Qu'est-ce qu’un logiciel Ransomware?

Les logiciels Ransomwares constituent une menace croissante pour les entreprises du monde entier, car les cybercriminels les utilisent dans des attaques ciblées qui causent des dégâts. Il s’agit d’un type de logiciel malveillant qui empêche les victimes d’accéder à leurs documents, images, bases de données et autres fichiers, en les chiffrant et en demandant une rançon pour les déchiffrer. Le paiement de la rançon est assorti d’un délai, et en cas de dépassement, la somme demandée est doublée ou les fichiers sont définitivement verrouillés.

Demander une démo Apprendre encore plus

Qu’est-ce qu’un logiciel Ransomware?

Définition

Les logiciels Ransomwares sont une menace croissante dans le monde entier, faisant une nouvelle victime toutes les 10 secondes. Nous décortiquons ici la menace des logiciels Ransomwares, en expliquant ce qu’ils sont, leur fonctionnement, comment leur utilisation a changé ces dernières années, comment se préparer à une attaque et l’empêcher, et ce qu’il faut faire si vous êtes confronté à une infection de logiciel Ransomware.

 

En termes simples, un logiciel Ransomware est un type de logiciel malveillant qui empêche les victimes d’accéder à leurs documents, images, bases de données et autres fichiers, en les chiffrant et en demandant une rançon pour les déchiffrer. Le paiement de la rançon est assorti d’un délai, et en cas de dépassement, la somme demandée est augmentée ou l’accès aux fichiers est définitivement perdu.

 

Fonctionnement des logiciels Ransomware

Il est essentiel de comprendre ce que sont les logiciels Ransomwares et comment ils fonctionnent, pour s’y préparer et s’en protéger. Un logiciel Ransomware est un logiciel malveillant qui chiffre les fichiers d’une victime et demande ensuite une rançon pour rétablir l’accès à ces fichiers. Pour réussir, le logiciel Ransomware doit accéder à un système cible, y chiffrer les fichiers et demander une rançon à la victime.

 

  • Étape 1. Vecteurs d’infection et de diffusion

Comme tout logiciel malveillant, les logiciels Ransomwares peuvent accéder aux systèmes d’une entreprise de différentes manières. Cependant, les opérateurs de logiciels Ransomwares ont tendance à préférer certains vecteurs d’infection spécifiques. L’un d’entre eux est le phishing par email. Un email malveillant peut contenir un lien vers un site web hébergeant un téléchargement malveillant ou une pièce jointe intégrant une fonctionnalité de téléchargement. Lorsque le destinataire de l’email tombe dans le piège du phishing, le logiciel Ransomware est alors téléchargé et exécuté sur son ordinateur.

 

Un autre vecteur courant d’infection de logiciel Ransomware et l’exploitation de services tels que le protocole RDP (accès à distance). Avec RDP, un pirate qui a volé ou deviné les identifiants de connexion d’un employé peut les utiliser pour s’authentifier et accéder à distance à un ordinateur du réseau de l’entreprise. Avec cet accès, le pirate peut directement télécharger le malware et l’exécuter sur la machine sous son contrôle.

 

  • Étape 2. Chiffrement des fichiers

Le chiffrement des fichiers d’un utilisateur est ce qui distingue les logiciels Ransomwares des autres variantes de logiciels malveillants. En chiffrant des données sensibles et précieuses, l’opérateur du logiciel Ransomware peut demander une rançon en échange de la clé de déchiffrement, en s’attendant raisonnablement à ce que la victime va payer.

 

Les logiciels Ransomwares utilisent généralement deux types de chiffrement : symétrique et asymétrique. Le chiffrement symétrique nécessite la même clé pour le chiffrement et le déchiffrement, tandis que le chiffrement asymétrique utilise une clé publique pour le chiffrement et une clé privée pour le déchiffrement.

 

Les variantes de logiciels Ransomwares intègrent une liste des types de fichiers qu’elles doivent chiffrer, qu’il s’agisse de certaines extensions de fichiers, de répertoires ou des deux. Pour chacun de ces fichiers, le logiciel malveillant utilise un chiffrement symétrique sur le fichier et enregistre un exemplaire de la clé symétrique chiffrée avec une clé publique. La clé privée correspondante, qui est nécessaire pour déchiffrer la clé symétrique utilisée pour déchiffrer les fichiers, n’est connue que de l’opérateur du logiciel malveillant.

 

  • Étape 3. Demande de rançon

Une fois le chiffrement des fichiers terminé, le logiciel Ransomware est prêt à demander une rançon. Les différentes variantes de logiciels malveillants mettent cela en œuvre de différentes façons, mais il n’est pas rare de voir un fond d’écran présentant la demande de rançon ou des fichiers texte placés dans chaque répertoire chiffré contenant la demande de rançon. En général, ces notes exigent un montant fixe de cryptomonnaie en échange de l’accès aux fichiers de la victime. Si la rançon est payée, l’opérateur du logiciel Ransomware fournira soit un exemplaire de la clé privée utilisée pour protéger la clé de chiffrement symétrique, soit un exemplaire de la clé de chiffrement symétrique elle-même. Ces informations peuvent être saisies dans un programme de déchiffrement (également fourni par le cybercriminel) qui peut les utiliser pour inverser le chiffrement et rétablir l’accès aux fichiers de l’utilisateur.

La menace des logiciels Ransomware

Maintenant que nous comprenons ce ce que sont les logiciels Ransomwares, plongeons dans les raisons pour lesquelles ils suscitent tant d’attention. Avant tout, les logiciels Ransomwares sont l’une des cybermenaces existantes les plus importantes et des plus connues. En 2019, le coût des attaques de logiciels Ransomwares était estimé à 11,5 milliards de dollars. Ce montant devrait presque doubler pour atteindre 20 milliards de dollars d’ici 2021. Les attaques de logiciels Ransomwares touchent un large éventail de systèmes, y compris des appareils mobiles tels que les smartphones et les tablettes. Rien qu’en 2019, plus de 68 000 nouveaux chevaux de Troie installant des logiciels Ransomwares sur les appareils mobiles ont été détectés. Une attaque réussie de logiciel Ransomware peut entraîner des coûts, des dommages et des temps d’arrêt importants pour une entreprise, puisque tous les systèmes touchés doivent être désinfectés et restaurés. Bien que tous les secteurs soient visés, les cybercriminels ont tendance à se concentrer sur les infrastructures essentielles telles que les hôpitaux, les villes et les écoles. Pour plus d’informations, consultez les attaques récentes de logiciels Ransomwares.

Évolution des logiciels Ransomware

La première attaque connue d’un logiciel Ransomware remonte à 1989. La toute première extorsion par logiciel malveillant connue est celle du cheval de Troie AIDS, appelée également PC Cyborg. Ce logiciel malveillant de faible technicité a été distribué sur plus de 20 000 disquettes destinées à des chercheurs sur le sida. Il masquait les fichiers sur le disque et chiffrait les noms de fichiers, présentant un message à l’utilisateur indiquant que sa licence d’utilisation d’un type de logiciel spécifique avait expiré. En guise de rançon, il demandait à l’utilisateur de payer 189 dollars pour recevoir un outil de réparation. L’outil de déchiffrement pouvait facilement être extrait directement du code du cheval de Troie, ce qui permettait de ne pas payer l’extorqueur et de contourner le logiciel malveillant.

 

La plupart des variantes de logiciels Ransomwares suivent les mêmes étapes pour passer de l’infection initiale à la demande de rançon. Cependant, au cours des dernières années, l’utilisation des logiciels Ransomwares par les cybercriminels a considérablement changé.

 

  • Attaques aléatoires à grande échelle

Les premières attaques de logiciels Ransomwares adoptaient l’approche de la quantité plutôt que la qualité pour sélectionner les cibles. Ces attaques étaient conçues pour infecter le plus grand nombre possible d’ordinateurs avec des logiciels Ransomwares et demander une rançon relativement faible en échange de la clé de déchiffrement.

 

Wannacry est un excellent exemple de cette approche. Il s’agit d’un logiciel Ransomware sous forme de ver qui exploite une vulnérabilité pour se propager, plutôt que de s’appuyer sur des emails de phishing ou de profiter de la faiblesse des identifiants.

 

Wannacry a profité de la vulnérabilité EternalBlue découverte par la NSA et révélée par le groupe de pirates Shadow Brokers pour infecter plus de 200 000 ordinateurs en l’espace de quatre jours. Avec une demande de rançon de 300 à 600 dollars, on peut s’attendre à ce que l’attaque a rapporté aux cybercriminels une somme d’argent importante, même si une fraction seulement des victimes a payé. En savoir plus sur l’attaque du logiciel Ransomware WannaCry.

 

  • Ciblage des entreprises et des institutions

Au fil du temps, les attaques de logiciels Ransomwares se sont largement écartées des attaques aléatoires à grande échelle. L’un des problèmes de cette stratégie est que le savoir-faire nécessaire pour payer une rançon en cryptomonnaie n’est pas à la portée de tout le monde. En conséquence, les cybercriminels sont rarement payés ou doivent passer beaucoup de temps à accompagner les gens dans ce processus.

 

Aujourd’hui, la plupart des attaques de logiciels Ransomwares sont beaucoup plus ciblées. L’utilisation d’emails de phishing et de RDP comme méthodes de livraison s’est développée, afin d’améliorer la réussite des attaques. Ces attaques plus ciblées sont également assorties de demandes de rançon plus élevées puisque les cybercriminels se concentrent sur les entreprises qui ne peuvent pas se permettre de perdre leurs données et qui ont les ressources nécessaires pour payer la rançon, comme les hôpitaux, les écoles, les villes et les grandes entreprises mentionnés ci-dessus.

 

Le logiciel Ransomware Ryuk est l’une des variantes les plus célèbres, qui permet de mener ces nouvelles attaques plus ciblées. Les infections du logiciel Ransomware Ryuk sont personnalisées pour une entreprise particulière et obligent les victimes à contacter l’agresseur par email pour négocier le paiement de la rançon. Cette approche plus personnelle s’accompagne d’un prix plus élevé, Ryuk dépassant constamment le record des demandes de rançon les plus élevées à ce jour.

 

  • Vols de données inclus

L’étape la plus récente dans l’évolution des logiciels Ransomwares est destinée à compenser le problème des victimes qui choisissent généralement de ne pas payer la rançon demandée. De nombreuses entreprises ont choisi d’essayer de rétablir leur activité par elles-mêmes, à un coût bien plus élevé, plutôt que de laisser les cybercriminels profiter de leurs attaques.

 

Les opérateurs de logiciels Ransomwares, comme ceux qui sont à l’origine des variantes Maze et REvil, ont réagi à cette tendance en intégrant des fonctionnalités de vol de données dans leurs logiciels Ransomwares. Avant de chiffrer les données sur un ordinateur cible, les logiciels malveillants en exfiltrent une partie pour l’utiliser comme levier contre la victime. Si la cible de l’attaque refuse de payer la rançon, ces données peuvent être divulguées publiquement ou vendues au plus offrant. Il pourrait en résulter une perte d’avantage concurrentiel ou des sanctions en vertu du Règlement général sur la protection des données (RGPD) ou de lois similaires sur la protection de la confidentialité, qui inciterait davantage les victimes à payer la rançon.

Dernières attaques de logiciels Ransomware

En avril 2020, Cognizant, l’une des plus grandes sociétés de technologie et de conseil de la liste Fortune 500, a confirmé avoir été touchée par une attaque du logiciel Ransomware Maze.

 

Maze n’est pas un logiciel de chiffrement de données typique. Il ne se contente pas de se répandre sur un réseau, infectant et chiffrant chaque ordinateur sur son chemin, mais exfiltre également des données vers les serveurs des pirates, qui les conservent contre rançon. Si la rançon n’est pas payée, les pirates publient les fichiers en ligne. D’après un site web associé aux opérateurs de Maze, aucune des données de Cognizant n’aurait été publiée à ce jour.

 

En décembre 2019, le FBI a discrètement prévenu des entreprises d’une augmentation des incidents de sécurité liés à Maze.

 

Depuis l’alerte, plusieurs grandes entreprises ont été touchées par Maze, dont le cyberassureur Chubb, le géant de la comptabilité MNP, un cabinet d’avocats et une compagnie pétrolière.

 

En savoir plus sur le logiciel Ransomware Maze

Variantes de logiciels Ransomware les plus courantes

  • Cryptowall – Un logiciel Ransomware qui était initialement une imitation de CryptoLocker, puis qui l’a finalement surpassé. Après le retrait de CryptoLocker, CryptoWall est devenu l’un des logiciels Ransomwares les plus importants à ce jour. CryptoWall utilise le chiffrement AES et communique avec son serveur de commande et de contrôle via le réseau anonyme Tor. Il est largement diffusé via des kits d’exploitation de vulnérabilités, des publicités malveillantes et des campagnes de phishing.

 

  • WannaCry– Un logiciel Ransomware découvert lors d’une attaque à grande échelle en mai 2017 et ciblant une vulnérabilité SMB de Windows appelée EternalBlue, afin de se propager à l’intérieur des réseaux et d’un réseau à un autre. Il a infecté plus de 100 000 ordinateurs en tirant parti d’une vulnérabilité non corrigée de Microsoft Windows.

 

  • Jaff– Un logiciel Ransomware qui a commencé à être distribué par le botnet Necrus en mai 2017, via des emails de spam comprenant une pièce jointe PDF contenant un fichier DOCM. Au moment de son apparition, le logiciel malveillant s’est répandu massivement à un taux d’infection d’environ 10 000 emails envoyés par heure.

 

  • Locky– Un logiciel Ransomware dont la diffusion a débuté en février 2016, qui se propage principalement via des emails de spam contenant un téléchargeur déguisé en pièce jointe au format Word ou Zip. Il télécharge et installe un logiciel malveillant chiffrant les fichiers des utilisateurs.

 

  • TorrentLocker– Un logiciel Ransomware chiffrant les documents, images et autres types de fichiers de l’utilisateur. Les victimes sont priées de régler jusqu’à 4,1 bitcoins (environ 1 800 dollars) aux agresseurs pour déchiffrer leurs fichiers.

 

  • Cerber – Un logiciel Ransomware hors ligne, ce qui signifie qu’il n’a pas besoin de communiquer avec son serveur de commande et de contrôle pour chiffrer des fichiers sur une machine infectée. Il se propage principalement via des campagnes de publicités malveillantes à l’aide de kits d’exploitation de vulnérabilités, mais également via des campagnes de spam. Son auteur le propose en tant que logiciel Ransomware sous forme de service, et recrute des affiliés pour le diffuser moyennant une partie de la rançon demandée.

Protection contre les logiciels Ransomware et prévention

Une préparation adéquate peut réduire considérablement le coût et l’impact d’une attaque de logiciel Ransomware. Les mesures suivantes permettent de réduire l’exposition d’une entreprise aux logiciels Ransomwares et d’en minimiser l’impact:

 

  • Formation et sensibilisation à la cybersécurité :Les logiciels Ransomwares sont souvent diffusés via des emails de phishing. Sensibiliser les utilisateurs à la manière d’identifier et d’éviter les attaques potentielles de logiciels Ransomwares est crucial. Comme la plupart des cyberattaques actuelles débutent par un email ciblé ne contenant même pas de logiciel malveillant, mais seulement un message qui incite l’utilisateur à cliquer sur un lien malveillant, la sensibilisation des utilisateurs est souvent considérée comme étant l’une des plus importantes défenses qu’une entreprise puisse déployer.

 

  • Sauvegardes de données en continu : Selon la définition des logiciels Ransomwares, il s’agit d’un type de logiciel malveillant conçu pour faire en sorte que le paiement d’une rançon soit le seul moyen de rétablir l’accès aux données chiffrées. Les sauvegardes de données automatisées et protégées permettent à une entreprise de se remettre d’une attaque avec un minimum de pertes de données et sans payer de rançon. Effectuer régulièrement des sauvegardes de données dans le cadre d’un processus de routine est une pratique très importante pour éviter les pertes de données, et pouvoir les récupérer en cas de corruption ou de dysfonctionnement d’un disque. Les sauvegardes fonctionnelles peuvent également aider les entreprises à se remettre des attaques de logiciels Ransomwares.

 

  • Correctifs :L’application de correctifs est un élément essentiel de la défense contre les attaques de logiciels Ransomwares car les cybercriminels recherchent souvent à exploiter des vulnérabilités qui ne sont pas adressées par les tout derniers correctifs, puis ciblent les systèmes qui n’ont pas encore été corrigés. Il est donc essentiel que les entreprises veillent à ce que les tout derniers correctifs soient appliqués aux systèmes, car cela réduit le nombre de vulnérabilités potentielles qu’un pirate peut exploiter dans l’entreprise.

 

  • Authentification des utilisateurs : L’accès à des services tels que RDP avec des identifiants volés est une technique favorite des attaquants de logiciels Ransomwares. L’utilisation d’une authentification forte pour les utilisateurs peut faire en sorte qu’il soit plus difficile pour un attaquant d’utiliser un mot de passe deviné ou volé.

 

  • Solutions anti ransomware : La nécessité de chiffrer tous les fichiers d’un utilisateur signifie que le logiciel Ransomware a une empreinte digitale unique lorsqu’il fonctionne sur un système. Des solutions spécialisées contre les logiciels Ransomwares peuvent s’en servir pour identifier et stopper les processus potentiellement malveillants, et minimiser les dommages causés.

Que faire en cas d'infection

Un message de demande de rançon n’est pas quelque chose que l’on veut voir sur son ordinateur car cela signifie l’infection réussie par un logiciel Ransomware. À ce stade, certaines mesures peuvent être prises pour répondre à une infection active de logiciel Ransomware, et une entreprise doit faire le choix de payer ou non la rançon.

 

  • Comment atténuer une infection active de logiciel Ransomware

De nombreuses attaques réussies de logiciels Ransomwares ne sont détectées qu’après le chiffrement des données et l’affichage d’une demande de rançon sur l’écran de l’ordinateur infecté. À ce stade, les fichiers chiffrés sont probablement irrécupérables, mais certaines mesures doivent être prises immédiatement :

  1. Mettez la machine en quarantaine :Certaines variantes de logiciel Ransomware tenteront de se propager aux lecteurs et autres machines connectés. Limitez la propagation des logiciels malveillants en coupant l’accès à d’autres cibles potentielles.
  2. Laissez l’ordinateur allumé :Le chiffrement des fichiers peut rendre un ordinateur instable, et la mise hors tension d’un ordinateur peut entraîner la perte du contenu de la mémoire volatile. Laissez l’ordinateur allumé pour maximiser le potentiel de récupération.
  3. Créez une sauvegarde :Le déchiffrement des fichiers pour certaines variantes de logiciels Ransomwares est possible sans payer de rançon. Faites une copie des fichiers chiffrés sur un support amovible au cas où une solution devient disponible à l’avenir, ou si la tentative de déchiffrement risquerait d’endommager les fichiers.
  4. Vérifiez s’il existe des déchiffreurs :Vérifiez sur No More Ransom Project si un déchiffreur gratuit est disponible. Si c’est le cas, exécutez le logiciel sur une copie des données chiffrées pour déterminer s’il est capable de restaurer les fichiers.
  5. Demandez de l’aide :Les ordinateurs stockent parfois des copies de sauvegarde des fichiers qui y sont stockés. Un expert peut être en mesure de récupérer ces copies si elles n’ont pas été supprimées par le logiciel malveillant.
  6. Effacez et restaurez :Restaurez la machine à partir d’une sauvegarde ou d’une installation propre du système d’exploitation. Cela permet de veiller à ce que le logiciel malveillant soit complètement retiré de l’appareil.

 

  • Devriez-vous payer la rançon ?

La définition des logiciels Ransomwares indique qu’ils sont conçus pour mettre les victimes dans une position où elles doivent choisir entre payer une rançon et perdre à jamais l’accès à leurs données. Dans de nombreux cas, le coût d’une rançon est inférieur à celui d’une tentative de récupération sans paiement.

 

Les bonnes pratiques de cybersécurité conseillent plutôt de ne pas payer la rançon. Et ce pour plusieurs raisons :

  • Les opérateurs de logiciels Ransomwares sont motivés par le profit :Ils créent et utilisent ces logiciels malveillants pour en tirer de l’argent. Le paiement d’une rançon leur permet de poursuivre leurs activités et de maintenir la menace des logiciels Ransomwares en vie. Payer démontre une volonté de payer : Payer une rançon montre à un cybercriminel que vous êtes prêt à payer une rançon pour mettre fin à une cybermenace. Cela augmente souvent la probabilité d’être pris pour cible lors de futures attaques.
  • Le fait de payer ne garantit pas la récupération :Le paiement d’une rançon implique de faire confiance au cybercriminel pour fournir la clé de déchiffrement en échange. Tous ceux qui payent une rançon ne reçoivent pas nécessairement une clé et, même avec une clé, les données ne sont pas toutes récupérées avec succès.

 

La décision de savoir si une entreprise peut se permettre de payer ou non une rançon lui appartient. Bien que les bonnes pratiques conseillent de ne jamais obtempérer aux demandes de rançon, chaque cas est unique.

Comment Check Point peut vous aider

La technologie Anti-Ransomware de Check Point utilise un moteur spécialement conçu pour protéger contre les variantes de logiciels Ransomwares zero-day les plus sophistiquées et les plus évasives, récupérer les données chiffrées en toute sécurité, et garantir la continuité et la productivité. L’efficacité de cette technologie est vérifiée chaque jour par notre équipe de chercheurs et fournit constamment d’excellents résultats en matière d’identification et d’atténuation des attaques.

 

SandBlast Agent, le principal produit de défense de poste de Check Point, inclut la technologie Anti-Ransomware et offre une protection pour les navigateurs web et les postes, grâce aux protections réseau de pointe de Check Point. SandBlast Agent fournit une prévention complète contre les menaces et leur atténuation en temps réel pour permettre à vos collaborateurs de travailler en toute sécurité, en tout lieu et sans compromettre leur productivité.

 

Ressources recommandées