À quelles fins les pirates utilisent-ils les ransomwares ?

Kurt Baker - juin 30, 2022

À quelles fins les pirates utilisent-ils les ransomwares ?

Lors d’une attaque de ransomware, le cyberpirate utilise un logiciel malveillant pour chiffrer, supprimer ou manipuler des données, des éléments de propriété intellectuelle ou des informations personnelles. Il garde alors les informations, le terminal ou le système en otage d’un point de vue numérique jusqu’à ce que la victime paie la rançon, généralement réclamée sous la forme d’un paiement sécurisé et intraçable.

Les ransomwares demeurent l’une des tactiques les plus rentables pour les cybercriminels, le montant de rançons, en hausse constante, étant souvent compris entre 1 et 10 millions de dollars. Il convient toutefois de noter que le paiement de la rançon au cyberpirate ne garantit nullement que le système sera restauré ou que les données volées ne seront pas partagées ou vendues sur le Dark Web.

Types de ransomwares

Les ransomwares peuvent prendre de nombreuses formes. Voici quelques-uns des types de ransomwares les plus courants :

  1. Les cryptowares ou crypto-verrouilleurs chiffrent les fichiers et les données d’un système et rendent leur contenu inaccessible sans la clé de déchiffrement.
  2. Les verrouilleurs d’écran bloquent complètement l’accès de l’utilisateur à son système, si bien que ses fichiers et applications sont inaccessibles. Un écran de verrouillage affiche la demande de rançon.
  3. Les scarewares sont de faux logiciels qui font croire à l’utilisateur que son ordinateur ou son terminal mobile a été infecté par un virus ou présente un autre problème et qu’il doit payer pour que le problème soit résolu. Les scarewares peuvent également verrouiller l’ordinateur ou inonder l’écran de fenêtres pop-up d’avertissement sans réellement endommager les fichiers.
  4. Les doxwares ou leakwares menacent de publier en ligne des informations sensibles personnelles ou professionnelles. La plupart des victimes versent la rançon pour éviter que des données privées ne tombent entre de mauvaises mains ou ne soient rendues publiques. Une variante de ce ransomware consiste, pour le cybercriminel, à se faire passer pour les forces de l’ordre et à prévenir qu’une activité en ligne illégale a été détectée et qu’une amende doit être payée pour échapper à la prison.
  5. Les RaaS (Ransomware-as-a-Service) sont des logiciels malveillants hébergés anonymement par un cyberpirate professionnel qui gère tous les aspects de l’attaque, de la distribution du ransomware à l’encaissement des paiements et à la restauration de l’accès.
  6. Les attaques sans fichier ou ransomwares sans fichier sont des attaques dans le cadre desquelles la tactique initiale n’exige pas d’écrire un fichier exécutable sur le disque. Un ransomware sans fichier se sert des outils préinstallés du système d’exploitation (PowerShell ou WMI, par exemple) pour permettre au cyberpirate d’effectuer diverses tâches sans devoir exécuter un fichier exécutable malveillant sur le système compromis.

EN SAVOIR PLUS

Le ransomware sans fichier fait de nombreux adeptes, car les attaques sans fichier sont capables de contourner la plupart des solutions antivirus d’ancienne génération. Pour en savoir plus sur le fonctionnement d’un ransomware sans fichier, téléchargez l’infographie :How Ransomware Uses PowerShell

Fonctionnement d’une attaque de ransomware

La plupart des attaques de ransomwares fonctionnent de la même façon, malgré leur grande diversité. En général, le logiciel malveillant est introduit dans le réseau sous la forme d’un fichier infecté téléchargé par le biais d’une pièce jointe à un e-mail. Le fichier exécute le ransomware, qui infecte alors le système. Lors d’attaques de ransomwares, le logiciel malveillant est souvent programmé pour chiffrer les données et ajouter une extension de fichier afin d’empêcher le propriétaire d’y accéder.

Il existe d’autres moyens de mener une attaque de ransomware, notamment :

  • Publicité malveillante (malvertising) : attaque déclenchée lorsqu’un utilisateur clique sur une publicité en ligne infectée ou fictive.
  • Attaque de type « drive-by » : cette forme plus sophistiquée de ransomware exploite les vulnérabilités de divers plug-ins de navigateur pour lancer l’attaque. Elle ne nécessite aucune action humaine.
  • Attaque du système de sauvegarde : attaque de logiciel malveillant qui cible les systèmes de sauvegarde de l’utilisateur pour empêcher la victime de restaurer ses données.
  • Ransomware mobile : attaque de ransomware qui cible spécifiquement les terminaux mobiles, tels que les smartphones et les tablettes.
  • Ingénierie sociale : les opérateurs de ransomwares peuvent recourir à d’autres techniques d’attaque, comme le phishing, pour collecter des informations personnelles et adapter leur rayon d’action afin d’accroître les chances de succès de leurs attaques.

Déroulement d’une attaque de ransomware

La plupart des types d’attaques de ransomwares suivent le même schéma. Voici les sept phases de base d’une attaque de ransomware :

1. Introduction

Au cours de cette première phase d’une attaque de ransomware, le cyberattaquant pose les bases de son activité. Il peut utiliser des e-mails de phishing ou d’autres techniques d’ingénierie sociale, rechercher des vulnérabilités du réseau, du navigateur ou du logiciel à exploiter ou configurer des sites web malveillants. En général, le cybercriminel commence par inciter l’utilisateur à cliquer sur un lien malveillant, à télécharger un fichier infecté ou à interagir de toute autre manière avec une ressource compromise pour installer le logiciel malveillant sur le système ou le terminal.

2. Infection

Au cours de cette phase, le code malveillant établit une ligne de communication avec le cyberattaquant. Ce canal peut également être utilisé pour installer un autre logiciel malveillant sur le système. La phase d’infection par le ransomware peut être rapide, ou durer plusieurs mois, voire plusieurs années, le cybercriminel attendant le moment idéal pour lancer l’attaque. Compte tenu de la sophistication croissante des cyberpirates, l’attaque en cours peut même passer inaperçue. Pour réduire le risque, il est essentiel d’identifier l’attaque le plus tôt possible, idéalement pendant la phase d’infection, lorsque le logiciel malveillant est encore inactif. Dans le cas contraire, l’entreprise devra mettre en place un plan de réponse complet pour limiter les dégâts.

3. Exécution

Une fois le système infecté, le cyberattaquant active l’attaque. Cette phase correspond au début du chiffrement des données ou des fichiers par le logiciel malveillant. En fonction du type d’attaque, le terminal de l’utilisateur peut être verrouillé ou inaccessible. Comme il est pratiquement impossible de déchiffrer les données sans la clé de déchiffrement, la plupart des victimes de ransomwares ont trois options : 1. renoncer aux données ; 2. restaurer les données perdues à partir d’un système de sauvegarde ou de doubles ; 3. payer la rançon.

4. Demande de rançon

Lors de cette phase, le cybercriminel prend contact avec sa victime pour lui proposer de récupérer le contrôle de ses données ou de son terminal. Le message contient généralement des instructions détaillées pour le paiement de la rançon à l’aide d’une cryptomonnaie intraçable, comme le bitcoin. Au cours de cette phase, la victime a peu de chance de récupérer l’accès à ses données ou fichiers chiffrés ; pour les entreprises et autres organisations, cette étape peut avoir un impact sur les activités et entraîner de lourdes pertes financières.

5. Paiement et récupération

C’est le moment où la victime paie la rançon réclamée, généralement au moyen d’un canal sécurisé choisi par l’opérateur de ransomware. Ce paiement est effectué en cryptomonnaie. Dans le meilleur des cas, l’utilisateur récupère ses données et fichiers une fois la rançon payée et aucune information copiée par le cybercriminel n’est vendue sur le Dark Web. Mais ne vous y trompez pas, la plupart des cybercriminels n’ont pas un sens très développé de l’intégrité. Le paiement de la rançon, aussi élevée soit-elle, ne garantit nullement la restauration du système.

6. Élimination

De même que le paiement d’une rançon ne garantit pas la restauration du système, rien ne dit que les opérateurs de ransomwares supprimeront toutes les instances de logiciel malveillant du système. Autrement dit, les entreprises qui ont été victimes d’une compromission par le passé ont de fortes chances de subir un nouvel incident du même type par la suite. Au cours de cette phase, les entreprises doivent collaborer avec leur partenaire de cybersécurité afin d’analyser le type d’attaque et de s’assurer que toutes les instances du logiciel malveillant ont été éliminées du réseau. Le partenaire de cybersécurité peut aider l’entreprise à isoler les zones affectées du réseau afin d’éliminer le logiciel malveillant et de réduire le risque de réactivation pendant le processus de restauration.

7. Restauration

Une fois le logiciel malveillant éliminé, le fonctionnement normal du système peut être rétabli. C’est l’occasion pour l’entreprise d’envisager, en collaboration avec son partenaire de cybersécurité, la mise en place de mesures de protection plus robustes pour tenter de prévenir de futures attaques de ransomwares (et d’autres types de cyberattaques). Les entreprises peuvent également élaborer une méthode de reprise sophistiquée permettant de restaurer le système sans payer la rançon en cas de nouvelle attaque.

Quelles sont les cibles des ransomwares ?

Les entreprises de toutes tailles peuvent être la cible de ransomwares. Même si la chasse au gros gibier enregistre une forte progression, les ransomwares ciblent régulièrement les petites et moyennes entreprises, y compris les administrations publiques locales et nationales, souvent vulnérables aux attaques en raison de leurs équipes de sécurité relativement petites ou du manque de maturité perçu de leur infrastructure de sécurité.

Les cibles idéales des attaques de ransomwares sont les suivantes :

  • Tout groupe ayant une équipe de sécurité réduite ou des pratiques de sécurité relativement laxistes. Il peut s’agir d’universités et d’établissements d’enseignement supérieur, étant donné qu’ils présentent souvent les caractéristiques suivantes : un niveau de sécurité souvent faible, une base d’utilisateurs étendue et en constante évolution et une activité réseau très intense, notamment en termes de partage de fichiers et de création de ressources.
  • Les entreprises disposant de ressources financières suffisantes pour payer une rançon et pour qui la divulgation de données pourrait porter gravement atteinte à leur réputation. Ainsi, une interruption, même brève, des services réseau des banques, des services d’utilité publique, des hôpitaux et des organismes publics aura de lourdes conséquences en termes de perte de revenus et, dans certains cas, de pertes de vie ou de souffrances humaines. Si ces organisations venaient à être victimes d’une cyberattaque médiatisée ou étendue, leur réputation en serait durement affectée.
  • Les entreprises qui détiennent des données sensibles, telles que des éléments de propriété intellectuelle, des secrets commerciaux, des données personnelles ou des dossiers médicaux. Ces entreprises peuvent être plus enclines à verser la rançon non seulement pour récupérer l’accès à leur système, mais également pour éviter la mauvaise publicité et la perte de confiance associées au statut de victime d’une compromission de données.

CONSEIL D'EXPERT

La pandémie mondiale a incité les opérateurs de ransomwares à cibler certains secteurs, et plus particulièrement les établissements de soins de santé. Les données du Global Threat Report 2021 de CrowdStrike montrent que plus de 100 établissements de soins de santé ont été ciblés par des chasseurs de gros gibier pendant la pandémie de COVID-19.Télécharger le Global Threat Report 2021

Comment se protéger contre une attaque de ransomware ?

Une fois le chiffrement exécuté, il est souvent trop tard pour récupérer les données. C’est pourquoi la meilleure protection contre les ransomwares repose sur une prévention proactive.

Les ransomwares évoluent en permanence, si bien que de nombreuses entreprises peinent à maintenir une protection efficace. Pour protéger vos opérations, respectez les bonnes pratiques suivantes :

  1. Formez tous vos collaborateurs aux bonnes pratiques en matière de cybersécurité.
  2. Maintenez votre système d’exploitation et vos logiciels à jour et appliquez les correctifs.
  3. Implémentez une solution de protection de la messagerie et optimisez-la.
  4. Surveillez en continu votre environnement afin d’identifier les activités malveillantes et les indicateurs d’attaque.
  5. Intégrez la cyberveille à votre stratégie de sécurité.
  6. Créez des sauvegardes hors ligne à l’épreuve des ransomwares.
  7. Implémentez un programme de gestion des identités et des accès (IAM).

Prévenir les attaques de ransomware avec CrowdStrike

CrowdStrike Falcon® offre une protection contre les ransomwares, une fonctionnalité de plus en plus précieuse au regard de la popularité croissante des ransomwares. Notre approche en la matière consiste à empêcher un ransomware d’infecter un système et de chiffrer les fichiers qui s’y trouvent. Selon nous, une approche préventive est absolument indispensable, étant donné que le déchiffrement est souvent impossible et que personne ne souhaite verser une rançon ou restaurer les systèmes à partir des sauvegardes.

CrowdStrike utilise son capteur d’endpoint pour détecter le comportement des ransomwares et neutraliser l’activité malveillante avant qu’elle ne parvienne à chiffrer les fichiers. Pour ce faire, nous utilisons les indicateurs d’attaque CrowdStrike au niveau de l’endpoint. Ces indicateurs fonctionnent à la fois en ligne et hors ligne, et sont efficaces contre les nouvelles variantes et les variantes polymorphes de ransomwares qui parviennent souvent à contourner les signatures antivirus d’ancienne génération.

EN SAVOIR PLUS

Pour découvrir comment CrowdStrike aide à prévenir les attaques de ransomwares, lisez notre article de blog: How to Prevent Ransomware with CrowdStrike Falcon Endpoint Protection

À PROPOS DE L'AUTEUR

Kurt Baker est directeur du marketing produits de Falcon Intelligence chez CrowdStrike. Il possède plus de 25 années d’expérience à des postes de direction, principalement acquise auprès d’éditeurs de logiciels émergents. Il possède une grande expertise en matière de cyberveille, d’analyse et de gestion de la sécurité ainsi que de protection contre les menaces avancées. Avant de rejoindre CrowdStrike, Kurt Baker a occupé des postes techniques chez Tripwire et a participé à la création de plusieurs startups sur divers marchés allant des solutions de sécurité d’entreprise aux terminaux mobiles. Il est diplômé de l’Université de Washington et réside actuellement à Boston, aux États-Unis.