Les logiciels Ransomwares constituent une menace croissante pour les entreprises du monde entier, car les cybercriminels les utilisent dans des attaques ciblées qui causent des dégâts. Il s’agit d’un type de logiciel malveillant qui empêche les victimes d’accéder à leurs documents, images, bases de données et autres fichiers, en les chiffrant et en demandant une rançon pour les déchiffrer. Le paiement de la rançon est assorti d’un délai, et en cas de dépassement, la somme demandée est doublée ou les fichiers sont définitivement verrouillés.
Les logiciels Ransomwares sont une menace croissante dans le monde entier, faisant une nouvelle victime toutes les 10 secondes. Nous décortiquons ici la menace des logiciels Ransomwares, en expliquant ce qu’ils sont, leur fonctionnement, comment leur utilisation a changé ces dernières années, comment se préparer à une attaque et l’empêcher, et ce qu’il faut faire si vous êtes confronté à une infection de logiciel Ransomware.
En termes simples, un logiciel Ransomware est un type de logiciel malveillant qui empêche les victimes d’accéder à leurs documents, images, bases de données et autres fichiers, en les chiffrant et en demandant une rançon pour les déchiffrer. Le paiement de la rançon est assorti d’un délai, et en cas de dépassement, la somme demandée est augmentée ou l’accès aux fichiers est définitivement perdu.
Il est essentiel de comprendre ce que sont les logiciels Ransomwares et comment ils fonctionnent, pour s’y préparer et s’en protéger. Un logiciel Ransomware est un logiciel malveillant qui chiffre les fichiers d’une victime et demande ensuite une rançon pour rétablir l’accès à ces fichiers. Pour réussir, le logiciel Ransomware doit accéder à un système cible, y chiffrer les fichiers et demander une rançon à la victime.
Comme tout logiciel malveillant, les logiciels Ransomwares peuvent accéder aux systèmes d’une entreprise de différentes manières. Cependant, les opérateurs de logiciels Ransomwares ont tendance à préférer certains vecteurs d’infection spécifiques. L’un d’entre eux est le phishing par email. Un email malveillant peut contenir un lien vers un site web hébergeant un téléchargement malveillant ou une pièce jointe intégrant une fonctionnalité de téléchargement. Lorsque le destinataire de l’email tombe dans le piège du phishing, le logiciel Ransomware est alors téléchargé et exécuté sur son ordinateur.
Un autre vecteur courant d’infection de logiciel Ransomware et l’exploitation de services tels que le protocole RDP (accès à distance). Avec RDP, un pirate qui a volé ou deviné les identifiants de connexion d’un employé peut les utiliser pour s’authentifier et accéder à distance à un ordinateur du réseau de l’entreprise. Avec cet accès, le pirate peut directement télécharger le malware et l’exécuter sur la machine sous son contrôle.
Le chiffrement des fichiers d’un utilisateur est ce qui distingue les logiciels Ransomwares des autres variantes de logiciels malveillants. En chiffrant des données sensibles et précieuses, l’opérateur du logiciel Ransomware peut demander une rançon en échange de la clé de déchiffrement, en s’attendant raisonnablement à ce que la victime va payer.
Les logiciels Ransomwares utilisent généralement deux types de chiffrement : symétrique et asymétrique. Le chiffrement symétrique nécessite la même clé pour le chiffrement et le déchiffrement, tandis que le chiffrement asymétrique utilise une clé publique pour le chiffrement et une clé privée pour le déchiffrement.
Les variantes de logiciels Ransomwares intègrent une liste des types de fichiers qu’elles doivent chiffrer, qu’il s’agisse de certaines extensions de fichiers, de répertoires ou des deux. Pour chacun de ces fichiers, le logiciel malveillant utilise un chiffrement symétrique sur le fichier et enregistre un exemplaire de la clé symétrique chiffrée avec une clé publique. La clé privée correspondante, qui est nécessaire pour déchiffrer la clé symétrique utilisée pour déchiffrer les fichiers, n’est connue que de l’opérateur du logiciel malveillant.
Une fois le chiffrement des fichiers terminé, le logiciel Ransomware est prêt à demander une rançon. Les différentes variantes de logiciels malveillants mettent cela en œuvre de différentes façons, mais il n’est pas rare de voir un fond d’écran présentant la demande de rançon ou des fichiers texte placés dans chaque répertoire chiffré contenant la demande de rançon. En général, ces notes exigent un montant fixe de cryptomonnaie en échange de l’accès aux fichiers de la victime. Si la rançon est payée, l’opérateur du logiciel Ransomware fournira soit un exemplaire de la clé privée utilisée pour protéger la clé de chiffrement symétrique, soit un exemplaire de la clé de chiffrement symétrique elle-même. Ces informations peuvent être saisies dans un programme de déchiffrement (également fourni par le cybercriminel) qui peut les utiliser pour inverser le chiffrement et rétablir l’accès aux fichiers de l’utilisateur.
Maintenant que nous comprenons ce ce que sont les logiciels Ransomwares, plongeons dans les raisons pour lesquelles ils suscitent tant d’attention. Avant tout, les logiciels Ransomwares sont l’une des cybermenaces existantes les plus importantes et des plus connues. En 2019, le coût des attaques de logiciels Ransomwares était estimé à 11,5 milliards de dollars. Ce montant devrait presque doubler pour atteindre 20 milliards de dollars d’ici 2021. Les attaques de logiciels Ransomwares touchent un large éventail de systèmes, y compris des appareils mobiles tels que les smartphones et les tablettes. Rien qu’en 2019, plus de 68 000 nouveaux chevaux de Troie installant des logiciels Ransomwares sur les appareils mobiles ont été détectés. Une attaque réussie de logiciel Ransomware peut entraîner des coûts, des dommages et des temps d’arrêt importants pour une entreprise, puisque tous les systèmes touchés doivent être désinfectés et restaurés. Bien que tous les secteurs soient visés, les cybercriminels ont tendance à se concentrer sur les infrastructures essentielles telles que les hôpitaux, les villes et les écoles. Pour plus d’informations, consultez les attaques récentes de logiciels Ransomwares.
La première attaque connue d’un logiciel Ransomware remonte à 1989. La toute première extorsion par logiciel malveillant connue est celle du cheval de Troie AIDS, appelée également PC Cyborg. Ce logiciel malveillant de faible technicité a été distribué sur plus de 20 000 disquettes destinées à des chercheurs sur le sida. Il masquait les fichiers sur le disque et chiffrait les noms de fichiers, présentant un message à l’utilisateur indiquant que sa licence d’utilisation d’un type de logiciel spécifique avait expiré. En guise de rançon, il demandait à l’utilisateur de payer 189 dollars pour recevoir un outil de réparation. L’outil de déchiffrement pouvait facilement être extrait directement du code du cheval de Troie, ce qui permettait de ne pas payer l’extorqueur et de contourner le logiciel malveillant.
La plupart des variantes de logiciels Ransomwares suivent les mêmes étapes pour passer de l’infection initiale à la demande de rançon. Cependant, au cours des dernières années, l’utilisation des logiciels Ransomwares par les cybercriminels a considérablement changé.
Les premières attaques de logiciels Ransomwares adoptaient l’approche de la quantité plutôt que la qualité pour sélectionner les cibles. Ces attaques étaient conçues pour infecter le plus grand nombre possible d’ordinateurs avec des logiciels Ransomwares et demander une rançon relativement faible en échange de la clé de déchiffrement.
Wannacry est un excellent exemple de cette approche. Il s’agit d’un logiciel Ransomware sous forme de ver qui exploite une vulnérabilité pour se propager, plutôt que de s’appuyer sur des emails de phishing ou de profiter de la faiblesse des identifiants.
Wannacry a profité de la vulnérabilité EternalBlue découverte par la NSA et révélée par le groupe de pirates Shadow Brokers pour infecter plus de 200 000 ordinateurs en l’espace de quatre jours. Avec une demande de rançon de 300 à 600 dollars, on peut s’attendre à ce que l’attaque a rapporté aux cybercriminels une somme d’argent importante, même si une fraction seulement des victimes a payé. En savoir plus sur l’attaque du logiciel Ransomware WannaCry.
Au fil du temps, les attaques de logiciels Ransomwares se sont largement écartées des attaques aléatoires à grande échelle. L’un des problèmes de cette stratégie est que le savoir-faire nécessaire pour payer une rançon en cryptomonnaie n’est pas à la portée de tout le monde. En conséquence, les cybercriminels sont rarement payés ou doivent passer beaucoup de temps à accompagner les gens dans ce processus.
Aujourd’hui, la plupart des attaques de logiciels Ransomwares sont beaucoup plus ciblées. L’utilisation d’emails de phishing et de RDP comme méthodes de livraison s’est développée, afin d’améliorer la réussite des attaques. Ces attaques plus ciblées sont également assorties de demandes de rançon plus élevées puisque les cybercriminels se concentrent sur les entreprises qui ne peuvent pas se permettre de perdre leurs données et qui ont les ressources nécessaires pour payer la rançon, comme les hôpitaux, les écoles, les villes et les grandes entreprises mentionnés ci-dessus.
Le logiciel Ransomware Ryuk est l’une des variantes les plus célèbres, qui permet de mener ces nouvelles attaques plus ciblées. Les infections du logiciel Ransomware Ryuk sont personnalisées pour une entreprise particulière et obligent les victimes à contacter l’agresseur par email pour négocier le paiement de la rançon. Cette approche plus personnelle s’accompagne d’un prix plus élevé, Ryuk dépassant constamment le record des demandes de rançon les plus élevées à ce jour.
L’étape la plus récente dans l’évolution des logiciels Ransomwares est destinée à compenser le problème des victimes qui choisissent généralement de ne pas payer la rançon demandée. De nombreuses entreprises ont choisi d’essayer de rétablir leur activité par elles-mêmes, à un coût bien plus élevé, plutôt que de laisser les cybercriminels profiter de leurs attaques.
Les opérateurs de logiciels Ransomwares, comme ceux qui sont à l’origine des variantes Maze et REvil, ont réagi à cette tendance en intégrant des fonctionnalités de vol de données dans leurs logiciels Ransomwares. Avant de chiffrer les données sur un ordinateur cible, les logiciels malveillants en exfiltrent une partie pour l’utiliser comme levier contre la victime. Si la cible de l’attaque refuse de payer la rançon, ces données peuvent être divulguées publiquement ou vendues au plus offrant. Il pourrait en résulter une perte d’avantage concurrentiel ou des sanctions en vertu du Règlement général sur la protection des données (RGPD) ou de lois similaires sur la protection de la confidentialité, qui inciterait davantage les victimes à payer la rançon.
En avril 2020, Cognizant, l’une des plus grandes sociétés de technologie et de conseil de la liste Fortune 500, a confirmé avoir été touchée par une attaque du logiciel Ransomware Maze.
Maze n’est pas un logiciel de chiffrement de données typique. Il ne se contente pas de se répandre sur un réseau, infectant et chiffrant chaque ordinateur sur son chemin, mais exfiltre également des données vers les serveurs des pirates, qui les conservent contre rançon. Si la rançon n’est pas payée, les pirates publient les fichiers en ligne. D’après un site web associé aux opérateurs de Maze, aucune des données de Cognizant n’aurait été publiée à ce jour.
En décembre 2019, le FBI a discrètement prévenu des entreprises d’une augmentation des incidents de sécurité liés à Maze.
Depuis l’alerte, plusieurs grandes entreprises ont été touchées par Maze, dont le cyberassureur Chubb, le géant de la comptabilité MNP, un cabinet d’avocats et une compagnie pétrolière.
Une préparation adéquate peut réduire considérablement le coût et l’impact d’une attaque de logiciel Ransomware. Les mesures suivantes permettent de réduire l’exposition d’une entreprise aux logiciels Ransomwares et d’en minimiser l’impact:
Un message de demande de rançon n’est pas quelque chose que l’on veut voir sur son ordinateur car cela signifie l’infection réussie par un logiciel Ransomware. À ce stade, certaines mesures peuvent être prises pour répondre à une infection active de logiciel Ransomware, et une entreprise doit faire le choix de payer ou non la rançon.
De nombreuses attaques réussies de logiciels Ransomwares ne sont détectées qu’après le chiffrement des données et l’affichage d’une demande de rançon sur l’écran de l’ordinateur infecté. À ce stade, les fichiers chiffrés sont probablement irrécupérables, mais certaines mesures doivent être prises immédiatement :
La définition des logiciels Ransomwares indique qu’ils sont conçus pour mettre les victimes dans une position où elles doivent choisir entre payer une rançon et perdre à jamais l’accès à leurs données. Dans de nombreux cas, le coût d’une rançon est inférieur à celui d’une tentative de récupération sans paiement.
Les bonnes pratiques de cybersécurité conseillent plutôt de ne pas payer la rançon. Et ce pour plusieurs raisons :
La décision de savoir si une entreprise peut se permettre de payer ou non une rançon lui appartient. Bien que les bonnes pratiques conseillent de ne jamais obtempérer aux demandes de rançon, chaque cas est unique.
La technologie Anti-Ransomware de Check Point utilise un moteur spécialement conçu pour protéger contre les variantes de logiciels Ransomwares zero-day les plus sophistiquées et les plus évasives, récupérer les données chiffrées en toute sécurité, et garantir la continuité et la productivité. L’efficacité de cette technologie est vérifiée chaque jour par notre équipe de chercheurs et fournit constamment d’excellents résultats en matière d’identification et d’atténuation des attaques.
SandBlast Agent, le principal produit de défense de poste de Check Point, inclut la technologie Anti-Ransomware et offre une protection pour les navigateurs web et les postes, grâce aux protections réseau de pointe de Check Point. SandBlast Agent fournit une prévention complète contre les menaces et leur atténuation en temps réel pour permettre à vos collaborateurs de travailler en toute sécurité, en tout lieu et sans compromettre leur productivité.