Illumio vous explique ce qu'est un ransomware dans cet article

Un ransomware est un type de logiciel malveillant qui chiffre les fichiers et les informations d'un système et empêche l'accès à ces informations jusqu'à ce qu'une rançon soit payée en crypto-monnaie pour les déchiffrer. La marque de fabrique des ransomwares est la note de rançon qui s'affiche sur l'écran de l'ordinateur des victimes, indiquant que les fichiers ont été chiffrés. Les victimes disposent souvent d'un délai déterminé pour payer la rançon avant que leurs fichiers ne soient détruits. Par exemple, CryptoWall a donné trois jours aux victimes pour payer.

Comment fonctionne un ransomware ?

Maintenant que nous avons répondu à votre question "Qu'est-ce qu'un ransomware ?", examinons une autre question que vous vous posez peut-être. "Comment fonctionne un ransomware ?"

Un ransomware commence par une infection initiale du système d'une personne ou d'un employé au travail. Il existe deux façons courantes pour un ransomware d'infecter un appareil : par des courriels ou des URL malveillants.

Les courriels malveillants, souvent appelés phishing ou malspam, contiennent souvent une pièce jointe infectée. Les pièces jointes portent des noms intrigants ou urgents pour inciter les utilisateurs à les ouvrir, souvent liés aux impôts, à de fausses factures, à un faux suivi de colis ou à des événements d'actualité.

Parfois, des URL malveillantes sont utilisées dans les courriels pour inciter les utilisateurs à cliquer afin de lancer des attaques sur le web avec des téléchargements de type "drive-by" ou de la publicité malveillante.

Voyons comment une première version du ransomware, CryptoWall, fonctionne une fois qu'elle s'est installée sur un terminal. Une fois l'ordinateur portable infecté, CryptoWall corrompt explorer.exe, la partie de Windows comprenant le menu de démarrage, la barre des tâches, le bureau et le gestionnaire de fichiers, et le redémarre. Il supprime ensuite les copies d'ombre, installe des logiciels malveillants, désactive les services, etc. Il établit une persistance, de sorte que le redémarrage de l'appareil ne l'élimine pas.

Ensuite, CryptoWall communique avec son serveur de commande et de contrôle pour obtenir la clé de chiffrement permettant de verrouiller les fichiers. Avec la clé, tous les fichiers sont chiffrés sur le système local, ainsi que tous les fichiers accessibles sur les lecteurs réseau connectés. En raison du mode de fonctionnement du ransomware, le seul moyen d'y accéder à nouveau est d'obtenir la clé de cryptage en payant la rançon au groupe qui se cache derrière CryptoWall.

Les ransomwares se fraient un chemin dans l'entreprise

En 2016, le ransomware SamSam a réservé au monde une surprise désagréable en dévoilant une nouvelle capacité redoutable : le mouvement latéral intégré ou l'auto-propagation. Pourquoi ? Les attaquants peuvent effectivement cibler des réseaux d'entreprise entiers pour chiffrer de grandes quantités de données critiques et, en retour, exiger des paiements de rançon plus importants. Dans le cas de SamSam, les attaquants ont trouvé leur chemin en exploitant une vulnérabilité datant d'un serveur. Une fois à l'intérieur, SamSam s'est déplacé latéralement en recherchant d'autres systèmes connectés au réseau afin de les chiffrer.

WANNACRY

WannaCry est un ransomware qui se propage tout seul. L'attaque a exploité l'exploit EternalBlue, développé par la NSA, utilisé pour compromettre des machines, charger des logiciels malveillants et se propager à d'autres machines. Plus précisément, elle a tiré parti d'une vulnérabilité dans Microsoft Server Message Block (SMB) utilisé pour des tâches comme le partage de fichiers entre ordinateurs Windows. EternalBlue installait ensuite DoublePulsar pour exécuter un code malveillant sur un système infecté.

Microsoft avait publié des correctifs au moment de l'attaque. Cependant, de nombreuses organisations ciblées n'avaient pas appliqué de correctifs à ces anciens systèmes ayant dépassé leur fin de vie.

Compte tenu de sa capacité de propagation, on estime qu'il a infecté plus de 200 000 systèmes dans le monde.

NOTPETYA

Alors que le monde était encore sous le choc de WannaCry, NotPetya a fait son apparition fin juin 2017, et est devenu l'attaque la plus dévastatrice que le monde ait connue à ce jour.

NotPetya semblait être un ransomware à première vue, mais s'est avéré être un malware wiper conçu uniquement pour détruire, avec un chiffrement irréversible. L'attaque a commencé par la compromission par les mauvais acteurs du logiciel ukrainien de comptabilité fiscale appelé MeDoc.

MeDoc comptait des centaines de milliers de clients, principalement en Europe, qui utilisaient le logiciel pour faire des affaires en Ukraine. Comme tous les logiciels, MeDoc a diffusé une mise à jour compromise à son insu auprès des clients, qui ont implicitement fait confiance à cette mise à jour du fournisseur. Il s'agissait d'une attaque de la chaîne d'approvisionnement, exploitant la confiance entre les fournisseurs de logiciels et les clients, qui a utilisé un logiciel compromis, MeDoc, comme tête de pont sur les systèmes. L'attaque a ensuite été lancée avec une version actualisée du ransomware Petya, baptisée NotPetya.

Vivre de la terre avec les systèmes existants

Les rançongiciels capables de se propager seuls ont suscité une attention considérable.
Toutefois, de nombreuses attaques récentes semblent être plus méthodiques et contrôlées par les attaquants.

Ces attaques ne se déplacent pas aussi rapidement que les ransomwares à mouvement latéral intégré, mais elles sont tout aussi dévastatrices en raison de la longue durée de surveillance d'un environnement. Les municipalités américaines ont signalé une vague d'attaques ces dernières années - et beaucoup d'autres n'ont probablement pas été signalées du tout. Dans la plupart des cas, les attaquants surveillent les environnements pendant des semaines avant le chiffrement du ransomware.

Ces attaques prennent pied, via l’hameçonnage ou le forçage brutal de services mal configurés comme le protocole de bureau à distance (RDP), utilisé pour l'accès à distance à Windows. Une fois à l'intérieur, les attaques sont méthodiques, tentant un mouvement latéral de pair à pair via des ports ouverts, par exemple en exploitant RDP ou WMI, pour atteindre idéalement un contrôleur de domaine.

La récolte de justificatifs, également présente dans NotPetya, est également utilisée pour se déplacer latéralement. Des outils comme Mimikatz facilitent cette opération, en permettant l'élévation des privilèges, de sorte que les attaquants disposent de niveaux de permission plus élevés dans le réseau.

D'une manière ou d'une autre, les attaquants atteignent souvent les contrôleurs de domaine, ce qui fait d'eux un administrateur informatique de l'entreprise qu'ils attaquent.

À ce stade, ils "vivent de la terre", utilisant des cadres d'administration informatique existants comme PsExec, utilisé pour exécuter des processus sur d'autres systèmes, ou PowerShell, utilisé pour automatiser les tâches de gestion des systèmes d'exploitation, pour déposer des fichiers malveillants sur les systèmes.

DOUBLE EXTORSION

Quel est le rapport entre Lady Gaga et les nouvelles techniques d'attaque des ransomwares ? Son rôle insoupçonné dans la double extorsion.

Les attaques de ransomware sont devenues encore plus méchantes, car certaines d'entre elles peuvent désormais ajouter une extorsion supplémentaire. Tout d'abord, les attaquants prennent pied sur le terrain, trouvent des données sensibles et les exfiltrent vers leurs propres serveurs. Une fois les données sensibles volées, les attaquants procèdent ensuite au chiffrement des systèmes. Non seulement les systèmes sont verrouillés, mais les informations sensibles peuvent être divulguées publiquement si les victimes ne paient pas, ce qui constitue une pression supplémentaire pour que les organisations paient des rançons.

Récemment, des attaquants ont ciblé un cabinet d'avocats spécialisé dans le divertissement, volant des données relatives à des clients très en vue comme Lady Gaga, Bruce Springsteen et Christina Aguilera. Ils ont d'abord publié des contrats relatifs à Lady Gaga comme preuve de leur possession d'informations sensibles.

Le groupe à l'origine de l'attaque a menacé de diffuser d'autres données de célébrités si le cabinet d'avocats refusait de payer la rançon demandée, qui a atteint quelque 42 millions de dollars.

Comment prévenir les attaques par ransomware

Comment se protéger ? C'est un défi de taille, car de nombreuses attaques font appel à des logiciels malveillants nouvellement créés ou vivant sur le terrain pour échapper en grande partie à la détection. Il existe quelques bonnes pratiques pour réduire le risque d'attaques majeures de ransomware.

Voici quelques-unes des principales façons de réduire le risque de ransomware, selon l'US-CERT :

• Segmentez vos ordinateurs portables et vos réseaux pour vous assurer que le premier ordinateur portable infecté est aussi le dernier, afin que les attaques ne puissent pas dépasser le système initial.
• Appliquez régulièrement des correctifs à tous les systèmes pour éviter que les applications et les systèmes d'exploitation vulnérables ne soient ciblés.
• Utilisez des outils efficaces de sécurité des e-mails et des points d'accès pour empêcher le plus grand nombre possible d'e-mails de phishing d'atteindre les boîtes de réception ou d'activités malveillantes associées à des ransomwares d'atteindre les points d'accès et de crypter les fichiers.
• Apprenez aux utilisateurs à ouvrir soigneusement les pièces jointes des courriels et à se méfier des pièces jointes provenant d'expéditeurs inconnus.
• Sauvegardez souvent les systèmes et stockez les sauvegardes séparément pour pouvoir restaurer les états précédents si nécessaire, avec des sauvegardes auxquelles on ne peut pas accéder depuis un réseau.

Agir rapidement après avoir été infecté par un ransomware

Si vous pensez que votre appareil a été infecté par un logiciel malveillant, il y a quelques mesures à prendre pour éviter d'autres dommages. Tout d'abord, déconnectez l'appareil infecté du réseau et des autres appareils aussi rapidement que possible. Cela empêchera la propagation du ransomware d'un appareil à l'autre. Les entreprises peuvent empêcher la propagation rapide des logiciels malveillants en utilisant la micro-segmentation pour isoler les charges de travail les unes des autres.

L'étape suivante consiste à contacter les autorités. Infecter des appareils avec un ransomware est contraire à la loi. Elles peuvent également disposer d'outils qui vous aideront à récupérer vos fichiers.

Si vous avez sauvegardé vos fichiers à un autre endroit, vous serez en mesure de les récupérer. C'est l'une des nombreuses raisons pour lesquelles il est crucial de sauvegarder régulièrement ses fichiers. Si vous n'avez pas de sauvegardes, faites des recherches en ligne pour essayer de trouver une clé de décryptage du ransomware. Malheureusement, si vous ne parvenez pas à trouver la bonne clé, vous devrez peut-être accepter la disparition de vos fichiers.

Ne payez jamais la rançon pour récupérer vos fichiers. Il n'y a aucune garantie qu'ils vous donneront la clé de décryptage, et vous financerez des activités criminelles. En payant, vous deviendrez également une cible récurrente. Maintenant que les criminels savent qu'ils peuvent vous soutirer de l'argent, ils continueront à infecter vos appareils à l'avenir.

Être capable d'identifier les logiciels malveillants potentiels dans les courriels de phishing et les URL malveillantes pourrait sauver vos fichiers de la destruction.

Maintenant que vous avez lu cet article, vous pourrez répondre la prochaine fois que quelqu'un vous demandera : "Qu'est-ce qu'un ransomware ?". Vous êtes également préparé à prévenir les attaques et connaissez les mesures à prendre si vos appareils sont infectés.

En savoir plus

Obtenez le rapport "Security Risks 2021 : Ransomware and the Return to the Office" pour comprendre comment les organisations abordent les principaux risques de sécurité liés au travail hybride en 2021.