Ransomware : que faire et comment s'en protéger ?

Un ransomware est un type de malware qui bloque l'accès à un système informatique ou à des données, généralement en les chiffrant, jusqu'à ce que la victime paie une redevance à l'agresseur. Dans de nombreux cas, la demande de rançon est assortie d'un délai. Si la victime ne paie pas à temps, les données disparaissent à jamais.

Les attaques de ransomwares sont trop fréquentes de nos jours. De grandes entreprises, en Amérique du Nord comme en Europe, en ont été victimes. Les cybercriminels s'attaquent à n'importe quel consommateur ou entreprise et les victimes proviennent de tous les secteurs.

Plusieurs agences gouvernementales, dont le FBI, déconseillent de payer la rançon pour éviter d'encourager le cycle des demandes de rançon, comme le fait le projet “No More Ransom”. En outre, la moitié des victimes qui paient la rançon risquent de subir des attaques répétées par des ransomwares.

Les ransomwares remontent à 1989, lorsque le “virus du sida” a été utilisé pour extorquer des fonds aux victimes des ransomwares. Les paiements pour cette attaque ont été effectués par courrier au Panama, où une clé de déchiffrage a également été renvoyée à l'utilisateur.

En 1996, les ransomwares deviennent connus sous le nom de “extorsion par cryptovirus”, un terme introduit par Moti Yung et Adam Young de l'Université de Columbia. Cette idée, née dans le milieu universitaire, a illustré la progression, la force et la création des outils cryptographiques modernes. Young et Yung ont présenté la première attaque cryptovirologique lors de la conférence de l'IEEE sur la sécurité et la vie privée de 1996. Leur virus contenait la clé publique de l'attaquant et chiffrait les fichiers de la victime. Le malware incitait la victime à envoyer un texte chiffré asymétrique à l'attaquant pour qu'il déchiffre et lui renvoie la clé de décryptage, moyennant une certaine somme.

Les attaquants ont fait preuve de créativité au fil des ans en exigeant des paiements presque impossibles à retracer, ce qui permet aux cybercriminels de rester anonymes. Par exemple, le célèbre ransomware pour téléphones portables Fusob exige des victimes qu'elles paient en utilisant des cartes-cadeaux Apple iTunes au lieu de devises normales, comme le dollar.

Les attaques par ransomware ont commencé à gagner en popularité avec l'essor des cryptomonnaies comme le Bitcoin. La cryptomonnaie est une monnaie numérique qui utilise des techniques de chiffrement pour vérifier et sécuriser les transactions et contrôler la création de nouvelles unités. Outre le Bitcoin, il existe d'autres cryptomonnaies populaires que les attaquants incitent les victimes à utiliser, comme l'Ethereum, le Litecoin et le Ripple.

Les ransomwares ont attaqué des organisations dans presque tous les domaines, l'un des virus les plus connus étant responsables des attaques contre le Presbyterian Memorial Hospital. Cette attaque a mis en évidence les dommages et les risques potentiels des ransomwares. Les laboratoires, les pharmacies et les salles d'urgence ont été touchés.

Les criminels pratiquant le social engineering sont devenus plus innovants au fil du temps. Le Guardian a écrit sur une situation où les nouvelles victimes de ransomware devaient demander à deux autres utilisateurs d'installer le lien et de payer une rançon afin de faire décrypter leurs fichiers.

Exemples de ransomware

En se renseignant sur les principales attaques de ransomware ci-dessous, les organisations obtiendront des connaissances solides sur les tactiques, les exploits et les caractéristiques de la plupart des attaques par demande de rançon. Bien qu'il existe toujours des variations dans le code, les cibles et les fonctions des ransomwares, l'innovation dans les attaques est généralement incrémentielle.

• WannaCry : Un puissant exploit de Microsoft a été exploité pour créer un ver mondial de type “ransomware” qui a infecté plus de 250 000 systèmes avant qu'un “killswitch” ne soit déclenché pour arrêter sa propagation. Proofpoint a participé à la recherche de l'échantillon utilisé pour trouver le killswitch et à la déconstruction du ransomware.
• CryptoLocker : C'était l'un des premiers ransomwares de la génération actuelle qui nécessitait une cryptomonnaie pour le paiement (Bitcoin) et qui chiffrait le disque dur de l'utilisateur et les lecteurs réseau connectés. Cryptolocker était diffusé par un courriel avec une pièce jointe qui prétendait être des notifications de suivi de FedEx et UPS. Un outil de décryptage a été publié à cet effet en 2014. Mais divers rapports suggèrent que plus de 27 millions de dollars ont été extorqués par CryptoLocker.
• NotPetya : Considéré comme l'une des attaques les plus dommageables en matière de ransomware, NotPetya a utilisé des tactiques de son homonyme, Petya, comme l'infection et le cryptage de l'enregistrement de démarrage principal d'un système basé sur Microsoft Windows. NotPetya a exploité la même vulnérabilité de WannaCry pour se propager rapidement, exigeant le paiement en bitcoin pour annuler les changements. Il a été classé par certains comme un wiper, car NotPetya ne peut pas annuler les modifications apportées à la fiche de démarrage principale et rend le système cible irrécupérable.
• Bad Rabbit : Considéré comme un cousin de NotPetya et utilisant un code et des exploits similaires pour se propager, Bad Rabbit était un ransomware visible qui semblait cibler la Russie et l'Ukraine, et qui avait surtout un impact sur les entreprises de médias de ces pays. Contrairement à NotPetya, Bad Rabbit permettait le décryptage si la rançon était payée. La majorité des cas indiquent qu'il a été diffusé via une fausse mise à jour du lecteur Flash qui peut avoir un impact sur les utilisateurs via un lecteur par attaque.

Les ransomwares sont un type de logiciel malveillant conçu pour extorquer de l'argent à leurs victimes, qui sont bloquées ou empêchées d'accéder aux données de leurs systèmes. Les deux types de ransomwares les plus répandus sont les crypteurs et les verrouilleurs d'écran. Les crypteurs, comme leur nom l'indique, cryptent les données sur un système, rendant le contenu inutile sans la clé de décryptage. Les verrouilleurs d'écran, en revanche, bloquent simplement l'accès au système avec un écran “verrouillé”, affirmant que le système est crypté.

Figure 1 : Comment un ransomware tente de tromper une victime pour qu'elle l'installe.

Les victimes sont souvent informées sur un écran de verrouillage (commun aux crypteurs et aux verrouilleurs d'écran) de l'achat d'une cryptomonnaie, comme Bitcoin, pour payer la rançon. Une fois la rançon payée, les clients reçoivent la clé de décryptage et peuvent tenter de décrypter des fichiers. Le décryptage n'est pas garanti, car de nombreuses sources font état de divers degrés de réussite du décryptage après le paiement de la ransomware. Parfois, les victimes ne reçoivent jamais les clés. Certaines attaques installent des logiciels malveillants sur le système informatique même après le paiement de la rançon et la libération des données.

Bien qu'à l'origine, le cryptage des ransomwares ait été principalement axé sur les ordinateurs personnels, il vise de plus en plus les utilisateurs professionnels, car les entreprises paient souvent plus cher que les particuliers pour déverrouiller les systèmes essentiels et reprendre leurs activités quotidiennes.

Les infections ou les virus des entreprises par des ransomwares commencent généralement par un courriel malveillant. Un utilisateur sans méfiance ouvre une pièce jointe ou clique sur une URL qui est malveillante ou qui a été compromise.

Un ransomware est alors installé et commence à chiffrer les fichiers clés sur le PC de la victime et tout partage de fichiers en pièce jointe. Après avoir chiffré les données, le ransomware affiche un message sur l'appareil infecté. Ce message explique ce qui s'est passé et comment payer les attaquants. Si les victimes paient, le logiciel promet qu'elles recevront un code pour déverrouiller leurs données.

La prévention des attaques par ransomwares implique généralement la mise en place et le test de sauvegardes ainsi que l'application d'une protection contre les ransomwares dans les outils de sécurité. Les outils de sécurité tels que les passerelles de protection du courrier électronique constituent la première ligne de défense, tandis que les points d'extrémité constituent une défense secondaire. Les systèmes de détection d'intrusion (IDS) sont parfois utilisés pour détecter les commandes de ransomware afin d'alerter contre un système de ransomware qui appelle un serveur de contrôle. La formation des utilisateurs est importante, mais elle n'est qu'une des nombreuses couches de défense contre les ransomwares, et elle intervient après la livraison d'un logiciel de ransomware via un phishing par courrier électronique.

Une mesure de repli, au cas où d'autres défenses préventives contre les ransomwares échoueraient, consiste à stocker du Bitcoin. Cette mesure est plus fréquente lorsqu'un préjudice immédiat pourrait toucher les clients ou les utilisateurs de l'entreprise concernée. Les hôpitaux et le secteur de l'hôtellerie sont particulièrement exposés au risque de ransomware, car la vie des patients pourrait être affectée ou les personnes pourraient être enfermées dans les locaux ou en dehors.

Comment éviter les attaques de ransomwares ?

• Défendez votre courrier électronique contre les ransomwares : Le phishing et le spam sont les principaux modes de distribution des ransomwares. Des passerelles de messagerie électronique sécurisées avec une protection contre les attaques ciblées sont essentielles pour détecter et bloquer les courriels malveillants qui distribuent des ransomwares. Ces solutions protègent contre les pièces jointes malveillantes, les documents malveillants et les URL dans les courriers électroniques envoyés aux ordinateurs des utilisateurs.
• Défendez vos appareils mobiles contre les ransomwares : Les produits de protection contre les attaques mobiles, lorsqu'ils sont utilisés conjointement avec des outils de gestion des appareils mobiles (MDM), peuvent analyser les applications présentes sur les appareils des utilisateurs et alerter immédiatement les utilisateurs et le service informatique de toute application susceptible de compromettre l'environnement.
• Défendez votre navigation sur le web contre les ransomwares : Les passerelles web Ransomware-Secure peuvent analyser le trafic de navigation des utilisateurs pour identifier les publicités web malveillantes qui pourraient les conduire à des ransomwares.
• Surveillez votre serveur, votre réseau et vos principaux systèmes de sauvegarde : Les outils de surveillance peuvent détecter les activités inhabituelles d'accès aux fichiers, les virus, le trafic C&C du réseau et la charge des processeurs, éventuellement à temps pour bloquer l'activation des ransomwares. La conservation d'une copie intégrale des images des systèmes essentiels peut réduire le risque qu'une machine défaillante ou cryptée provoque un goulot d'étranglement opérationnel crucial.

Comment supprimer un ransomware ?

• Appelez les forces de l'ordre : Tout comme quelqu'un appellerait la police pour un enlèvement, les organisations doivent appeler le même bureau pour les demandes de ransomware. Leurs techniciens légistes peuvent s'assurer que les systèmes ne sont pas compromis d'une autre manière, recueillir des informations pour mieux protéger les organisations à l'avenir et essayer de trouver les attaquants.

Récupération de ransomware

• Renseignez-vous sur les ressources en matière de lutte contre les ransomwares : Le portail No More Ransom et Bleeping Computer proposent des conseils, des suggestions et même quelques décodeurs pour certaines attaques de ransomwares.
• Restauration des données : Si les organisations ont suivi les meilleures pratiques et conservé des sauvegardes de leurs systèmes, elles peuvent les restaurer et reprendre leurs activités normales.

Les statistiques suivantes sur les ransomwares illustrent la progression de l'épidémie et les milliards qu'elle a coûté aux victimes. Pour rester informé des dernières statistiques sur les ransomwares, vous pouvez également consulter le blog de Proofpoint.