Comment se propage un ransomware ?

Kurt Baker - août 3, 2022

Dans un contexte où les opérateurs de ransomware ne cessent de peaufiner leurs tactiques, il est essentiel de comprendre les vecteurs d’attaque les plus courants afin de protéger au mieux votre entreprise.

Les ransomwares peuvent se propager de différentes manières, mais les méthodes d’infection les plus courantes sont les suivantes :

  • Ingénierie sociale (phishing)
  • Fenêtres pop-up de sites web et kits d’exploit
  • Attaques sans fichiers
  • Ransomware en tant que service (RaaS, Ransomware-as-a-Service)
  • Dissimulation de logiciels malveillants

Méthodes d’infection des ransomwares

Ingénierie sociale

Dans les attaques de ransomwares, les cyberpirates exploitent à la fois les technologies et la nature humaine. Dans un cas observé par CrowdStrike, le cyberattaquant avait usurpé l’adresse e-mail d’un PDG et utilisé l’ingénierie sociale pour inciter les collaborateurs à cliquer sur un lien contenu dans un e-mail factice, prétendument envoyé par leur patron.

Pour arriver à ses fins, il a dû se renseigner en détail sur l’équipe de direction de l’entreprise, ses collaborateurs et son secteur d’activité. Avec la multiplication des attaques de type chasse au gros gibier, l’ingénierie sociale joue un rôle croissant dans les attaques de phishing. Les réseaux sociaux ont également leur importance. En effet, ils permettent non seulement aux cyberattaquants de découvrir quantité d’informations sur leurs victimes potentielles, mais servent aussi de points d’entrée pour le déploiement de logiciels malveillants.

Fenêtres pop-up de sites web et kits d’exploit

Les fenêtres pop-up de sites web et les kits d’exploit peuvent être utilisés conjointement pour propager des ransomwares qui permettent aux cyberattaquants de créer des fenêtres pop-up de type cheval de Troie ou des annonces publicitaires dissimulant du code malveillant. Dès lors que l’utilisateur clique sur l’une d’elles, il est redirigé sans le savoir vers la page de renvoi du kit d’exploit. Un composant du kit d’exploit analyse alors discrètement l’ordinateur pour identifier des vulnérabilités susceptibles d’être exploitées.

Le cyberpirate envoie ensuite une charge active de ransomware pour infecter le système. Les kits d’exploit ont la cote au sein des groupes cybercriminels en raison de leur nature automatisée. En outre, les exploits constituent une technique d’attaque sans fichiers efficace puisqu’ils peuvent être injectés directement dans la mémoire sans qu’il faille écrire quoi que ce soit sur le disque, ce qui leur permet d’échapper à la détection des logiciels antivirus traditionnels.

Par ailleurs, les kits d’exploit sont de plus en plus souvent utilisés dans le cadre d’attaques de ransomwares moins sophistiquées, car leur déploiement n’exige pas un grand savoir-faire technique. Moyennant un investissement minime, n’importe qui peut se lancer dans le rançonnage en ligne.

Attaques sans fichiers

Les techniques utilisant des ransomwares sans fichiers se multiplient. Lors de telles attaques, la tactique initiale n’exige pas d’écrire un fichier exécutable sur le disque. Un ransomware sans fichier se sert des outils préinstallés du système d’exploitation (PowerShell ou WMI, par exemple) pour permettre au cyberattaquant d’effectuer diverses tâches sans devoir exécuter un fichier malveillant sur le système compromis. Cette technique fait de nombreux adeptes, car les attaques sans fichiers sont capables de contourner la plupart des solutions antivirus d’ancienne génération.

RANSOMWARE EN TANT QUE SERVICE (RaaS) ET FOURNISSEURS FRAUDULEUX D’ACCÈS RÉSEAU

Comme les cybercriminels cherchent constamment des solutions pour optimiser leurs opérations et générer plus de bénéfices, ils se sont inspirés du modèle SaaS (logiciel en tant que service) pour créer un modèle RaaS. Les fournisseurs de services RaaS offrent tous les composants nécessaires pour lancer des campagnes de ransomware — du code malveillant aux tableaux de bord de résultats. Certains proposent même un service client, ce qui permet aux criminels sans grand savoir-faire technique de lancer de telles attaques. Qui plus est, le coût d’abonnement est généralement couvert par une partie des revenus générés par la campagne, ce qui en fait un modèle très intéressant et rentable pour les cybercriminels. À titre d’exemple, citons le célèbre service RaaS CARBON SPIDER. CARBON SPIDER a renforcé son engagement vis-à-vis de la chasse au gros gibier en août 2020 en utilisant son propre ransomware, DarkSide. En novembre 2020, ce cyberadversaire est allé plus loin encore en créant un programme d’affiliation RaaS pour DarkSide, permettant ainsi à d’autres cybercriminels d’utiliser le ransomware en payant une commission à CARBON SPIDER.

Les fournisseurs frauduleux d’accès réseau sont des cybercriminels qui obtiennent un accès à l’infrastructure dorsale de diverses organisations (entreprises comme institutions gouvernementales) et vendent cet accès soit sur des forums cybercriminels, soit par le biais de canaux privés. Les acquéreurs gagnent du temps grâce aux cibles préidentifiées et à l’accès préétabli, ce qui permet des déploiements plus nombreux et plus rapides, et offre un potentiel de monétisation plus élevé. Le recours à des fournisseurs frauduleux d’accès réseau tend à se généraliser parmi les cybercriminels spécialisés dans la chasse au gros gibier et les opérateurs de ransomwares en herbe. L’équipe CrowdStrike Intelligence a observé que certains fournisseurs frauduleux d’accès réseau sont associés à des affiliés de groupes proposant des services RaaS.

Dissimulation des logiciels malveillants dans les processus de génération

En 2020, l’équipe CrowdStrike Intelligence a observé que WIZARD SPIDER et MUMMY SPIDER implémentent des outils de protection logiciels à code source libre dans leurs processus de génération de logiciels malveillants. L’utilisation de techniques de dissimulation dans les logiciels malveillants n’est pas nouvelle, mais l’inclusion d’outils à code source libre dans les processus de génération est une tactique inédite qui permet aux cyberadversaires avancés qui cherchent des moyens de maintenir l’agilité de leurs processus de développement de parvenir à leurs fins. Compte tenu de la complexité du code source libre, cette tactique a moins de chance d’être adoptée par des groupes cybercriminels moins sophistiqués.

Comment se protéger contre les ransomwares

Les sauvegardes constituent un bon moyen de défense, mais doivent elles aussi être protégées, car c’est souvent la première chose que les cyberattaquants tentent de détruire ou dont ils bloquent l’accès dans un environnement. S’assurer que les sauvegardes sont sécurisées et accessibles séparément, même dans un environnement compromis, est une précaution élémentaire. En septembre 2020, la Cybersecurity and Infrastructure Security Agency (CISA), placée sous la supervision du ministère américain de la Sécurité intérieure, et le Centre de partage et d’analyse de l’information multi-états (MSISAC) ont publié un guide commun sur la protection contre les ransomwares, qui décrit les mesures de cybersécurité à mettre en place par les entreprises pour comprendre et faire face à la menace du ransomware. Ce guide propose des conseils pour se protéger du ransomware, se préparer à un incident potentiel et se remettre d’une attaque, et précise qui contacter pour obtenir de l’aide. Il inclut des recommandations pratiques, notamment l’application de mises à jour et de correctifs aux systèmes, la formation des utilisateurs finaux, ainsi que la création et l’exécution d’un plan d’intervention sur incident.

À PROPOS DE L'AUTEUR

Kurt Baker est directeur du marketing produits de Falcon Intelligence chez CrowdStrike. Il possède plus de 25 années d’expérience à des postes de direction, principalement acquise auprès d’éditeurs de logiciels émergents. Il possède une grande expertise en matière de cyberveille, d’analyse et de gestion de la sécurité ainsi que de protection contre les menaces avancées. Avant de rejoindre CrowdStrike, Kurt Baker a occupé des postes techniques chez Tripwire et a participé à la création de plusieurs startups sur divers marchés allant des solutions de sécurité d’entreprise aux terminaux mobiles. Il est diplômé de l’Université de Washington et réside actuellement à Boston, aux États-Unis.