Ransomwares

cas de ransomware - informatique langon

Le Ransomware expliqué : Comment il fonctionne et comment le supprimer

Définition des Ransomware

Le ransomware est une forme de logiciel malveillant qui chiffre les fichiers d’une victime. L’attaquant demande ensuite une rançon à la victime pour lui permettre de retrouver l’accès aux données après paiement.

Les utilisateurs reçoivent des instructions sur la manière de payer une redevance pour obtenir la clé de déchiffrage. Les coûts peuvent aller de quelques centaines d’euros à des milliers, payables aux cybercriminels par Bitcoin (monnaie virtuelle) le plus souvent.

cas de ransomware - informatique langon

Comment fonctionne le Ransomware

Il existe un certain nombre de vecteurs que les logiciels de rançon peuvent emprunter pour accéder à un ordinateur. L’un des systèmes de diffusion les plus courants est le spam par hameçonnage, c’est-à-dire des pièces jointes qui parviennent à la victime dans un courriel, en se faisant passer pour un fichier auquel elle devrait faire confiance. Une fois qu’ils sont téléchargés et ouverts, ils peuvent s’emparer de l’ordinateur de la victime, surtout s’ils disposent d’outils d’ingénierie sociale intégrés qui trompent les utilisateurs en leur permettant un accès administratif. D’autres formes de logiciels de rançon plus agressifs, comme NotPetya, exploitent les failles de sécurité pour infecter les ordinateurs sans avoir besoin de tromper les utilisateurs.

Les logiciels malveillants peuvent faire plusieurs choses une fois qu’ils se sont emparés de l’ordinateur de la victime, mais l’action la plus courante consiste de loin à chiffrer une partie ou la totalité des fichiers de l’utilisateur. Si vous souhaitez obtenir des détails techniques, l’Institut Infosec (page en anglais) a étudié en profondeur la manière dont plusieurs types de logiciels rançonnés chiffrent les fichiers. Mais la chose la plus importante à savoir est qu’à la fin du processus, les fichiers ne peuvent pas être déchiffrés sans une clé mathématique connue seulement de l’attaquant. L’utilisateur se voit présenter un message expliquant que ses fichiers sont désormais inaccessibles et ne seront déchiffrés que si la victime envoie un paiement Bitcoin intraçable à l’attaquant.

Dans certaines formes de logiciels malveillants, l’attaquant peut prétendre être un organisme d’application de la loi qui ferme l’ordinateur de la victime en raison de la présence de pornographie ou de logiciels piratés sur celui-ci, et exige le paiement d’une “amende”, peut-être pour que les victimes soient moins susceptibles de signaler l’attaque aux autorités. Mais la plupart des attaques ne s’embarrassent pas de ce prétexte. Il existe également une variante, appelée “leakware” ou “doxware”, dans laquelle l’agresseur menace de rendre publiques des données sensibles sur le disque dur de la victime à moins qu’une rançon ne soit payée. Mais comme la recherche et l’extraction de telles informations sont très délicates pour les attaquants, les logiciels de chiffrage avec demande de rançon sont de loin les plus courants.

Qui est la cible d’un ransomware  ?

Les attaquants choisissent les organisations qu’ils ciblent avec un ransomware de plusieurs manières différentes. Parfois, c’est une question d’opportunité : par exemple, les attaquants peuvent cibler les universités parce qu’elles ont tendance à avoir des équipes de sécurité plus petites et une base d’utilisateurs disparates qui font beaucoup de partage de fichiers, ce qui facilite la pénétration de leurs défenses.

D’autre part, certaines organisations sont des cibles tentantes car elles semblent plus susceptibles de payer une rançon rapidement. Par exemple, les agences gouvernementales ou les établissements médicaux ont souvent besoin d’un accès immédiat à leurs dossiers. Les cabinets d’avocats et autres organisations possédant des données sensibles peuvent être prêts à payer pour garder secrète la nouvelle d’un compromis – et ces organisations peuvent être particulièrement sensibles aux attaques de logiciels de fuite.

Mais ne vous sentez pas en sécurité si vous n’entrez pas dans ces catégories : comme nous l’avons noté, certains logiciels de rançon se répandent automatiquement et sans discernement sur l’internet.

Comment prévenir les demandes de rançon

Il existe un certain nombre de mesures défensives que vous pouvez prendre pour empêcher l’infection par un ransomware. Ces mesures constituent bien sûr de bonnes pratiques de sécurité en général, et leur respect améliore donc vos défenses contre toutes sortes d’attaques :

  • Gardez votre système d’exploitation corrigé et à jour pour vous assurer que vous avez moins de vulnérabilités à exploiter.
  • N’installez pas de logiciel ou ne lui donnez pas de privilèges administratifs si vous ne savez pas exactement de quoi il s’agit et ce qu’il fait.
  • Installez un logiciel antivirus, qui détecte les programmes malveillants comme les logiciels de rançon dès leur arrivée, et un logiciel de liste blanche, qui empêche les applications non autorisées de s’exécuter en premier lieu.
  • Et, bien sûr, sauvegardez vos fichiers, fréquemment et automatiquement ! Cela n’arrêtera pas une attaque de logiciel malveillant, mais cela peut rendre les dommages causés par une attaque beaucoup moins importants.

Suppression des rançons

Si votre ordinateur a été infecté par un ransomware, vous devrez reprendre le contrôle de votre machine. les étapes importantes sont de :

  • Redémarrer Windows 10 en mode sécurisé
  • Installer un logiciel anti-malware
  • Scanner le système pour trouver le ransomware
  • Restaurer l’ordinateur dans un état antérieur

Mais voici la chose importante à garder à l’esprit : bien que ces étapes permettent de supprimer le logiciel malveillant de votre ordinateur et de le rétablir sous votre contrôle, il ne décryptera pas vos fichiers. Leur transformation en illisibles s’est déjà produite, et si le logiciel malveillant est le moindrement sophistiqué, il sera mathématiquement impossible pour quiconque de les décrypter sans avoir accès à la clé que détient l’attaquant. En fait, en supprimant le logiciel malveillant, vous avez empêché la possibilité de restaurer vos fichiers en payant aux attaquants la rançon qu’ils ont demandée.

Faits et chiffres concernant les rançons

Les rançons sont une grosse affaire. Il y a beaucoup d’argent dans les rançons, et le marché s’est développé rapidement depuis le début de la décennie. En 2017, les rançons ont entraîné des pertes de 5 milliards de dollars, tant en termes de rançons versées que de dépenses et de temps perdu pour se remettre des attaques. Cela représente une augmentation de 15 fois par rapport à 2015. Au cours du premier trimestre 2018, un seul type de logiciel de rançon, SamSam, a permis de collecter un million de dollars de rançon.

Certains marchés sont particulièrement enclins à exiger une rançon et à payer la rançon. De nombreuses attaques de logiciels de rançon très médiatisées ont eu lieu dans des hôpitaux ou d’autres organisations médicales, qui font des cibles tentantes : les attaquants savent que, avec des vies littéralement en jeu, ces entreprises sont plus susceptibles de payer une rançon relativement faible pour faire disparaître un problème. On estime que 45 % des attaques de logiciels contre les organismes de soins de santé sont des attaques avec demande de rançon et, inversement, que 85 % des infections de logiciels malveillants dans les organismes de soins de santé sont des logiciels contre demande de rançon. Une autre industrie tentante ? Le secteur des services financiers, qui est, comme l’a fait remarquer Willie Sutton, celui où se trouve l’argent. On estime que 90 % des institutions financières ont été la cible d’une attaque par logiciel contre rançon en 2017.

Votre logiciel anti-malware ne vous protégera pas nécessairement. Les logiciels de rançon sont constamment écrits et modifiés par leurs développeurs, et leurs signatures ne sont donc souvent pas détectées par les programmes antivirus classiques. En fait, jusqu’à 75 % des entreprises victimes d’un logiciel de rançon utilisaient une protection de point de terminaison à jour sur les machines infectées.

Les rançons ne sont plus aussi répandues qu’auparavant. Si vous voulez une bonne nouvelle, c’est la suivante : le nombre d’attaques de logiciels rançonnés, après avoir explosé au milieu des années 90, a diminué, bien que les chiffres initiaux aient été suffisamment élevés pour qu’il soit toujours le même. Mais au cours du premier trimestre 2017, les attaques avec demande de rançon représentaient 60 % de la charge utile des logiciels malveillants ; aujourd’hui, ce chiffre est tombé à 5 %.

Les rançons sur le déclin ?

Qu’y a-t-il derrière ce grand plongeon ? À bien des égards, il s’agit d’une décision économique fondée sur la monnaie de prédilection du cybercriminel : le bitcoin. L’obtention d’une rançon pour une victime a toujours été un jeu d’enfant ; il se peut qu’elle ne décide pas de payer, ou même si elle le veut, qu’elle ne connaisse pas assez bien le bitcoin pour savoir comment s’y prendre.

Comme le souligne Kaspersky, le déclin des logiciels de rançon a été accompagné d’une augmentation des logiciels malveillants dits de cryptomining, qui infectent l’ordinateur victime et utilisent sa puissance de calcul pour créer (ou exploiter, en langage cryptocurrentiel) des bitcoins à l’insu de leur propriétaire. Il s’agit d’un moyen efficace d’utiliser les ressources de quelqu’un d’autre pour obtenir des bitcoins, qui contourne la plupart des difficultés pour obtenir une rançon, et qui n’a fait que devenir plus attrayant en tant que cyber-attaque, le prix des bitcoins ayant augmenté de façon spectaculaire à la fin de 2017.

Cela ne signifie pas pour autant que la menace est terminée. Il existe deux types d’attaquants de logiciels contre rançon : les attaques “de produits” qui tentent d’infecter des ordinateurs sans distinction de volume et comprennent des plateformes dites “ransomware as a service” que les criminels peuvent louer ; et les groupes ciblés qui se concentrent sur des segments de marché et des organisations particulièrement vulnérables. Vous devez être sur vos gardes si vous faites partie de cette dernière catégorie, même si le grand boom des logiciels de rançon est passé.

Avec la baisse du prix du bitcoin au cours de l’année 2018, l’analyse coûts-bénéfices pour les attaquants pourrait se déplacer en arrière. En fin de compte, l’utilisation de logiciels de rançon ou de logiciels malveillants cryptés est une décision commerciale pour les attaquants, explique Steve Grobman, directeur de la technologie chez McAfee. “Comme les prix des devises cryptographiques baissent, il est naturel de voir un retour [aux rançons].

Devriez-vous payer la rançon ?

Si votre système a été infecté par un logiciel malveillant et que vous avez perdu des données vitales que vous ne pouvez pas restaurer à partir d’une sauvegarde, devez-vous payer la rançon ?

En théorie, la plupart des services de police vous invitent à ne pas payer de rançon aux pirates, car cela ne ferait qu’encourager les pirates à créer d’autres rançons. Cela dit, de nombreuses organisations qui se trouvent confrontées à des logiciels malveillants cessent rapidement de penser en termes de “bien commun” et commencent à faire une analyse coût-bénéfice, en mettant en balance le prix de la rançon et la valeur des données cryptées. Selon une étude de Trend Micro, alors que 66 % des entreprises déclarent qu’elles ne paieraient jamais de rançon par principe, en pratique, 65 % d’entre elles paient effectivement la rançon lorsqu’elles sont touchées.

Les attaquants de rançon maintiennent des prix relativement bas – généralement entre 700 et 1 300 dollars, un montant que les entreprises peuvent généralement se permettre de payer dans des délais très courts. Certains logiciels malveillants particulièrement sophistiqués détectent le pays où l’ordinateur infecté fonctionne et ajustent la rançon en fonction de l’économie de ce pays, exigeant plus des entreprises des pays riches et moins de celles des régions pauvres.

Des rabais sont souvent offerts pour les actions rapides, afin d’encourager les victimes à payer rapidement avant d’y penser trop fort. En général, le prix est fixé de manière à ce qu’il soit suffisamment élevé pour que le criminel en vaille la peine, mais suffisamment bas pour qu’il soit souvent moins cher que ce que la victime devrait payer pour restaurer son ordinateur ou reconstruire les données perdues. Dans cette optique, certaines entreprises commencent à intégrer la nécessité potentielle de payer une rançon dans leurs plans de sécurité : par exemple, certaines grandes entreprises britanniques qui ne sont pas impliquées dans la cryptologie monétaire gardent des Bitcoin en réserve spécialement pour le paiement de rançons.

Il y a deux ou trois choses délicates à retenir ici, en gardant à l’esprit que les personnes auxquelles vous avez affaire sont, bien sûr, des criminels. Premièrement, ce qui ressemble à un logiciel de rançon peut ne pas avoir crypté vos données du tout ; assurez-vous que vous n’avez pas affaire à un “scareware” avant d’envoyer de l’argent à qui que ce soit. Et deuxièmement, le fait de payer les attaquants ne garantit pas que vous récupérerez vos fichiers. Parfois, les criminels se contentent de prendre l’argent et de s’enfuir, sans même avoir intégré une fonction de décryptage dans le logiciel malveillant. Mais ces logiciels malveillants se font rapidement une réputation et ne génèrent pas de revenus, si bien que dans la plupart des cas – Gary Sockrider, technologue principal en sécurité chez Arbor Networks, estime que dans 65 à 70 % des cas – les escrocs passent par là et vos données sont restaurées.

Exemples de rançon

Si les logiciels de rançon existent techniquement depuis les années 90, ils n’ont pris leur essor qu’au cours des cinq dernières années environ, en grande partie grâce à la disponibilité de méthodes de paiement intraçables comme Bitcoin. Certains des pires délinquants l’ont été :

  • CryptoLocker, une attaque de 2013, a lancé l’ère des logiciels de rançon modernes et a infecté jusqu’à 500 000 machines à son apogée.
  • TeslaCrypt a ciblé les fichiers de jeux et a connu une amélioration constante pendant son règne de terreur.
  • SimpleLocker a été la première attaque généralisée de logiciels de rançon visant les appareils mobiles
  • WannaCry s’est propagé de manière autonome d’ordinateur en ordinateur en utilisant EternalBlue, un exploit développé par la NSA puis volé par des pirates informatiques.
  • NotPetya a également utilisé EternalBlue et pourrait avoir participé à une cyber-attaque dirigée par les Russes contre l’Ukraine.
  • Locky a commencé à se répandre en 2016 et était “similaire dans son mode d’attaque au célèbre logiciel bancaire Dridex”. Une variante, Osiris, s’est répandue par le biais de campagnes de phishing.
  • Le leatherlocker a été découvert pour la première fois en 2017 dans deux applications Android : Booster & Cleaner et Wallpaper Blur HD. Plutôt que de crypter les fichiers, il verrouille l’écran d’accueil pour empêcher l’accès aux données.
  • Wysiwye, également découvert en 2017, scanne le web à la recherche de serveurs RDP (Remote Desktop Protocol) ouverts. Il tente ensuite de voler les identifiants RDP pour les diffuser sur le réseau.
  • Cerber s’est avéré très efficace lorsqu’il est apparu pour la première fois en 2016, et a rapporté 200 000 dollars aux agresseurs en juillet de cette année-là. Il a profité d’une vulnérabilité de Microsoft pour infecter les réseaux.
  • BadRabbit s’est répandu dans les entreprises de médias en Europe de l’Est et en Asie en 2017.
  • Le SamSam existe depuis 2015 et vise principalement les organismes de santé.
  • Ryuk est apparu pour la première fois en 2018 et est utilisé dans des attaques ciblées contre des organisations vulnérables telles que les hôpitaux. Il est souvent utilisé en combinaison avec d’autres logiciels malveillants tels que TrickBot.
  • Maze est un groupe relativement nouveau de logiciels de rançon connu pour divulguer des données volées au public si la victime ne paie pas pour les décrypter.
  • RobbinHood est une autre variante d’EternalBlue qui a mis à genoux la ville de Baltimore, dans le Maryland, en 2019.
  • GandCrab pourrait bien être le logiciel de rançon le plus lucratif de tous les temps. Ses développeurs, qui ont vendu le programme à des cybercriminels, réclament plus de 2 milliards de dollars en dédommagement des victimes à partir de juillet 2019.
  • Sodinokibi cible les systèmes Microsoft Windows et crypte tous les fichiers sauf les fichiers de configuration. Il est lié à GandCrab
  • Thanos est le dernier né des logiciels de rançon de cette liste, découvert en janvier 2020. Il est vendu comme un service de rançon. Il est le premier à utiliser la technique RIPlace, qui permet de contourner la plupart des méthodes anti-ransomware.

Cette liste ne fera que s’allonger. Suivez les conseils énumérés ici pour vous protéger.

En savoir plus sur les rançons :

  • Comment acheter des Bitcoin pour le paiement d’une rançon (si vous le devez)
  • L’interdiction des paiements de rançons par le département du Trésor américain met les victimes dans une position difficile
  • WastedLocker a expliqué : Comment ce logiciel de rançon ciblé extorque des millions de victimes
  • Les 4 principales vulnérabilités exploitées par les auteurs de rançon en 2020
  • Une histoire de rançon : Les motifs et les méthodes de ces attaques évolutives
  • Le logiciel de rançon WannaCry expliqué : Ce qu’il est, comment il infecte et qui en est responsable
  • Petya ransomware et NotPetya malware : Ce que vous devez savoir maintenant
  • Le logiciel de rançon BadRabbit attaque de nombreux médias
  • Dans le marché florissant des rançons