retour au glossaire

Qu'est-ce que

Un ransomware

?

Comment fonctionnent les rançongiciels ?

Ransomware screenshot

Les rançongiciels commencent par infecter initialement le système d'un individu ou d'un employé au travail. Les rançongiciels peuvent infecter un appareil de deux manières courantes : par le biais d'e-mails ou d'URL malveillants.

Courriels malveillants, souvent appelés phishing ou des e-mails de type malspam, contiennent souvent une pièce jointe infectée. Les pièces jointes portent des noms intrigants ou urgents pour encourager les utilisateurs à les ouvrir, souvent en lien avec les taxes, les fausses factures, le suivi de faux colis ou l'actualité.

Parfois, des URL malveillantes sont utilisées dans les e-mails pour inciter les utilisateurs à cliquer afin de lancer des attaques Web avec des téléchargements intempestifs ou des publicités malveillantes.

Voyons comment fonctionne une première version d'un ransomware, CryptoWall, une fois qu'il est présent sur un terminal. Une fois l'ordinateur portable infecté, CryptoWall corrompt explorer.exe, la partie de Windows contenant le menu Démarrer, la barre des tâches, le bureau et le gestionnaire de fichiers, et le redémarre. Il supprime ensuite les clichés instantanés, installe des logiciels malveillants, désactive les services, etc. Cela établira la persistance, donc le redémarrage de l'appareil ne le supprimera pas.

CryptoWall communique ensuite avec son serveur de commande et de contrôle pour obtenir la clé de cryptage permettant de verrouiller les fichiers. Avec la clé, tous les fichiers sont chiffrés sur le système local, de même que tous les fichiers accessibles sur les lecteurs réseau connectés. En raison du fonctionnement des rançongiciels, le seul moyen d'y accéder à nouveau est d'utiliser la clé de cryptage obtenue en payant la rançon au groupe à l'origine de CryptoWall.

Qui sont les auteurs ?

Les attaques avancées par rançongiciel peuvent provenir d'auteurs qui reprennent les variantes existantes des rançongiciels et les modifient suffisamment pour être transmises. malware scanners. Cependant, les attaquants par rançongiciels ne sont pas toujours des codeurs. Certains acteurs malveillants achètent des logiciels malveillants à des auteurs et versent au développeur un pourcentage des revenus. C'est ce que l'on appelle le ransomware en tant que service (RaaS). Ces criminels sont difficiles à retrouver à l'ère des cryptomonnaies anonymes.

Pourquoi les rançongiciels se répandent-ils ?

Incidents de ransomware signalés a augmenté de 62 % en 2021 par rapport à 2020. Les attaques de rançongiciels augmentent rapidement pour plusieurs raisons.

À l'ère du RaaS, les attaquants n'ont pas besoin d'être des codeurs techniques. Cela élargit le nombre de personnes qui disposent des outils nécessaires pour devenir des cybercriminels. Il existe également de nombreuses plateformes de code open source et de glisser-déposer capables de créer des variantes de rançongiciels.

En outre, de plus en plus d'utilisateurs travaillent à domicile et peut-être sur des ordinateurs extérieurs à l'entreprise. Cela ouvre la porte aux e-mails de phishing et aux téléchargements malveillants.

Exemples d'attaques par rançongiciel

Pour prévenir les rançongiciels de manière proactive, il est important que les entreprises comprennent les tactiques et les caractéristiques des attaques de rançongiciels courantes.

Wanna Cry

WannaCry est un ransomware qui se propage tout seul. L'attaque a tiré parti de l'exploit EternalBlue, développé par la NSA, utilisé pour compromettre des machines, charger des logiciels malveillants et se propager à d'autres machines. Plus précisément, il a tiré parti d'une vulnérabilité de Microsoft Server Message Block (SMB), utilisée pour des tâches telles que le partage de fichiers entre ordinateurs Windows. EternalBlue installerait ensuite DoublePulsar pour exécuter du code malveillant sur un système infecté.

Microsoft avait publié des correctifs au moment de l'attaque. Cependant, de nombreuses organisations ciblées n'avaient pas corrigé ces anciens systèmes après leur fin de vie.

Compte tenu de sa capacité à se propager, on estime qu'il a infecté plus de 200 000 systèmes dans le monde.

Pas Petya

Alors que le monde était encore sous le choc de WannaCry, NotPetya est apparu fin juin 2017 et est devenu l'attaque la plus dévastatrice que le monde ait connue à ce jour.

À première vue, NotPetya semblait être un rançongiciel, mais il s'est avéré qu'il s'agissait d'un logiciel malveillant conçu uniquement pour détruire, avec un cryptage irréversible. L'attaque a été lancée par de mauvais acteurs qui ont compromis le logiciel de comptabilité fiscale ukrainien appelé MeDoc. MeDoc comptait des centaines de milliers de clients, principalement en Europe, qui utilisaient le logiciel pour faire des affaires en Ukraine. Comme tous les logiciels, MeDoc a diffusé une mise à jour compromise à son insu aux clients, qui faisaient implicitement confiance à cette mise à jour du fournisseur. Il s'agissait d'une attaque de la chaîne d'approvisionnement, exploitant la confiance entre les fournisseurs de logiciels et les clients, qui a utilisé un logiciel compromis, MeDoc, comme tête de pont sur les systèmes. L'attaque a ensuite été lancée avec une version mise à jour du ransomware Petya, baptisée NotPetya.

L'attaque s'est propagée latéralement en utilisant EternalBlue et EternalRomance pour des systèmes non patchés ou des informations d'identification volées via des techniques de collecte de mots de passe afin de permettre l'utilisation d'outils tels que PsExec et WMI pour se propager à un plus grand nombre de systèmes. Le total des dommages mondiaux liés à NotPetya, désormais considéré comme une cyberarme géopolitique, a été estimé à environ 10 milliards de dollars.

Double extorsion

Qu'est-ce que Lady Gaga a à voir avec les nouvelles techniques d'attaque par rançongiciel ?

Son rôle peu méfiant dans une double extorsion.

Les attaques par rançongiciel sont devenues encore plus malveillantes, car certaines attaques peuvent désormais ajouter à l'extorsion. Tout d'abord, les attaquants vont prendre pied, trouver des données sensibles et les exfiltrer vers leurs propres serveurs. Une fois les données sensibles volées, les attaquants cryptent ensuite les systèmes. Non seulement les systèmes sont verrouillés, mais les informations sensibles peuvent être divulguées publiquement à moins que les victimes ne paient, ce qui constitue une pression supplémentaire pour les organisations pour qu'elles versent des rançons.

Récemment, des attaquants ont pris pour cible un cabinet d'avocats spécialisé dans le divertissement, volant des données relatives à des clients de premier plan tels que Lady Gaga, Bruce Springsteen et Christina Aguilera. Ils ont initialement publié des contrats liés à Lady Gaga comme preuve de leur possession d'informations sensibles.

Le groupe à l'origine de l'attaque a menacé de divulguer davantage de données sur les célébrités si le cabinet d'avocats refusait de payer la rançon demandée, qui s'élevait à environ 42 millions de dollars.

L'impact commercial des rançongiciels

Les rançongiciels ont un impact considérable sur la productivité des entreprises. Les attaquants feront chanter les entreprises en les menaçant de divulguer des données sensibles si l'entreprise ne paie pas la rançon rapidement. En 2016, le rançongiciel SamSam a surpris le monde entier en dévoilant une nouvelle fonctionnalité redoutable : le mouvement latéral intégré ou l'autopropagation. Pourquoi ? Les attaquants peuvent cibler efficacement des réseaux d'entreprise entiers pour chiffrer de grandes quantités de données critiques et, en retour, exiger des rançons plus importantes. Dans le cas de SamSam, les attaquants se sont frayés un chemin en exploitant une vulnérabilité de serveur datée. Une fois à l'intérieur, SamSam s'est déplacé latéralement en recherchant d'autres systèmes connectés au réseau afin de les chiffrer.

Comment se propagent les rançongiciels ?

Ransomware

Les rançongiciels capables de se propager seuls ont suscité une attention considérable. Cependant, de nombreuses attaques récentes de rançongiciels semblent être plus méthodiques et contrôlées par les attaquants.

Ces attaques n'évoluent pas aussi rapidement que les rançongiciels dotés d'un mouvement latéral intégré, mais elles sont tout aussi dévastatrices en raison de la longue durée de surveillance d'un environnement. Les municipalités américaines ont fait état d'une vague d'attaques ces dernières années, et de nombreuses autres n'ont probablement pas été signalées du tout. Dans la plupart des cas, les attaquants ciblent les environnements pendant des semaines avant le cryptage du ransomware.

Ces attaques prennent pied par le biais de services mal configurés par hameçonnage ou par force brute, tels que le protocole RDP (Remote Desktop Protocol), utilisé pour l'accès à distance à Windows. Une fois à l'intérieur, les attaques sont méthodiques et tentent de se déplacer latéralement d'égal à égal via des ports ouverts, en exploitant par exemple le protocole RDP ou le WMI, pour atteindre idéalement un contrôleur de domaine.

La collecte des informations d'identification, également présente dans NotPetya, est également utilisée pour se déplacer latéralement. Des outils tels que Mimikatz facilitent cela en permettant une augmentation des privilèges, afin que les attaquants disposent de niveaux d'autorisation plus élevés sur le réseau.

Quoi qu'il en soit, les attaquants contactent souvent les contrôleurs de domaine, faisant d'eux un administrateur informatique au sein de l'entreprise qu'ils attaquent.

À ce stade, ils « vivent de la terre » en utilisant les frameworks d'administration informatique existants tels que PsExec, utilisé pour exécuter des processus sur d'autres systèmes, ou PowerShell, utilisé pour automatiser les tâches de gestion des systèmes d'exploitation, pour déposer des fichiers malveillants sur les systèmes.

Comment prévenir les attaques de rançongiciels

Comment pouvez-vous vous protéger ? Il s'agit d'un défi de taille étant donné que de nombreuses attaques utilisent des logiciels malveillants récemment créés ou des programmes locaux pour échapper largement à la détection. Il existe quelques bonnes pratiques pour réduire le risque d'attaques majeures par rançongiciel.

Voici quelques-uns des principaux moyens de réduire les risques liés aux rançongiciels, selon l'US-CERT :

  • Segmentez vos ordinateurs portables et vos réseaux pour vous assurer que le premier ordinateur portable infecté est également le dernier, afin que les attaques ne puissent pas dépasser le système initial.
  • Appliquez régulièrement des correctifs à tous les systèmes pour éviter que les applications et les systèmes d'exploitation vulnérables ne soient ciblés.
  • Utilisez des outils efficaces de sécurité des e-mails et des terminaux pour empêcher un maximum d'e-mails de phishing d'atteindre les boîtes de réception ou empêcher les activités malveillantes associées à des rançongiciels d'atteindre les terminaux et de chiffrer les fichiers.
  • Apprenez aux utilisateurs à ouvrir les pièces jointes avec soin et à se méfier des pièces jointes provenant d'expéditeurs inconnus.
  • Sauvegardez régulièrement les systèmes et stockez les sauvegardes séparément pour pouvoir revenir à leur état antérieur si nécessaire, avec des sauvegardes inaccessibles depuis un réseau.

Répondre aux attaques de rançongiciels

Si vous pensez que votre appareil a été infecté par un logiciel malveillant, vous devez prendre quelques mesures pour éviter tout dommage supplémentaire. Tout d'abord, déconnectez le périphérique infecté du réseau et des autres appareils le plus rapidement possible. Cela permettra d'arrêter la propagation du ransomware d'un appareil à l'autre. Les entreprises peuvent empêcher la propagation rapide des malwares en utilisant Segmentation Zero Trust, y compris microsegmentation, pour isoler les charges de travail les unes des autres.

L'étape suivante consiste à contacter les autorités. L'infection des appareils par des rançongiciels est interdite par la loi. Ils peuvent également disposer d'outils qui vous aideront à récupérer vos fichiers.

Si vous avez sauvegardé vos fichiers dans un autre emplacement, vous pourrez les récupérer. C'est l'une des nombreuses raisons pour lesquelles les sauvegardes régulières de fichiers sont cruciales. Si vous n'avez pas de sauvegarde, faites des recherches en ligne pour essayer de trouver une clé de déchiffrement du ransomware. Malheureusement, si vous ne parvenez pas à trouver la bonne clé, vous devrez peut-être accepter que vos fichiers ont disparu.

Dois-je payer la rançon ?

Ne payez jamais la rançon pour récupérer vos fichiers. Rien ne garantit qu'ils vous fourniront réellement la clé de déchiffrement et que vous financerez des activités criminelles. Le paiement fera également de vous une cible récurrente. Maintenant que les criminels savent qu'ils peuvent obtenir de l'argent auprès de vous, ils continueront à infecter vos appareils à l'avenir.

Le fait de pouvoir identifier les logiciels malveillants potentiels dans les e-mails de phishing et les URL malveillantes pourrait éviter la destruction de vos fichiers. Après avoir lu cet article, vous pourrez répondre la prochaine fois que quelqu'un vous demandera : « Qu'est-ce qu'un ransomware ? » Vous êtes également prêt à prévenir les attaques et à connaître les étapes à suivre en cas d'infection de vos appareils.

En savoir plus

Découvrez comment Zero Trust Segmentation contient un ransomware et arrête la propagation vers protéger les charges de travail et les appareils.

retour au glossaire

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus