Ransomware


Depuis le milieu des années 2000, les ransomwares représentent un défi majeur pour les personnes, les multinationales et les petites et moyennes entreprises. Selon le FBI, l’Internet Crime Complaint Center (IC3) a enregistré 1 783 plaintes en 2017, pour un coût de plus de 2,3 millions de dollars. Ces plaintes ne reflètent toutefois que les attaques soumises à l’IC3.

Le nombre réel d’attaques et leurs dépenses étant bien plus élevés, de nombreuses entreprises souhaitent les gérer en interne afin d’éviter tout retour défavorable des médias ou des parties prenantes qui pourrait nuire à leur marque. En 2017, environ 184 millions d’attaques ont été signalées, selon Statista.

Au départ, les ransomwares s’attaquaient aux personnes, et cela reste la majorité des menaces à ce jour. Cependant, en cours de route, les attaquants ont commencé à s’en prendre aux organisations qui ne pouvaient pas fonctionner sans un accès complet à leurs dossiers, comme les hôpitaux, les universités et les services gouvernementaux. Dans ce billet, nous allons parler des logiciels malveillants, de la façon de les arrêter, de ce qu’il faut faire en cas de compromission et de la valeur des sauvegardes.

Qu’est-ce qu’un ransomware ?

Un ransomware est une forme de rançongiciel qui est délibérément programmé pour vous interdire l’accès à votre appareil ou pour crypter vos fichiers, le rendant ainsi inaccessible. En outre, il exploitera les bogues de votre système d’exploitation et se propagera à d’autres réseaux ou systèmes.

Si le ransomware a réussi à compromettre vos appareils, l’auteur demande une rançon (d’où son nom) en échange de l’abandon de l’accès et du contrôle de vos systèmes ou du décryptage de vos fichiers. Les crypto-malwares, lockwares, scarewares, Doxwares (leakwares) et Ransom as a Service sont tous des exemples de ransomware (RaaS).

Ces cybercriminels mènent généralement ces attaques à distance et réclament des paiements intraçables et non remboursables sous forme de crypto-monnaies, dont le bitcoin. Les criminels sont allés jusqu’à réclamer un paiement sous la forme de cartes-cadeaux telles que Google Play ou Apple iTunes, qui peuvent ensuite être transformées en marchandises ou en espèces dans certaines attaques récentes de ransomware.

Malheureusement, les attaques actives de ransomware ne laissent presque jamais de traces numériques permettant de retrouver les attaquants ou de récupérer l’argent versé. En outre, même si vous payez la rançon, il n’y a aucune garantie que les données seront complètement décryptées.

Les origines et le développement des ransomwares

Le premier cas s’est produit en 1989, lorsqu’un biologiste formé à Harvard a apparemment contaminé les ordinateurs de nombreux participants à la réunion interne de l’OMS sur le sida. À partir du milieu des années 2000, les cybercriminels ont été de plus en plus inventifs dans leurs attaques et, après 2012, les ransomwares se sont répandus dans le monde entier en utilisant le chiffrement asymétrique RSA.

Les ransomwares d’aujourd’hui sont plus sophistiqués dans leur capacité à chiffrer les données, à éviter la détection, à se propager dans les réseaux et à contraindre les utilisateurs à payer une rançon. Les méthodes de production avancées, telles que l’utilisation de chiffreurs pour rendre la rétro-ingénierie incroyablement compliquée, ou l’utilisation d’efforts de diffusion avancés, tels que des infrastructures préconstruites qui livrent de nouvelles variétés à grande échelle et efficacement, font partie de la nouvelle ère d’assauts.

Les efforts d’hameçonnage supplantent rapidement les diffusions classiques d’e-mails d’hameçonnage, qui sont désormais souvent filtrés comme des spams. Des attaquants plus avancés ont créé des boîtes à outils téléchargeables pouvant être utilisées par des personnes ayant peu de connaissances technologiques. D’autres systèmes de monétisation des ransomwares existent, tels que les programmes RaaS qui ont révolutionné CryptoLocker, Locky, CryptoWall et TeslaCrypt.

En outre, les attaquants s’appuient désormais sur des mécanismes de chiffrement hors ligne qui tirent parti des fonctionnalités légitimes des appareils (comme la CryptoAPI de Microsoft) pour supprimer la nécessité de communications de commande et de contrôle.

Quelles sont les victimes visées par les auteurs de ransomware ?

Au fil des ans, les ransomwares sont passés des pièces jointes de base aux sites Web compromis, aux applications pour smartphones et même aux publicités automatisées. Sa popularité a augmenté sur le Dark Web, où il est commercialisé sous la forme de portails RaaS (Ransom as a Service). Parmi les objectifs possibles, citons :

– Les hôpitaux : en raison de la sensibilité de ses données, le secteur des soins de santé est probablement la cible la plus précieuse. Si les données de santé ne sont pas disponibles, cela peut avoir des conséquences dramatiques, comme la mort.
– Les utilisateurs d’Android : en raison de leur dépendance aux applications mobiles, ces appareils sont devenus vulnérables aux attaques de logiciels malveillants. Comme ces appareils détiennent une grande quantité de données personnelles, les attaquants vont facilement pirater notre mode de vie connecté pour en tirer un bénéfice personnel. Lorsque vous téléchargez un logiciel mobile infecté, le smartphone est décrypté.
– Gouvernement : Les services gouvernementaux fournissent une multitude d’informations sensibles, ce qui en fait des cibles idéales pour les cyberattaques. En outre, les attaquants comprennent que ces organisations doivent rester opérationnelles à tout moment.
– Établissements d’enseignement : Ces établissements sont ciblés non seulement parce qu’ils fournissent des données sensibles, mais aussi parce qu’ils ont peu de pouvoir sur les appareils qui se connectent à leurs réseaux.
– Les entreprises d’énergie et de services : Ces deux secteurs sont ciblés dans le même but que les agences gouvernementales : ils traitent des données classifiées et doivent rester actifs.

Comment les logiciels malveillants s’introduisent-ils dans votre système ?

Les ransomwares peuvent être distribués de différentes manières, la plus courante étant les courriels d’hameçonnage contenant des pièces jointes malveillantes. Dans cette situation, les pièces jointes des courriels semblent être des données authentiques provenant d’une source fiable. Lorsque vous ouvrez un fichier infecté, il peut prendre possession de votre appareil, en particulier s’il dispose d’une technique d’ingénierie sociale intégrée pour vous inciter à accorder un accès administratif. D’autres familles de ransomware, plus malveillantes, profitent des failles de sécurité de votre système pour infecter et crypter votre appareil sans recourir à la tromperie.

Les attaquants peuvent également utiliser des messages trompeurs sur les médias sociaux pour obtenir l’accès aux ordinateurs des victimes. L’une des plateformes les plus utilisées est Facebook Messenger. Dans ce cas, l’intrus crée un compte qui ressemble à l’un de vos camarades actuels. Ensuite, il envoie des messages contenant des pièces jointes. Lorsque vous les ouvrez, l’intrus obtient l’accès à votre routeur et désactive toutes les connexions réseau.

Les téléchargements furtifs peuvent également corrompre votre appareil. Cela se produit chaque fois que vous accédez sans le savoir à un site Web compromis, ce qui entraîne le téléchargement et l’activation de logiciels malveillants à votre insu. L’intrus crypte alors les données présentes sur votre écran.

Une version connue sous le nom de crypto-ransomware crypte les fichiers et se propage de manière similaire via les médias sociaux (applications de messagerie instantanée sur le web). Parmi les autres méthodes de contamination figurent l’utilisation de fenêtres pop-up en ligne et la manipulation de serveurs web compromis pour accéder au réseau de l’organisation.

La première chose que fait un intrus après avoir pris possession de votre appareil est de verrouiller ou de crypter vos fichiers. Après l’attaque, il sera impossible d’accéder à vos fichiers ou de les décrypter sans une clé connue uniquement de votre agresseur et vraisemblablement enregistrée sur son système.

À ce stade, vous recevrez un message détaillant l’inaccessibilité de vos fichiers ainsi qu’une demande de rançon sous la forme d’un mécanisme de paiement intraçable tel qu’une crypto-monnaie. Votre attaquant peut être assez ingénieux pour se faire passer pour un agent des forces de l’ordre et dire que les appareils ont été fermés suite à la découverte de matériel illicite tel que des logiciels piratés ou de la pornographie. Il réclame ensuite un dédommagement sous la forme d’une amende.

Votre agresseur peut menacer d’exposer toutes les données confidentielles de votre ordinateur jusqu’à ce que vous le payiez, dans le cadre d’une attaque de type leakware ou doxware. Toutefois, comme la localisation et la récupération de ces données nécessitent des compétences techniques, les formes d’attaques les plus répandues sont celles qui font appel à la cryptographie.

Quel est l’objectif de la protection contre les ransomwares ?

Selon le ministère américain de la justice, cette cybercriminalité est susceptible d’avoir des ramifications mondiales. Les ransomwares, comme tout autre logiciel malveillant, infectent un appareil en cliquant sur des liens dangereux ou en installant des programmes dangereux.

Ils ne sont toutefois pas désactivés lorsque vous flashez votre BIOS, nettoyez votre disque ou tentez de restaurer votre système d’exploitation à un stade de restauration antérieur, comme c’est le cas pour les autres attaques de logiciels malveillants. Avant la demande de rançon, l’ordinateur verrouille les fichiers. Simultanément, l’intrus génère une clé de décryptage unique en son genre et la met en cache sur ses serveurs.

Si vous ne payez pas la rançon à temps ou si vous tentez de modifier le schéma de cryptage, la clé de décryptage est irrémédiablement supprimée, ce qui rend tous vos fichiers cryptés indisponibles. La plupart des attaques similaires s’arrêtent généralement lorsque l’utilisateur paie la somme demandée.

Si une machine contaminée peut encore être utilisée, la possibilité de détruire des données sensibles peut avoir un effet considérable sur la productivité. Voici quelques conséquences de cette agression :

– La perte ou la dégradation d’enregistrements vitaux.
– Temps d’arrêt dans l’entreprise.
– L’infliction de dommages aux systèmes, fichiers et données de l’hôte.
– Le chaos dans l’entreprise à la suite de l’attaque.
– Atteinte à la réputation de l’entreprise.

Comment prévenir les rançongiciels

Les rançongiciels peuvent être effrayants car ils risquent de détruire des dossiers personnels et professionnels sensibles. Ils peuvent également avoir d’autres conséquences à court et à long terme, même si vous payez la rançon. Il existe toutefois plusieurs techniques anti-ransomware que vous pouvez utiliser pour vous protéger, vous et votre entreprise.

1. Faites une sauvegarde de vos fichiers.

Ne gardez pas toutes vos données au même endroit. Des sauvegardes de données régulières sont nécessaires car elles vous aident à récupérer certaines données manquantes suite à des attaques de ransomware et autres catastrophes. Il convient de noter que CryptoLocker recherche et crypte également les données sur les lecteurs mappés. Par conséquent, un plan de sauvegarde de routine vers un fournisseur de sauvegarde externe ou un lecteur auquel on n’a pas attribué de lettre de lecteur ou qui est supprimé alors qu’aucune sauvegarde n’est en cours est nécessaire.

2. Afficher les extensions de fichiers secrètes

Étant donné que les attaquants dépendent du comportement par défaut de Windows qui consiste à ne pas afficher ou à masquer les extensions de fichiers connues, CryptoLocker arrive souvent dans un fichier appelé avec une extension « .PDF.EXE ». Par conséquent, permettre à votre machine de voir l’ensemble des extensions de fichiers vous permet d’identifier rapidement les extensions douteuses.

3. Désactivez les fichiers qui sont exécutés à partir du répertoire Local AppData ou AppData.

CryptoLocker a l’habitude d’exécuter des fichiers exécutables à partir des répertoires Local AppData et AppData. Par conséquent, vous pouvez utiliser Windows ou des outils de détection d’intrusion pour établir des lois dans votre code qui interdisent cette activité. Vous devez tout de même supprimer les fichiers de programme valides du répertoire AppData.

4. Exclure les EXE des e-mails

Si vous disposez d’un scanner de passerelle de courrier électronique capable de trier les fichiers envoyés par nom de fichier, vous pouvez rejeter les courriers électroniques comportant des extensions de fichier « .exe » ou tout fichier soumis avec plus d’une extension de fichier – dont l’une est une extension exécutable.

Si vous devez accepter ou transférer des fichiers exécutables dans votre environnement après avoir refusé les e-mails avec des extensions « .exe », vous pouvez utiliser des fichiers ZIP protégés par un mot de passe ou partager des e-mails via des fournisseurs de cloud.

5. Désactivez le protocole RDP.

Le Cryptolocker/Filecoder accède aux machines cibles via le protocole RDP (Remote Desktop Protocol). Il s’agit d’une application Windows qui permet à d’autres utilisateurs de contrôler à distance le bureau. La désactivation du protocole RDP peut contribuer à protéger l’ordinateur contre les attaques à distance.

6. Formez votre personnel

La sécurité est en effet un effort conjoint entre vous et votre personnel. Par conséquent, veillez toujours à ce que vos employés reçoivent une formation continue et actualisée sur la sécurité des appareils et des réseaux, l’évaluation des menaces et leur rôle dans la lutte contre la cybercriminalité.

7. Réparez ou mettez à niveau votre appareil

Les auteurs de logiciels malveillants s’intéressent souvent aux utilisateurs qui utilisent des applications obsolètes présentant des bogues connus qu’ils peuvent manipuler pour en tirer un avantage personnel ou financier. Des mises à jour régulières des logiciels réduiront considérablement la probabilité d’une attaque. En réalité, certains fournisseurs publient à la fois des mises à jour de sécurité quotidiennes et des mises à jour d’urgence.

Pour obtenir des mises à jour, vous pouvez soit autoriser les mises à jour automatiques, soit visiter manuellement le site Web d’un fournisseur. Les auteurs aiment aussi masquer leurs applications sous forme d’alertes de mise à jour, alors méfiez-vous.

8. Utilisez une suite de protection fiable.

L’utilisation d’un pare-feu réseau et d’un logiciel anti-malware vous aidera à détecter une éventuelle vulnérabilité ou une activité inhabituelle. Comme les auteurs de logiciels malveillants envoient toujours de nouvelles versions pour échapper à la détection, vous avez besoin des deux couches de protection.

La majorité des logiciels malveillants s’appuient sur des commandes à distance pour fonctionner. Si vous découvrez une nouvelle version de ransomware qui a dépassé votre programme de protection, il est fort probable qu’elle ne passera pas à travers votre pare-feu lorsqu’elle tentera de communiquer à distance avec son serveur de commande et de contrôle (C&C).

9. Empêchez les personnes non autorisées d’entrer.

Il existe certaines précautions que vous pouvez prendre pour éviter toute entrée indésirable. Ces pratiques de protection renforceront considérablement vos défenses et vous protégeront contre divers types de cyberattaques. Elles sont les suivantes :

– Ne mettez jamais à jour des applications ou n’attribuez pas de droits d’administration à moins que cela ne provienne d’une source fiable et que vous compreniez ce que cela fait.
– Installez un logiciel anti-virus afin que l’appareil puisse repérer les programmes malveillants dès leur apparition.
– Configurez des outils de liste blanche pour décourager l’exécution de programmes indésirables.

10. Utilisez des contraintes équitables.

Vous pouvez imposer des contraintes à tout entrepreneur ou employé qui :

– Utilise des ordinateurs qui stockent des documents, des fichiers ou des applications professionnels.
– Fait usage d’ordinateurs connectés au réseau qui peuvent être rendus vulnérables.
– Est un tiers ou un employé temporaire.

11. Maintenir une surveillance appropriée des certificats

Toute personne ayant accès à l’infrastructure, qu’il s’agisse d’un employé ou d’un contractant, constitue un nouveau point de faiblesse pour les attaquants. Le pourrissement des mots de passe, les limites inappropriées et l’absence de modification des informations d’identification sont autant de facteurs qui augmentent la probabilité d’une attaque.

Stratégies de détection des ransomwares

Pour assurer une sécurité complète, vous devez intégrer une méthode de détection à multiples facettes. La sécurité des systèmes utilisateurs, la prévention des intrusions, la protection antivirus des serveurs, la détection des ransomwares identifiés, la journalisation centrale pour la corrélation des incidents, le suivi des ports réseau et la détection des modèles de données doivent être inclus.

La détection précoce d’une activité malveillante permet de l’atténuer rapidement avant qu’elle ne se propage et ne cause d’autres dommages. Les deux dispositifs compromis doivent être mis en quarantaine, corrigés et réinstallés. Vos systèmes ne détecteront pas une attaque par ransomware avant qu’il ne soit trop tard et que vous ne puissiez plus accéder à vos fichiers. Les sauvegardes peuvent également être corrompues, ce qui les rend obsolètes.

Par conséquent, pendant le processus d’identification, les administrateurs de vos appareils doivent rester vigilants afin de lancer rapidement des mesures de confinement pour éviter l’intrusion et récupérer les données cryptées. Les administrateurs de systèmes peuvent également installer des logiciels tiers qui aident à la détection des menaces.

Récupération de fichiers

Malheureusement, en matière de cybersécurité, il n’existe aucune garantie. Quelle que soit l’efficacité du département informatique à identifier et à stopper les menaces, certaines attaques poussent les organisations dans le processus de récupération.

Dans ce cas, le temps de récupération est déterminé par l’ampleur de l’attaque ainsi que par le niveau de préparation. Quelle que soit l’ampleur, du chiffrement de quelques fichiers à la destruction des données d’un site entier, ce sont normalement les données les plus sensibles qui sont attaquées. Tout au long de l’opération, vos procédures et équipements d’intervention d’urgence seront utilisés et vérifiés.

Comment se protéger contre les attaques de ransomware

Votre capacité à vous défendre contre les ransomwares est largement déterminée par votre expérience. Vous devriez passer un peu de temps à rechercher les meilleurs choix en matière de mises à niveau de sécurité et de sauvegardes automatiques des données. Votre priorité absolue devrait être de vous former, vous et vos collègues, aux signes révélateurs d’une menace ou d’une attaque, ainsi qu’aux méthodes de diffusion telles que les pages usurpées, les téléchargements furtifs et les attaques de phishing.

Vous devez également intégrer des solutions technologiques pour vous protéger contre les menaces avancées. Les capacités de détection et de réponse des points d’extrémité (EDR) sont parfaites pour suivre le fonctionnement du réseau et des points d’extrémité afin de reconnaître les risques, de s’en protéger et de les minimiser. Les logiciels sécurisés contribuent également à la détection et à la prévention des ransomwares et d’autres types de menaces.

Logiciels anti-ransomware

Il existe trois types de logiciels de suppression et de protection contre les ransomwares. Le premier groupe comprend des équipements de désinfection pour les machines qui doivent être certifiées sûres avant que les données puissent être récupérées après un incident. Cette fonctionnalité est disponible dans de nombreux programmes antivirus populaires.

Le second groupe contient des techniques de décryptage qui sont activées après le début d’une attaque. Malheureusement, ces ressources sont minimes et dépendent des chercheurs qui récupèrent des ensembles de données clés individuelles auprès des attaquants capturés.

Le troisième groupe contient des techniques de sécurité qui utilisent l’analyse comportementale pour détecter les incidents susceptibles d’indiquer l’existence d’un ransomware sur un serveur et l’interrompre avant que le mal ne soit fait.

Les appareils Computer Safe, le logiciel de verrouillage d’écran Trend Micro, les outils Avast, BitDefender, les outils de décryptage de Kaspersky Lab, les outils de décryptage d’AVG, les outils Webroot SecureAnywhere, Malwarebytes, McAfee Interceptor Review, No More Ransom et CryptoPrevent figurent parmi les meilleurs outils de lutte contre les ransomwares disponibles aujourd’hui.

Mise à l’épreuve des logiciels anti-ransomware

Il est très difficile de tester l’efficacité d’un logiciel de sécurité contre les ransomwares sur des échantillons réels. En outre, certaines ressources sont propres à des événements historiques spécifiques et peuvent ne plus être disponibles aujourd’hui.

Cependant, la mise en place d’une machine virtuelle (VM) qui correspond à la configuration de votre appareil et qui n’a aucune connectivité réseau réelle pourrait être le moyen le plus simple de mesurer l’utilité de ces outils. À partir de là, vous pouvez tester divers scénarios d’attaque et utiliser les points de restauration de vos sauvegardes (comme les appliances Computer Safe) pour déterminer leur efficacité.

En conclusion

Ces dernières années, les crypto-ransomwares attaquant les ordinateurs sont devenus un phénomène très répandu. Sans un logiciel de sécurité contre les ransomwares et une préparation adéquate, il est trop tard pour tirer la prise et éviter toute compromission lorsque vous voyez la note de rançon. L’introduction de diverses variantes, telles que WannaCry/NotPetya, a montré les dégâts considérables que peut causer une attaque largement répandue.

Bien que les systèmes antivirus soient désormais mieux adaptés pour identifier et prévenir des formes spécifiques de ransomware (généralement en prêtant attention à un comportement inhabituel), la meilleure protection contre cette attaque et d’autres malwares reste une sauvegarde appropriée. Les appareils Computer Safe disposent d’une variété de dispositifs qui vous aident à prévenir et à détecter les menaces, ainsi qu’à restaurer vos fichiers.