Depuis le milieu des années 2000, les ransomwares constituent une menace importante pour les particuliers, les grandes entreprises ainsi que les petites et moyennes entreprises. Selon le FBI, l'Internet Crime Complaint Center (IC3) a reçu 1 783 plaintes en 2017 pour un coût total de plus de 2,3 millions de dollars. Cependant, ces plaintes ne représentent que les attaques signalées à l'IC3.
Le nombre réel d'attaques et leurs coûts sont beaucoup plus élevés, puisque de nombreuses organisations choisissent de gérer les affaires en interne pour éviter toute réaction négative du public ou des parties prenantes qui pourrait nuire à leur réputation. Selon Statista, environ 184 millions d'attaques ont été enregistrées en 2017.
Initialement, les ransomwares ciblaient des individus, ce qui constitue toujours la majorité des attaques à ce jour. En cours de route, cependant, les attaquants ont commencé à cibler des institutions qui ne pouvaient pas poursuivre leur activité sans avoir pleinement accès à leurs données, notamment des hôpitaux, des universités et des bureaux gouvernementaux. Dans cet article, nous traiterons de tout ce qui concerne les ransomwares, comment les éviter, ce qu'il faut faire si vous êtes infecté et l'importance des sauvegardes.
Il s'agit d'un type de malware spécialement conçu pour vous empêcher d'accéder à votre ordinateur ou pour chiffrer vos données afin que vous ne puissiez pas y accéder. Il peut, en outre, tirer parti des vulnérabilités de votre système d'exploitation et se propager à d'autres réseaux ou systèmes.
Une fois que le ransomware a réussi à infecter vos ordinateurs, l'individu derrière l'attaque demande alors une rançon (d'où le nom) pour abandonner l'accès et le contrôle de vos systèmes ou pour déchiffrer vos données. Parmi les types de ransomwares, on trouve notamment les crypto-logiciels malveillants, les verrouilleurs, les scarewares, les Doxware (leakwares) et les Ransom en tant que service (RaaS).
Ces cybercriminels lancent généralement de telles attaques à distance et exigent des paiements non traçables et non remboursables sous forme de crypto-monnaies telles que les bitcoins. Dans certaines attaques récentes de ransomwares, les criminels sont allés plus loin pour demander un paiement sous forme de cartes-cadeaux telles que Google Play ou Apple iTunes, qui peuvent ensuite être converties en marchandises ou en espèces.
Malheureusement, les attaques de ransomwares réussies laissent rarement derrière elles des preuves numériques qui peuvent être utilisées pour retrouver les coupables ou récupérer les sommes versées. De plus, rien ne garantit que vos données seront entièrement déchiffrées même si vous payez la rançon.
Le premier incident remonte à 1989 lorsque, apparemment, un biologiste formé à Harvard a infecté les ordinateurs de plusieurs participants à la conférence interne de l'OMS sur le SIDA. À partir du milieu des années 2000, les cybercriminels sont devenus plus créatifs dans leurs attaques, et après 2012, les ransomwares se sont répandus dans le monde avec l'utilisation du chiffrement RSA asymétrique.
Aujourd'hui, les variétés de ransomwares sont devenues de plus en plus avancées en ce qui concerne leurs capacités de chiffrement de fichiers, de contournement de la détection, de propagation sur les systèmes et de contrainte des utilisateurs à verser des rançons. La nouvelle ère des attaques implique des techniques de développement avancées telles que l'utilisation de crypteurs pour rendre la rétro-ingénierie extrêmement difficile ou l'utilisation d'efforts de distribution avancés, y compris des infrastructures pré-construites qui distribuent largement et facilement de nouvelles variétés.
Les campagnes de hameçonnage remplacent rapidement les diffusions de courriers électroniques de phishing traditionnelles, car ces dernières sont désormais fréquemment filtrées comme spam. Des attaquants plus sophistiqués ont développé des boîtes à outils téléchargeables qui peuvent être déployées par des personnes ayant moins de compétences techniques. Il existe d'autres formes de schémas de monétisation de ransomwares, notamment les programmes RaaS qui ont révolutionné CryptoLocker, Locky, CryptoWall et TeslaCrypt.
De plus, les attaquants utilisent désormais des méthodes de chiffrement hors ligne qui tirent parti des fonctionnalités système légitimes (comme CryptoAPI de Microsoft) pour éliminer le besoin de communications de commande et de contrôle.
Les ransomwares peuvent se propager de plusieurs façons, les plus courantes étant les courriers électroniques de phishing contenant des pièces jointes malveillantes. Dans ce cas, les pièces jointes aux courriers électroniques se font passer pour des fichiers légitimes provenant d'une source fiable. Une fois que vous avez téléchargé et ouvert un fichier infecté, il peut prendre le contrôle de votre ordinateur, surtout s'il dispose d'un outil d'ingénierie sociale intégré pour vous inciter à autoriser l'accès administratif. D'autres types de familles de ransomwares plus agressifs exploitent les failles de sécurité de votre système pour infecter et chiffrer votre ordinateur sans avoir besoin de supercherie.
Les attaquants utilisent également des messages trompeurs sur les réseaux sociaux pour accéder aux ordinateurs des victimes. Facebook Messenger est l'un des canaux les plus couramment utilisés. Ici, l'attaquant crée un compte qui imite celui d'un de vos amis actuels. Il envoie ensuite des messages avec des pièces jointes. Une fois que vous les ouvrez, l'attaquant accède à votre appareil et verrouille tous les réseaux connectés.
Votre ordinateur peut également être infecté par le téléchargement furtif. Cela se produit lorsque vous visitez sans le savoir un site web infecté, ce qui entraîne le téléchargement et l'installation de logiciels malveillants à votre insu. Votre attaquant peut alors chiffrer les données de votre ordinateur.
Une variante appelée crypto-ransomware est utilisée pour chiffrer vos fichiers et se propage de manière similaire sur les réseaux sociaux (applications de messagerie instantanée basées sur le Web). Il existe d'autres méthodes d'infection telles que l'exploitation de serveurs web vulnérables pour accéder au réseau de votre organisation et l'utilisation de fenêtres contextuelles en ligne.
Une fois qu'un attaquant a pris le contrôle de votre ordinateur, la première chose qu'il fait est de verrouiller ou de chiffrer vos fichiers. À la fin de l'attaque, vos fichiers ne peuvent pas être ouverts ou déchiffrés sans une clé connue uniquement de votre attaquant et probablement stockée sur son système.
À ce stade, vous recevez un message expliquant l'état inaccessible de vos fichiers et une demande de rançon via un mode de paiement intraçable tel que la crypto-monnaie. Parfois, votre attaquant peut être suffisamment créatif pour assumer l'identité d'un organisme d'application de la loi et prétendre avoir arrêté vos systèmes en raison de la présence de contenu illégal tel que des logiciels piratés ou de la pornographie. Ils demandent ensuite un paiement sous forme d'amende.
Dans une attaque de leakware ou de doxware, votre attaquant menacera de publier toutes les données sensibles sur votre appareil à moins que vous ne les payiez. Cependant, comme la recherche et l'extraction de ces données nécessitent une expertise technique, les types d'attaques les plus courants sont liés au chiffrement.
Le ransomware a évolué au fil des ans, passant de simples pièces jointes à des sites web infectés, des applications mobiles et même des publicités numériques. Son efficacité a augmenté sa demande sur le Dark Web où il est vendu sous forme de portails RaaS (Ransom en tant que service). Les cibles potentielles sont notamment :
Selon le département américain de la justice, cette cybercriminalité a le potentiel d'avoir des impacts à l'échelle mondiale. Comme la plupart des autres logiciels malveillants, les ransomwares infectent souvent un ordinateur en cliquant sur des liens dangereux ou en téléchargeant des programmes dangereux.
Cependant, contrairement à d'autres attaques de logiciels malveillants, ils ne sont pas supprimés lorsque vous flashez votre BIOS, nettoyez votre lecteur ou essayez de restaurer votre système d'exploitation à un point de restauration antérieur. Le programme verrouille vos fichiers avant la demande de rançon. Dans le même temps, l'attaquant crée une clé de déchiffrement unique et la stocke sur ses serveurs.
Le non-paiement de la rançon à temps ou toute tentative de modification du programme de chiffrement entraîne la suppression définitive de la clé de déchiffrement, ce qui rend tous vos fichiers verrouillés inaccessibles. Le plus souvent, la plupart des attaques similaires ne prennent fin que lorsque la victime paie le montant demandé.
Bien que vous puissiez toujours utiliser un ordinateur infecté, le risque de perdre des données précieuses peut avoir un impact important sur la productivité. Les autres impacts de cette attaque sont notamment :
Les ransomwares peuvent être effrayants car vous risquez de perdre des données personnelles et d'entreprise critiques dans le processus et peuvent entraîner d'autres effets à court et à long terme même si vous payez la rançon. Cependant, il existe quelques stratégies anti-ransomware que vous pouvez utiliser pour vous protéger et pour protéger votre entreprise.
Ne stockez pas toutes vos données au même endroit. Une sauvegarde régulière des données est nécessaire car elle vous permet de restaurer toutes les données perdues à la suite d'attaques de ransomwares et d'autres catastrophes. Notez que CryptoLocker recherche et chiffre également les données sur des lecteurs mappés. Par conséquent, vous avez besoin d'une planification de sauvegarde régulière vers un service de sauvegarde externe ou un lecteur auquel aucune lettre de lecteur n'est attribuée ou qui est déconnecté lorsqu'aucune sauvegarde n'est en cours.
CryptoLocker arrive fréquemment dans un fichier nommé avec une extension « .PDF.EXE » parce que les attaquants comptent sur le comportement par défaut de Windows pour ne pas afficher ou cacher les extensions de fichier connues. Par conséquent, en permettant à votre ordinateur de voir les extensions de fichier complètes, vous pouvez facilement repérer les extensions suspectes.
Un comportement particulier de CryptoLocker est d'exécuter ses fichiers exécutables à partir des dossiers Local AppData et AppData. Ainsi, vous pouvez créer des règles au sein de votre système, via Windows ou un logiciel de prévention des intrusions, pour interdire ce comportement. Vous pouvez toujours exclure les fichiers de programme légitimes qui s'exécutent à partir de la zone AppData.
Si vous avez un analyseur de passerelle de messagerie électronique avec la possibilité de filtrer les fichiers reçus par les extensions, il peut être conseillé de refuser les courriers électroniques avec les extensions de fichier « .exe » ou tout fichier envoyé avec plus d'une extension de fichier – où l'une est une extension exécutable.
Si vous avez légitimement besoin de recevoir ou d'envoyer des fichiers exécutables dans votre environnement après avoir refusé des courriers électroniques avec des extensions « .exe », vous pouvez choisir d'utiliser des fichiers ZIP protégés par mot de passe ou d'échanger des courriers électroniques via des services cloud.
Cryptolocker/Filecoder accède aux ordinateurs cibles via Remote Desktop Protocol (RDP). Il s'agit d'un utilitaire Windows qui permet à d'autres utilisateurs d'accéder à distance à votre bureau. La désactivation du protocole RDP peut contribuer grandement à protéger votre machine contre les attaques à distance.
La sécurité est toujours une responsabilité partagée entre vous et vos employés. Par conséquent, assurez-vous toujours d'effectuer une formation régulière et mise à jour des employés sur la sécurité de votre système et de votre réseau, l'évaluation des menaces et leur rôle dans la lutte contre la cybercriminalité.
Les auteurs de logiciels malveillants comptent souvent sur des personnes utilisant des logiciels obsolètes qui ont des vulnérabilités connues qu'ils peuvent exploiter pour leur gain personnel ou financier. Les mises à jour logicielles régulières peuvent réduire considérablement le potentiel d'attaques. En effet, certains fournisseurs publient des mises à jour de sécurité régulières ainsi que des mises à jour d'urgence.
Vous pouvez activer les mises à jour automatiques ou visiter manuellement le site web d'un fournisseur pour obtenir des mises à jour. Attention, les auteurs aiment également déguiser leur logiciel en notifications de mise à jour.
Le fait d'avoir à la fois un pare-feu logiciel et un logiciel antimalware peut vous aider à identifier une menace potentielle ou un comportement suspect. Vous avez besoin des deux couches de défense, car les auteurs de malwares envoient souvent de nouvelles variantes pour éviter la détection.
La plupart des types de malwares s'appuient sur des instructions à distance pour s'exécuter. S'il vous arrive de trouver une nouvelle variante de ransomware qui a dépassé votre logiciel de sécurité, il est probable qu'elle ne dépassera pas votre pare-feu alors qu'il tente de se connecter à distance avec son serveur de commande et de contrôle (C&C).
Il existe plusieurs mesures préventives que vous pouvez prendre pour éviter tout accès non autorisé. Ces pratiques de sécurité peuvent améliorer considérablement vos défenses et vous protéger contre toutes sortes de cyberattaques. Elles incluent :
Vous devriez imposer certaines restrictions à tout entrepreneur ou employé qui :
Toute personne, employé ou entrepreneur ayant accès à vos systèmes crée un point de vulnérabilité potentiel pour les attaquants. Le chiffre d'affaires, les restrictions inappropriées et l'échec de la mise à jour de vos mots de passe peuvent entraîner des probabilités d'attaque plus élevées.
Vous devez mettre en place un système de détection multiforme pour assurer une protection complète. Il devrait avoir une protection des terminaux pour les systèmes utilisateur, une détection des intrusions, une protection antivirus pour les serveurs, une détection des logiciels malveillants connus, une journalisation centrale pour la corrélation des événements, une surveillance des ports réseau et une détection des modèles de données.
La détection rapide des activités malveillantes permet un confinement immédiat avant qu'elles ne se propagent et causent d'autres dommages. Tous vos systèmes infectés doivent être mis en quarantaine, corrigés et restaurés. Parfois, vos systèmes n'arrivent pas à capturer une attaque de ransomware avant qu'il ne soit trop tard et que vous ne soyez plus en mesure d'accéder à vos données. Même vos sauvegardes peuvent être compromises, ce qui les rend inutiles.
Par conséquent, vos administrateurs système doivent rester vigilants pendant la phase de détection pour leur permettre de démarrer rapidement des mesures de confinement pour arrêter l'attaque et restaurer les données chiffrées. Les administrateurs système doivent également installer des outils tiers efficaces qui aident à détecter les attaques.
Malheureusement, il n'y a aucune garantie à 100 % en matière de cybersécurité. Quelle que soit la qualité de votre service informatique aux étapes de détection et de prévention d'une attaque, il arrive que des attaques obligent les organisations à entrer dans la phase de reprise.
Dans ce cas, le temps de reprise dépend de l'étendue de l'attaque et de votre niveau de préparation. Quelle que soit l'échelle, du chiffrement de quelques fichiers à la perte de données d'un site entier, ce sont généralement vos données les plus critiques qui sont ciblées. Vos procédures et outils de reprise après incident seront utilisés et testés tout au long du processus.
Une défense efficace contre les ransomwares dépend en fin de compte de votre formation. Vous devriez prendre le temps d'en savoir plus sur vos meilleures options pour les mises à jour logicielles et les sauvegardes de données automatisées. Vous informer ainsi que vos employés sur les signes révélateurs d'une menace ou d'une attaque et les tactiques de distribution telles que les sites web usurpés, les téléchargements furtifs et les attaques de phishing devrait être votre priorité absolue.
Vous devez également mettre en place des solutions de sécurité qui permettent une protection avancée contre les menaces. Les outils EDR (Endpoint Detection and Response) sont parfaits pour surveiller les activités sur vos réseaux et terminaux afin d'identifier, de protéger contre les menaces et de les atténuer. Les outils NetBackup permettent également de détecter et de prévenir les ransomwares et autres attaques.
Il existe trois types d'outils de nettoyage et de prévention contre les ransomware. La première catégorie concerne les outils de désinfection pour les ordinateurs qui nécessitent une certification propre avant de pouvoir restaurer les données après un incident. Cette fonctionnalité est présente dans de nombreux programmes antivirus courants.
La deuxième catégorie comprend les outils de déchiffrement qui sont lancés une fois qu'une attaque est en cours. Malheureusement, ces outils sont limités et restent dépendants de la récupération par les chercheurs des bases de données de clés individuelles des attaquants une fois qu'ils ont été attrapés.
La troisième catégorie comprend les outils de protection qui utilisent l'analyse comportementale pour repérer les événements suggérant la présence d'un ransomware sur un système et le faire intercepter avant que tout dommage ne soit fait.
Les meilleurs outils de ransomware actuels incluent les appliances Veritas NetBackup, l'outil d'écran de verrouillage Trend Micro, les outils Avast, BitDefender, les outils de déchiffrement Kaspersky Lab, les outils de déchiffrement AVG, les outils Webroot SecureAnywhere, Malwarebytes, McAfee Interceptor Review, No More Ransom et CryptoPrevent.
Tester l'efficacité des outils de protection contre les ransomwares sur des échantillons réels est incroyablement délicat. De plus, certains outils sont spécifiques à des incidents passés particuliers qui peuvent ne plus être actifs aujourd'hui.
Cependant, la meilleure façon de tester l'efficacité de ces outils est peut-être de configurer une machine virtuelle (VM) qui correspond à votre environnement système et n'a aucun accès réel au réseau. À partir de là, vous pouvez tester différentes situations d'attaque et utiliser des points de restauration à partir de vos sauvegardes (telles que les appliances Veritas NetBackup) pour voir leur efficacité.
Les crypto-ransomwares ciblant les ordinateurs sont devenus un phénomène de masse ces dernières années. Sans outils de protection contre les ransomwares appropriés et sans formation, au moment où vous voyez la demande de rançon, il est déjà trop tard pour débrancher la prise et arrêter tout compromis. L'apparition de différentes variétés telles que WannaCry/NotPetya a montré les dégâts considérables qu'une attaque hautement distribuée peut faire.
Bien que les programmes antivirus soient actuellement mieux réglés pour détecter et bloquer certains types de ransomwares (généralement en faisant attention aux comportements suspects), le bon type de sauvegarde reste la défense numéro un contre cela et d'autres attaques de logiciels malveillants. Les appliances Veritas NetBackup proposent une gamme de produits qui vous aident à prévenir et à détecter les attaques ainsi qu'à restaurer vos données.