Cybersécurité

Définition Ransomware

Définition Ransomware

Les rançons sont un sous-ensemble de logiciels malveillants dans lesquels les données de l’ordinateur d’une victime sont verrouillées – généralement par cryptage – et le paiement est exigé avant que les données rançonnées ne soient décryptées et que l’accès soit rendu à la victime. Le motif des attaques par demande de rançon est généralement monétaire et, contrairement aux autres types d’attaques, la victime est généralement informée qu’un exploit a eu lieu et reçoit des instructions sur la manière de se remettre de l’attaque. Le paiement est souvent exigé dans une monnaie virtuelle, telle que le bitcoin, de sorte que l’identité du cybercriminel n’est pas connue.

Les logiciels malveillants avec demande de rançon peuvent se propager par le biais de pièces jointes de courrier électronique malveillantes, d’applications logicielles infectées, de dispositifs de stockage externes infectés et de sites web compromis. Les attaques ont également utilisé le protocole de bureau à distance et d’autres approches qui ne reposent sur aucune forme d’interaction avec l’utilisateur.

Comment fonctionnent les attaques par logiciel rançon

Les kits de rançon sur le web profond ont permis à des cybercriminels d’acheter et d’utiliser des outils logiciels pour créer des rançons avec des capacités spécifiques. Ils peuvent ensuite générer ces logiciels malveillants pour leur propre distribution, les rançons étant versées sur leurs comptes bitcoin. Comme dans le reste du monde informatique, il est maintenant possible pour ceux qui n’ont pas ou peu de connaissances techniques de commander des logiciels contre rançon bon marché sous forme de service (RaaS) et de lancer des attaques avec un minimum d’efforts. Dans un scénario RaaS, le fournisseur perçoit les paiements de la rançon et prend un pourcentage avant de distribuer le produit à l’utilisateur du service.

Historique des logiciels de rançon

La première apparition documentée d’un logiciel de rançon remonte au virus du cheval de Troie du sida en 1989. Le cheval de Troie du sida a été créé par un biologiste formé à Harvard, Joseph Popp, qui a distribué 20 000 disquettes infectées intitulées « AIDS Information — Introductory Diskettes » aux chercheurs sur le sida lors de la conférence internationale sur le sida de l’Organisation mondiale de la santé. Les participants qui ont décidé d’insérer la disquette ont rencontré un virus qui bloquait les fichiers de l’utilisateur sur le lecteur de l’ordinateur, rendant le PC inutilisable. Pour déverrouiller leurs fichiers, les utilisateurs étaient obligés d’envoyer 189 dollars à une boîte postale appartenant à la PC Cyborg Corporation. Finalement, les utilisateurs ont pu contourner le virus et décrypter leurs fichiers parce que le virus utilisait des outils de cryptographie symétrique facilement résolus.

Mis à part le virus de Popp de 1989, les logiciels de rançon étaient relativement rares jusqu’au milieu des années 2000, lorsque les attaquants ont utilisé un cryptage plus sophistiqué pour extorquer leurs victimes. Par exemple, le ransomware Archievus utilisait un cryptage asymétrique RSA. Reveton, un virus datant de 2012, a accusé le système infecté d’être utilisé pour des activités illégales et a utilisé la webcam du système pour imiter le fait de filmer l’utilisateur, en utilisant des tactiques de peur pour collecter une rançon de 200 dollars.

Aujourd’hui, le vecteur d’attaque des logiciels de rançon s’est étendu pour inclure les applications utilisées sur l’internet des objets (IoT) et les appareils mobiles, et les virus incluent un cryptage plus complexe. Cela est dû en partie à la disponibilité de kits de rançon prêts à l’emploi — également appelés ransomware-as-a-service (RaaS) — disponibles sur le web noir, qui proposent un cryptage résultant de la collaboration entre les communautés de développeurs de rançon sur le web noir. Les rançonnements sont désormais beaucoup plus adaptés pour cibler les grandes organisations que les individus, ce qui signifie que des sommes d’argent exponentiellement plus importantes sont en jeu. Depuis l’époque de Joseph Popp, les rançonnements sont passés d’une nuisance mineure à une menace majeure.

 

 

Types de rançon

Les agresseurs peuvent utiliser l’une des différentes approches pour extorquer de l’argent numérique à leurs victimes. Par exemple :

  • Scareware : Ce malware se présente comme un logiciel de sécurité ou un support technique. Les victimes peuvent recevoir des notifications contextuelles indiquant qu’un logiciel malveillant a été découvert sur leur système. Le logiciel de sécurité dont l’utilisateur n’est pas propriétaire n’a pas accès à ces informations. Le fait de ne pas répondre à cette notification n’aura aucun effet, si ce n’est celui de provoquer d’autres pop-ups.
  • Les casiers d’écran : Aussi appelés simplement casiers, il s’agit d’un type de logiciel contre rançon conçu pour bloquer complètement les utilisateurs hors de leur ordinateur. Au démarrage de l’ordinateur, une victime peut voir ce qui semble être un sceau officiel du gouvernement, ce qui l’amène à croire qu’elle fait l’objet d’une enquête officielle. Après avoir été informée que des logiciels sans licence ou des contenus web illégaux ont été trouvés sur l’ordinateur, la victime reçoit des instructions sur la manière de payer une amende électronique. Cependant, les organismes gouvernementaux officiels ne le font pas ; ils passent plutôt par les voies et procédures légales appropriées.
  • Cryptage des logiciels de rançon : Il s’agit d’une attaque par enlèvement de données, qui permet à l’agresseur d’accéder aux données de la victime, de les crypter et de demander un paiement pour déverrouiller les fichiers. Une fois que cela se produit, il n’y a aucune garantie que la victime aura accès à ses données en retour, même si elle négocie pour l’obtenir. L’attaquant peut également chiffrer des fichiers sur des appareils infectés et gagner de l’argent en vendant un produit qui promet d’aider la victime à déverrouiller les fichiers et à prévenir de futures attaques de logiciels malveillants.
  • Doxware : Avec ce logiciel malveillant, un attaquant peut menacer de publier en ligne les données de la victime si celle-ci ne paie pas de rançon.
  • Logiciel de rançon de type « Master Boot Record » (MBR) : Avec ce logiciel, tout le disque dur est crypté, pas seulement les fichiers personnels de l’utilisateur, ce qui rend impossible l’accès au système d’exploitation.
  • Ransomware mobile : Ce rançonnement concerne les appareils mobiles. Un attaquant peut utiliser un logiciel de rançon mobile pour voler des données sur un téléphone ou le verrouiller et exiger une rançon pour renvoyer les données ou déverrouiller l’appareil.

Alors que les premiers cas de ces attaques se limitaient parfois à verrouiller l’accès au navigateur web ou au bureau Windows – et le faisaient d’une manière qui pouvait souvent être assez facilement inversée et rouverte – les pirates ont depuis créé des versions de logiciels rançonnés qui utilisent un cryptage fort à clé publique pour refuser l’accès aux fichiers sur l’ordinateur.

Les casiers d’écran et les logiciels de cryptage sont les deux principaux types de logiciels de rançon. Connaître la différence entre les deux permet de savoir ce qu’il faut faire en cas d’infection.

Comme décrit ci-dessus, les casiers d’écran bloquent complètement l’accès des utilisateurs à leur ordinateur jusqu’à ce qu’un paiement soit effectué. Les casiers d’écran refusent à l’utilisateur l’accès au système et aux fichiers infectés ; cependant, les données ne sont pas cryptées. Dans les systèmes Windows, un casier d’écran bloque également l’accès aux composants du système tels que le gestionnaire de tâches et l’éditeur de registre de Windows. L’écran est verrouillé jusqu’à ce que le paiement soit effectué. Généralement, la victime reçoit des instructions sur la manière de payer. Les casiers d’écran tentent également de tromper l’utilisateur en se faisant passer pour une organisation gouvernementale officielle.

Le cryptage des logiciels de rançon est l’une des formes les plus efficaces de logiciels de rançon aujourd’hui. Comme mentionné ci-dessus, un attaquant accède aux données de la victime et les crypte, en demandant un paiement pour déverrouiller les fichiers. Les attaquants utilisent des algorithmes de cryptage complexes pour chiffrer toutes les données enregistrées sur l’appareil. Une note est généralement laissée sur le système infligé avec des informations sur la façon de récupérer les données cryptées après le paiement. Par rapport aux casiers d’écran, le logiciel de cryptage contre rançon met les données de la victime en danger plus immédiat, et il n’y a aucune garantie que les données lui reviennent après négociation.

Dans les deux cas, la victime peut recevoir un message pop-up ou un courriel de demande de rançon l’avertissant que si la somme demandée n’est pas payée à une date précise, la clé privée nécessaire pour déverrouiller le dispositif ou décrypter les fichiers sera détruite.

 

Cibles des rançons

Les cibles des rançons peuvent varier d’un simple individu, d’une petite ou moyenne entreprise, d’une organisation au niveau de l’entreprise ou d’une ville entière. Par exemple, en 2018, le virus SamSam a utilisé une attaque Brute Force pour deviner des mots de passe faibles protégeant des infrastructures importantes de la ville d’Atlanta. Les applications utilisées par les habitants pour payer leurs factures et accéder aux informations judiciaires ont été fermées, ce qui a provoqué de graves problèmes dans les infrastructures de la ville. Il en est résulté des quantités incalculables de données compromises et des millions de dollars de coûts de récupération.

En décembre 2019, la ville de Pensacola, en Floride, a également été victime d’une attaque avec demande de rançon. Cette attaque a affecté le service clientèle et le paiement des factures en ligne de plusieurs services de la ville, notamment Pensacola Energy et Pensacola Sanitation Services.

Les institutions publiques sont particulièrement vulnérables aux logiciels de rançon car elles ne disposent pas de la cybersécurité nécessaire pour s’en défendre de manière adéquate. Il en va de même pour les petites et moyennes entreprises. En plus d’une cybersécurité imparfaite, les institutions publiques disposent de données irremplaçables qui pourraient les paralyser si elles n’étaient pas disponibles. Elles sont donc plus susceptibles de payer.

Statistiques sur les rançons

L’un des moyens par lesquels les escroqueries aux rançons peuvent prendre une telle ampleur est le manque de signalement. En 2018, safeatlast.co- – un site web qui propose aux consommateurs des évaluations, des avis et des statistiques sur divers systèmes de sécurité – a constaté que moins d’un quart des petites et moyennes entreprises signalent leurs attaques de logiciels contre les rançons. Cela s’explique par le fait qu’il y a peu de chances qu’elles récupèrent leur argent.

Toutefois, l’absence de signalement ne signifie pas que les attaques par logiciel contre rançon sont rares, surtout parmi les petites entreprises. Symantec a estimé que les petites entreprises (de 1 à 250 employés) ont le taux de courriels malveillants ciblés le plus élevé de tous les groupes démographiques, avec 1 courriel malveillant sur 323.

Une analyse de safeatlast.co a estimé qu’en 2019, une entreprise est victime d’une attaque de logiciel contre rançon toutes les 14 secondes. Cet intervalle devrait se réduire à toutes les 11 secondes d’ici 2021. Cela peut être attribué en partie à la prévalence croissante des dispositifs IdO, qui subissent en moyenne 5 200 attaques par mois selon Symantec.

Plus important encore, safeatlast.co a estimé en 2018 que 77 % des entreprises victimes d’une attaque par logiciel contre rançon étaient à jour dans leur technologie de sécurité des points d’accès. Cela prouve que l’utilisation et la maintenance correcte d’un logiciel moyen de défense des terminaux ne suffisent pas à dissuader les derniers logiciels de rançon.

Les statistiques sur les rançonnements indiquent généralement que les rançonnements sont potentiellement la préoccupation numéro un des entreprises car ils frappent fréquemment, ont la capacité d’immobiliser des sommes d’argent considérables et peuvent se répandre et évoluer très rapidement au-delà des défenses standard. En outre, les rançons elles-mêmes sont difficiles à suivre, environ 95 % de tous les bénéfices étant échangés par le biais d’une plateforme de cryptomonnaie selon safeatlast.co.

Les effets des logiciels de rançon sur les entreprises

L’impact d’une attaque de logiciel contre rançon sur une entreprise peut être dévastateur. Selon safeatlast.co, les rançons ont coûté aux entreprises plus de 8 milliards de dollars l’année dernière, et plus de la moitié des attaques de logiciels malveillants étaient des attaques avec rançon. Parmi les effets de ces attaques, on peut citer

  • Temps d’arrêt en raison d’une infrastructure compromise
  • Perte de productivité due aux temps d’arrêt
  • Des efforts de recouvrement coûteux qui dépassent potentiellement la rançon elle-même
  • Dommages à long terme aux données et à l’infrastructure de données
  • Atteinte à la réputation de sécurité d’une entreprise, la perte de clients et, dans le pire des cas, le risque de préjudice personnel si l’entreprise fait des affaires dans des services publics tels que les soins de santé

Prévention des attaques par rançon

Pour se protéger contre les menaces de logiciels de rançon et d’autres types de cyberextorsion, les experts invitent les utilisateurs à sauvegarder régulièrement leurs appareils informatiques et à mettre à jour leurs logiciels, y compris les logiciels antivirus. Les utilisateurs finaux devraient faire attention à ne pas cliquer sur les liens contenus dans les courriels d’inconnus ou à ne pas ouvrir les pièces jointes. Les victimes devraient faire tout leur possible pour éviter de payer des rançons.

Bien qu’il soit pratiquement impossible d’arrêter les attaques de logiciels contre rançon, les particuliers et les organisations peuvent prendre d’importantes mesures de protection des données pour s’assurer que les dommages sont minimes et que la récupération est aussi rapide que possible. Les stratégies comprennent :

le cloisonnement des systèmes d’authentification et des domaines ;
conserver des instantanés de stockage à jour en dehors du pool de stockage principal
en imposant des limites strictes quant aux personnes qui peuvent accéder aux données et aux moments où l’accès est autorisé.
Comment supprimer un logiciel de rançon
Il n’y a aucune garantie que les victimes puissent arrêter une attaque par logiciel contre rançon et récupérer leurs données ; cependant, il existe des méthodes qui peuvent fonctionner dans certains cas. Par exemple, les victimes peuvent arrêter et redémarrer leur système en mode sécurisé, installer un programme antimalware, scanner l’ordinateur et restaurer l’ordinateur dans un état antérieur non infecté.

Les victimes peuvent également restaurer leur système à partir d’une sauvegarde stockée sur un disque séparé. Si elles se trouvent dans le Cloud, les victimes peuvent alors reformater leur disque et restaurer à partir d’une sauvegarde précédente.

Les utilisateurs de Windows pourraient notamment utiliser la restauration du système, une fonction qui ramène les périphériques Windows (ainsi que les fichiers système) à un certain moment, dans ce cas, avant que l’ordinateur ne soit infecté. Pour que cela fonctionne, la restauration du système doit être activée au préalable, afin qu’elle puisse marquer un point dans le temps pour que l’ordinateur y revienne. Windows active la restauration du système par défaut.

Logiciel de rançon mobile

Les rançons mobiles sont des logiciels malveillants qui prennent en otage les données d’une victime et qui affectent les appareils mobiles, généralement les smartphones. Le principe de fonctionnement de ce type de logiciel est le même que celui des autres types de logiciels de rançon, à savoir qu’un utilisateur est bloqué par un attaquant qui lui interdit l’accès aux données de son appareil jusqu’à ce qu’il effectue un paiement à l’attaquant. Une fois que le logiciel malveillant est téléchargé sur l’appareil infecté, un message apparaît pour demander un paiement avant de déverrouiller l’appareil. Si la rançon est payée, un code est envoyé pour déverrouiller l’appareil ou décrypter ses données.

En général, le logiciel de rançon pour téléphone portable se cache comme une application légitime dans un magasin d’applications tiers. Les pirates choisissent généralement des applications populaires pour les imiter, attendant qu’un utilisateur sans méfiance les télécharge, et avec elles, le logiciel malveillant. Les utilisateurs de smartphones peuvent également être infectés par des logiciels de rançon pour téléphones portables en visitant des sites web ou en cliquant sur un lien qui apparaît dans un courriel ou un message texte.

Voici quelques conseils pour éviter d’être victime d’un logiciel de rançon pour téléphone portable :

  • Ne téléchargez pas d’applications en utilisant des app stores tiers (restez sur l’App Store d’Apple et le Play Store de Google).
  • Gardez les appareils et les applications mobiles à jour.
  • N’accordez pas de privilèges d’administrateur aux applications à moins qu’elles ne soient absolument fiables.
  • Ne cliquez pas sur les liens qui apparaissent dans les courriers électroniques non sollicités ou dans les messages textes provenant de sources inconnues.
  • Les utilisateurs d’appareils mobiles doivent également faire sauvegarder leurs données dans un autre endroit au cas où leur appareil serait infecté. Dans le pire des cas, cela permettrait au moins de garantir que les données de l’appareil ne seront pas perdues définitivement.

Les fameux logiciels de rançon : CryptoLocker et WannaCry

Le premier exemple d’une attaque largement répandue utilisant le cryptage à clé publique est peut-être le CryptoLocker, un cheval de Troie qui a été actif sur Internet de septembre 2013 à mai de l’année suivante. Le logiciel malveillant exigeait un paiement en bitcoin ou en bon prépayé, et les experts pensaient généralement que la cryptographie RSA utilisée, lorsqu’elle était correctement mise en œuvre, était essentiellement impénétrable. En mai 2014, cependant, une entreprise de sécurité a eu accès à un serveur de commande et de contrôle impliqué dans l’attaque et a récupéré les clés de cryptage utilisées. Un outil en ligne qui a permis la récupération gratuite des clés a permis de contrer efficacement l’attaque.

En mai 2017, une attaque appelée WannaCry a infecté et crypté plus d’un quart de million de systèmes dans le monde. Le malware utilise un cryptage asymétrique, de sorte qu’on ne peut raisonnablement attendre de la victime qu’elle récupère la clé (privée et non distribuée) nécessaire pour décrypter les fichiers rachetés.

Les paiements étaient exigés en bitcoin, ce qui signifie que le bénéficiaire de la rançon ne pouvait pas être identifié, mais aussi que les transactions étaient visibles et donc que le montant total de la rançon pouvait être comptabilisé. Pendant la semaine où WannaCry a été le plus virulent, environ 100 000 dollars en bitcoin ont été transférés, mais il n’y a pas de comptes rendus de données ayant été décryptées après le paiement.

L’impact de WannaCry a été prononcé dans certains cas. Par exemple, le Service national de santé du Royaume-Uni a été fortement touché et a été forcé de mettre les services hors ligne pendant l’attaque. Les rapports publiés ont laissé entendre que les dommages causés aux milliers d’entreprises touchées pourraient dépasser le milliard de dollars.

Selon le « Symantec 2017 Internet Security Threat Report », le montant de la rançon demandée a approximativement triplé par rapport aux deux années précédentes en 2016, la demande moyenne s’élevant à 1 077 dollars. Dans l’ensemble, il est difficile de dire à quelle fréquence ces demandes sont satisfaites. Une étude d’IBM a révélé que 70 % des cadres interrogés ont déclaré avoir payé une demande de rançon, mais une étude d’Osterman Research a révélé qu’à peine 3 % des entreprises basées aux États-Unis avaient payé – bien que les pourcentages dans d’autres pays soient considérablement plus élevés. Pour la plupart, le paiement semble fonctionner, bien qu’il ne soit en aucun cas sans risque. Un bulletin de sécurité Kaspersky de 2016 a affirmé que 20 % des entreprises qui ont choisi de payer la rançon exigée d’elles n’ont pas reçu leurs fichiers en retour.

L’IdO des logiciels de rançon n’est peut-être pas loin derrière. Deux chercheurs, Andrew Tierney et Ken Munro, ont fait la démonstration d’un logiciel malveillant qui attaquait, verrouillait et exigeait une rançon d’un bit sur un thermostat intelligent généralement disponible, lors de la conférence de 2016 sur le piratage de Def Con.

Tendances futures des logiciels de rançon

La tendance la plus significative à attendre des logiciels de rançon dans les années à venir est l’augmentation des attaques contre les services publics et les infrastructures publiques, car ce sont des institutions critiques ayant accès à de grosses sommes d’argent, et elles utilisent souvent des technologies de cybersécurité anciennes ou dépassées. Au fur et à mesure que la technologie des rançons continue de progresser, la marge technologique entre les attaquants et les cibles publiques pourrait s’élargir encore. Dans les secteurs publics visés, notamment celui des soins de santé, les attaques pourraient être plus coûteuses qu’auparavant dans les années à venir.

Les prévisions indiquent également que les petites entreprises qui utilisent des logiciels de sécurité obsolètes sont de plus en plus souvent visées. Avec l’augmentation du nombre d’appareils professionnels dans l’IdO, les petites entreprises ne peuvent plus penser qu’elles sont trop petites pour être prises en compte pour une attaque importante. Le vecteur d’attaque se développe de manière exponentielle, et leurs méthodes de sécurité ne le sont pas. Pour cette même raison, on prévoit que les appareils domestiques seront progressivement des cibles de plus en plus probables.

L’utilisation accrue des appareils mobiles intensifie également le recours aux attaques d’ingénierie sociale qui ouvrent la porte à une attaque par logiciel contre rançon. Les méthodes d’ingénierie sociale telles que le phishing, l’appât, la contrepartie, le prétexte et le piggybacking, sont la proie de la manipulation de la psychologie humaine.

Une étude d’IBM affirme que les utilisateurs sont trois fois plus susceptibles de répondre à une attaque de phishing sur un appareil mobile que sur un ordinateur de bureau, en partie parce que c’est là que les utilisateurs voient le plus probablement le message en premier.

Verizon a également publié une recherche indiquant que le succès de l’ingénierie sociale sur les appareils mobiles est probablement dû au fait que les écrans plus petits limitent la quantité d’informations détaillées qui sont affichées. Les appareils mobiles compensent cela par des notifications plus petites et des options de réponse aux messages et aux liens ouverts en une seule touche, ce qui rend la réponse plus efficace mais accélère également le processus de chute de prières face à une attaque de phishing.

Une autre tendance est l’augmentation du vol ou du partage de code. Par exemple, deux grandes campagnes de rançon (Ryuk et Hermès) se sont avérées avoir un code très similaire. Les responsables ont d’abord supposé que les deux variantes de logiciels de rançon provenaient du même groupe d’acteurs, mais ont ensuite découvert qu’une grande partie du code de Ryuk était simplement copié de celui d’Hermès. En fait, Ryuk provient d’un groupe distinct et sans lien avec les acteurs de la menace d’un autre pays.

Enfin, à long terme, l’éventuelle transformation quantique pourrait rendre inutiles de nombreuses méthodes de cryptage plus anciennes basées sur l’informatique classique, ouvrant ainsi la porte à une foule de cybermenaces, y compris les logiciels de rançon.

Ecrire un commentaire