malveillants), le ransomware chiffre les fichiers des victimes sur un disque dur et exige un paiement pour les déchiffrer. Certains programmes malveillants sont simples, comme le scareware, qu'une personne avertie peut facilement surmonter pour accéder à ses données. Cependant, de nombreux programmes de ransomware utilisent des techniques telles que l'extorsion cryptovirale, où le déchiffrement des fichiers devient compliqué sans la clé de déchiffrement.

Les pirates utilisent généralement des chevaux de Troie, des logiciels malveillants déguisés en fichiers légitimes, pour mener à bien une infection par ransomware. Vous devrez être prudent lors du téléchargement d'un fichier qui est arrivé en tant que pièce jointe légitime dans votre email ou en cliquant sur un lien qui vous mène à un faux site Web, car il peut facilement s'agir d'une attaque d'ingénierie sociale comme le phishing. Les chevaux de Troie peuvent également être déployés via une vulnérabilité dans le service réseau.

Dans le paysage actuel de la cybersécurité, les pirates développent des souches de logiciels malveillants alimentés par l'IA qui cachent les conditions requises pour déverrouiller les fichiers tout en déployant des logiciels malveillants intraçables dans votre machine.

Considérant le temps d'arrêt, la perte de données et d'informations, l'entrave à la fonctionnalité, le coût des appareils, le coût du réseau, la demande de rançon, et plus encore, une attaque de ransomware peut causer une perte financière importante à une organisation. Il est essentiel de prendre des mesures préventives appropriées pour protéger votre réseau et votre système contre de telles attaques de logiciels malveillants.

Comment fonctionne le ransomware ?

Le ransomware qui chiffre les fichiers suit une technique d'extorsion cryptovirale. Le concept a été initialement inventé par Young et Yung à l'Université de Columbia. Ensuite, il a été présenté à la conférence IEEE Security and Privacy de 1996.

Dans ce processus, la clé privée de l'attaquant n'est jamais exposée à la victime. Comme la clé symétrique est générée aléatoirement, elle ne peut pas être utilisée par d'autres victimes de ransomware.

Lorsque le ransomware pénètre dans les systèmes, il exécute une charge utile – un programme qui effectue des actions malveillantes. La charge utile verrouille le système ou prétend le verrouiller (comme un programme scareware). Il affiche un message d'avertissement, affirmant que vous avez effectué des activités illégales sur votre système dans certains cas.

Il existe des cas où le ransomware vous empêche d'accéder au système d'exploitation en modifiant l'interface utilisateur graphique (GUI) dans Microsoft Windows ou le secteur de démarrage principal pour empêcher le redémarrage.

Types de ransomware

Il existe différents types de ransomware conçus pour satisfaire plusieurs motifs de l'attaquant. Jetez un œil aux types pour identifier une attaque de ransomware si vous en rencontrez une.

Ransomware de chiffrement de fichiers

Les ransomwares de chiffrement de fichiers sont des programmes qui déploient une charge utile dans vos systèmes, qui chiffre vos fichiers en utilisant des techniques telles que l'extorsion cryptovirale, entre autres. Lorsqu'il est déployé, le programme malveillant exécute une charge utile qui vous empêche d'accéder à votre système de manière typique. Ces charges utiles peuvent parfois afficher de faux messages d'avertissement d'agences de la loi, vous informant d'activités illégales menées sur votre système.

Il peut y avoir une charge utile en deux étapes dans certains cas, où la victime est trompée pour exécuter un script qui télécharge le virus principal dans le système. Dans les premières versions du programme de ransomware à double charge utile, un document Microsoft 365 contenait un script avec une macro VBScript attachée, ou il était présent dans le fichier Windows Scripting Facility (WSF).

De plus, certaines souches de ransomware de chiffrement de fichiers utilisent des proxys liés au service caché Tor, rendant difficile la traçabilité de l'emplacement exact du cybercriminel.

Ransomware non-chiffreur

Les programmes de ransomware non-chiffreurs ne font pas partie des outils de chiffrement, mais ils restreignent l'accès à vos fichiers et informations. Il existe des cas où les utilisateurs sont empêchés d'accéder à leurs systèmes, et des images pornographiques sont affichées, de sorte que l'utilisateur est incité à envoyer des SMS à tarif premium pour recevoir un code de déverrouillage.

Le ransomware Winlock a suivi une procédure similaire en août 2010, parvenant à extorquer plus de 16 millions de dollars à différents utilisateurs finaux.

Parfois, l'objectif principal des logiciels malveillants non-chiffreurs est de frustrer l'utilisateur pour qu'il tente de fermer la page. Dans de tels cas, les utilisateurs peuvent voir un message d'avertissement qui les tient responsables et redevables d'actes illégaux commis sur votre machine.

Leakware

Il est également appelé extortionware, doxware et exfiltrationware. En termes simples, le leakware est l'inverse du ransomware. Dans les cas où ce dernier restreint l'accès d'un utilisateur à ses informations, le leakware menace l'utilisateur de divulguer ses informations au public. Les attaquants font pression sur la victime pour qu'elle paie la rançon afin d'éviter l'exposition de ses données sensibles.

Les programmes de leakware ciblent principalement les utilisateurs qui ont des informations tierces stockées dans leurs systèmes. Cela inclut les données clients, les données financières, et plus encore. Les utilisateurs qui ont des informations telles que des secrets commerciaux ou des informations confidentielles sur un produit peuvent également être des cibles potentielles de telles attaques. Les informations cruciales pour un utilisateur, comme ses données de santé sensibles ou des informations embarrassantes, alimentent également une attaque de leakware dans de nombreux cas.

Ransomware mobile

Lorsque la popularité du ransomware sur les systèmes informatiques a augmenté, son introduction dans les téléphones mobiles était inévitable, car elle était lucrative. Les attaquants ont principalement ciblé les smartphones Android pour tirer parti de sa capacité à télécharger et installer des applications à partir de sources tierces.

Dans le ransomware mobile, un individu ignorant télécharge une application qui est un programme de ransomware déguisé en fichier APK. La charge utile exécute un programme qui affiche un message de blocage ou d'avertissement sur d'autres applications de votre téléphone. Parfois, la charge utile peut vous inciter à fournir des privilèges d'administrateur où le ransomware peut s'enfoncer plus profondément dans votre appareil.

Le ransomware peut également affecter les appareils photo numériques en exploitant des vulnérabilités dans le protocole de transfert d'images (PTP). Une telle attaque a été présentée en août 2019 à Defcon comme une attaque de preuve de concept.

Ransomware en tant que service (RaaS)

Le RaaS répond aux besoins d'un pirate pour lancer une attaque de ransomware. C'est comme une offre SaaS, où certaines organisations de cybercriminalité prennent des frais de licence mensuels, tandis que d'autres prennent une commission sur la rançon extorquée à une victime.

Un abonnement typique au RaaS est facturé environ 50 $ et comprend un code de ransomware et une clé de déchiffrement. Il permet aux débutants peu qualifiés en piratage d'entrer dans le monde de la cybercriminalité et de tester leurs méthodes et tactiques malveillantes.

Les organisations RaaS mènent leurs opérations de manière sophistiquée sur le dark web. Comme toute entreprise SaaS typique, le RaaS a trois modèles d'abonnement : or, argent et bronze.

Ransomware à double et triple extorsion

Les ransomwares à double et triple extorsion sont des formes avancées et de plus en plus malveillantes d'attaques de ransomware qui ont émergé ces dernières années.

La double extorsion suit le schéma normal d'attaque de ransomware en extorquant les victimes pour qu'elles paient une rançon deux fois.

Le ransomware à triple extorsion pousse les tactiques d'extorsion un cran plus loin en impliquant une troisième couche de menace. En plus de chiffrer les données de la victime et de menacer de les divulguer, les attaquants menacent également de perturber les opérations commerciales de la victime ou de lancer une attaque par déni de service distribué (DDoS) contre leurs systèmes si la rançon n'est pas payée.

Quel est l'impact du ransomware ?

Près d'un quart (24 %) des incidents impliquant des logiciels malveillants sont des ransomwares. L'impact d'une attaque de ransomware peut être désastreux. Même si vous payez la rançon, il n'y a aucune garantie que vous aurez accès à vos données, ce qui peut entraîner des conséquences encore plus graves.

Peu importe si vous êtes d'une grande ou d'une petite organisation ; une attaque de ransomware aura un impact sur votre capital ainsi que sur votre réputation, qui est un atout coûteux en affaires. Elle peut également causer un temps d'arrêt substantiel avec une période de récupération prolongée, impactant de manière dévastatrice votre entreprise.

Comment protéger votre réseau contre le ransomware

Le ransomware est une menace persistante pour les utilisateurs domestiques et professionnels. Comme il entraîne une perte temporaire ou permanente d'informations pour une entité et cause des pertes financières et de réputation, il est essentiel d'avoir des stratégies d'atténuation en place. Vous devriez adopter les meilleures pratiques de l'industrie axées sur la prévention et la réponse à une attaque de ransomware.

Clause de non-responsabilité : Ces directives sont basées sur les recommandations du gouvernement américain. G2 ne propose pas de conseils juridiques. Si vous avez des questions juridiques, consultez un avocat agréé.

Formez votre personnel

Les employés sont peut-être le chemin le plus facile pour les acteurs malveillants de pénétrer vos défenses de sécurité. Il est primordial de former vos employés contre les techniques des pirates malveillants pour injecter des logiciels malveillants dans vos réseaux.

Éduquez votre personnel à ne pas tomber dans les tentatives d'ingénierie sociale qui les incitent à cliquer sur un lien non sollicité ou à divulguer leurs mots de passe. Il est conseillé de tester votre équipe avec des emails de phishing simulés, des prétextes, et plus encore.

Adoptez des mesures préventives

La meilleure façon de protéger vos réseaux contre le ransomware est de mettre en place des mesures préventives appropriées et de prendre des précautions. Pour éviter l'injection de ransomware, le gouvernement américain recommande les mesures de précaution suivantes.

• Mettre en œuvre un programme de formation pour sensibiliser vos employés et s'assurer qu'ils sont bien informés sur le ransomware et comment il est livré.
• Authentifier les emails entrants pour éviter le spoofing d'email. Assurez-vous d'avoir des filtres anti-spam pour les emails pour éviter les tentatives de phishing.
• Analyser les emails entrants et sortants pour empêcher les fichiers exécutables d'atteindre les utilisateurs.
• Bloquer les adresses IP malveillantes en configurant votre pare-feu.
• Envisager d'utiliser un système de gestion des correctifs pour corriger le firmware, les logiciels et les systèmes d'exploitation sur votre ordinateur.
• Effectuer une analyse régulière des virus et des logiciels malveillants avec des logiciels antivirus et des logiciels anti-malware.
• Réguler efficacement les privilèges d'accès des utilisateurs. Assurez-vous qu'aucun utilisateur n'est accordé un accès administrateur jusqu'à ce que cela devienne inévitable. Ceux qui ont besoin de privilèges administrateur devraient les utiliser avec soin et uniquement lorsque cela est nécessaire.
• Gérer les privilèges d'accès aux fichiers, répertoires et partages en gardant à l'esprit la structure de moindre privilège.
• Envisager d'utiliser un visualiseur de bureau pour ouvrir les fichiers MS-office livrés par email au lieu d'utiliser la suite complète. Assurez-vous de désactiver la macro pour les fichiers transférés par email.
• Empêcher l'exécution d'un programme à partir d'emplacements de ransomware courants comme les dossiers temporaires prenant en charge les navigateurs Internet populaires.
• Si le protocole de bureau à distance (RDP) n'est pas utilisé, envisagez de le désactiver.
• Autoriser l'exécution de programmes uniquement à partir de sources connues et fiables.
• Utiliser des environnements virtualisés pour utiliser des environnements de systèmes d'exploitation ou certains programmes.
• Activer la séparation logique et physique des réseaux pour différentes unités de votre organisation tout en catégorisant les données en fonction de la valeur organisationnelle.

Assurez la continuité des activités

Comme les attaques de ransomware peuvent entraîner une perte temporaire ou permanente de données, il est conseillé d'avoir une sauvegarde de données prête. Cela vous aidera à assurer la continuité des activités si l'incident malheureux se produit.

Le gouvernement américain recommande de réaliser des tests de pénétration et une évaluation des vulnérabilités au moins une fois par an.

Assurez-vous que vos sauvegardes sont sécurisées et ne sont pas connectées en permanence à l'ordinateur ou aux réseaux qu'elles sauvegardent. Il existe des cas où les sauvegardes basées sur le cloud pourraient être verrouillées lors d'un incident de ransomware, dans lequel les systèmes et les réseaux sauvegardent les informations en temps réel. Ceux-ci sont essentiels pour la réponse aux incidents et la récupération car ils vous aident à vous remettre en marche pour éviter les temps d'arrêt lorsque des incidents se produisent.

Exemples réels d'attaques de ransomware

Les attaques de ransomware ont causé des ravages pour les individus et les entreprises depuis longtemps. Voici quelques attaques de ransomware dont il faut tirer des leçons.

Reveton

Un ransomware connu sous le nom de Reveton, basé sur le cheval de Troie Citadel, s'est répandu en 2012 dans les pays européens. Sa charge utile affichait un message alarmant d'agences de la loi, affirmant qu'il y avait eu des activités illégales comme le téléchargement de logiciels non licenciés ou de la pornographie enfantine sur votre machine. Le message incitait les utilisateurs à payer une amende en utilisant un bon de service de paiement anonyme prépayé tel qu'un Paysafecard.

Pour amplifier l'illusion fausse, les utilisateurs voyaient leurs adresses IP et des enregistrements de leur webcam pour prouver qu'ils étaient suivis et que le message provenait réellement d'une agence de la loi.

Le cheval de Troie ransomware utilisait les logos du Metropolitan Police Service, de l'Unité nationale de lutte contre la cybercriminalité et de la société de collecte de droits d'auteur PRS for Music, en particulier lorsqu'il accusait l'utilisateur de télécharger de la musique illégale. En 2012, il a commencé à se répandre initialement dans les pays européens, et plus tard, en août 2012, des variantes de Reveton ont été découvertes aux États-Unis.

Cryptolocker

L'attaque de ransomware Cryptolocker est apparue pour la première fois en septembre 2013 et a infecté les machines utilisant les systèmes d'exploitation Microsoft Windows. Le ransomware a été transmis sous forme de pièce jointe par email qui profitait du fait que le système d'exploitation Windows ne montrait pas l'extension de fichier et le déguisait en fichier PDF. Comme il s'agissait d'un ransomware de chiffrement de fichiers, il affichait un message pour effectuer un paiement en Bitcoin ou en bons prépayés pour déverrouiller les fichiers avant une date limite indiquée.

On pense que Cryptolocker a extorqué environ 3 millions de dollars aux victimes avant d'être isolé en mai 2014 par l'opération Torvar, qui a démantelé le botnet Gameover Zeus utilisé pour sa distribution.

En septembre 2014, les utilisateurs en Australie ont été ciblés par un ransomware connu sous le nom de Cryptolocker. F, identifié par Semantic et sans rapport avec le Cryptolocker original en raison de la différence dans les opérations. Le cheval de Troie malveillant a été diffusé par des emails déguisés en avis de livraison de colis échoués d'Australia Post pour échapper aux scanners d'emails. La charge utile a été déployée lorsqu'un utilisateur visitait une page Web et entrait un code CAPTCHA.

CryptoWall

CryptoWall est apparu en 2014, où il a ciblé les utilisateurs avec des systèmes d'exploitation Windows. Une souche de CryptoWall s'est propagée par le biais de malvertising sur le réseau publicitaire Zedo, ciblant plusieurs sites Web importants. Il a déployé la charge utile après avoir redirigé les utilisateurs vers des sites Web malveillants et utilisé le kit d'exploitation de plugin de navigateur. Barracuda Networks a observé que la charge utile était signée avec la signature numérique pour donner une fausse apparence d'authenticité.

CryptoWall 3.0 a été distribué par des emails frauduleux qui ont déployé la charge utile en exécutant un code malveillant dans le JavaScript, déguisé en fichier .jpg dans la pièce jointe de l'email. Il a également créé de nouvelles instances d'explorer.exe et de svchost.exe pour communiquer avec les serveurs et échapper à la détection.

Le ransomware a supprimé la copie d'ombre de volume et installé des logiciels espions pour voler des mots de passe et des portefeuilles Bitcoin pendant le chiffrement. Environ 1000 victimes ont contacté le FBI pour signaler une infection par CryptoWall avec une perte estimée à au moins 18 millions de dollars. La dernière souche de ransomware, CryptoWall 4.0, a modifié son code pour éviter la détection par les antivirus, et il a chiffré les fichiers ainsi que les noms de fichiers.

Fusob

Fusob est apparu en 2015 comme un ransomware mobile typique, qui effraie les utilisateurs pour les extorquer. Il affiche des messages d'avertissement pour payer une amende pour avoir commis des activités illégales sur votre appareil, sinon faire face à des conséquences légales. Le ransomware se déguise en lecteur vidéo pornographique et incite les utilisateurs à le télécharger.

Lorsqu'il est téléchargé, Fusob vérifie la langue de l'appareil mobile ; s'il utilise une langue autre que le russe ou certaines langues d'Europe de l'Est, il verrouille le système et exige une rançon pour le déverrouiller. Le ransomware a affecté des victimes en Allemagne, au Royaume-Uni et aux États-Unis.

WannaCry

WannaCry ransomware utilise un vecteur d'exploitation nommé Eternal Blue, qui aurait été divulgué par l'Agence nationale de sécurité des États-Unis (NSA). Il est apparu en mai 2017 et s'est propagé dans plus de 150 pays où il a exigé une rançon en Bitcoin.

L'attaquant a donné aux victimes un délai de sept jours, après quoi si une rançon de 300 $ n'était pas payée, ils supprimeraient les données et fichiers chiffrés. Il a affecté le National Health Service (NHS) britannique au point où 16 hôpitaux ont dû annuler des rendez-vous de patients et des opérations programmées.

Petya

Petya ransomware a fait son apparition en mars 2016. Il a ciblé le secteur de démarrage principal en chiffrant le système de fichiers NTFS. Lorsque le système redémarrait, Petya l'empêchait de démarrer sous Windows. En juin 2017, une souche de Petya a été utilisée pour mener une cyberattaque mondiale principalement ciblée sur l'Ukraine, mais a également affecté plusieurs autres pays.

Les experts en sécurité ont spéculé que l'attaque n'était pas destinée à extorquer une rançon à l'utilisateur, mais à causer des perturbations. En raison de certains changements de conception, il n'y avait aucun moyen de le déverrouiller après le paiement de la rançon.

SamSam

En 2016, une nouvelle variante de ransomware appelée SamSam a émergé, qui était destinée aux serveurs Jboss. Il exploitait des vulnérabilités sur des serveurs faibles en utilisant une attaque par force brute du protocole de bureau à distance (RDP) pour deviner des mots de passe faibles jusqu'à ce qu'un soit cassé.

Il a ciblé les agences de santé et gouvernementales, par lesquelles les auteurs ont extorqué environ 6 millions de dollars et causé une perte estimée à plus de 30 millions de dollars en dommages.

Protégez vos actifs contre le ransomware

Le ransomware a causé d'énormes dommages aux institutions et aux organisations en termes de finances et de réputation. Vous ne pouvez jamais prédire quand et comment il peut se présenter à votre porte numérique. La seule chose que vous pouvez faire est d'être conscient et préparé – toujours.

Prêt à passer à l'étape suivante ? Explorez les outils d'analyse des logiciels malveillants pour isoler et enquêter sur différents logiciels malveillants dans votre système.

Cet article a été publié à l'origine en 2020. Le contenu a été mis à jour avec de nouvelles informations.