Définition Ransomware

videoimg

Définition Ransomware

398 lecteurs
Sommaire de l'article

Définition d’un ransomware

Un ransomware est un type de logiciel malveillant qui verrouille les informations de l’ordinateur de la victime, généralement par cryptage, et exige un paiement avant que les données cryptées ne soient décryptées et que l’utilisateur puisse y accéder à nouveau. Les rançongiciels sont généralement motivés par des raisons financières, mais contrairement à d’autres types d’attaques, la victime est informée qu’une attaque a eu lieu et reçoit des instructions pour s’en sortir. Le paiement est généralement exigé via une monnaie virtuelle comme le bitcoin, ce qui signifie que l’identité du cybercriminel n’est pas connue.

Les rançongiciels se propagent par l’intermédiaire de pièces jointes de courrier électronique chargées de logiciels malveillants, d’applications logicielles et de dispositifs de stockage externe infectés par des logiciels malveillants, ainsi que de sites compromis. Les attaquants utilisent également des protocoles de bureau à distance et d’autres méthodes qui ne reposent sur aucune forme d’interaction avec l’utilisateur.

Comment fonctionnent les attaques par ransomware

Les outils de ransomware du web profond permettent aux cybercriminels d’acheter et d’utiliser des logiciels pour développer des ransomwares utilisant des capacités spécifiques. Ils peuvent ensuite créer ce malware pour le distribuer eux-mêmes et les rançons sont transférées sur les comptes en bitcoins de leurs victimes. Comme dans la majorité du monde informatique, il est désormais possible pour des personnes n’ayant pas ou peu de compétences techniques d’acheter des ransomwares en tant que service (RaaS) et de lancer des attaques avec peu d’efforts. Dans le cas du RaaS, le vendeur prend le paiement de la rançon et prélève ensuite un pourcentage avant de disperser les produits aux utilisateurs.

L’histoire des ransomwares

La première apparition enregistrée de ransomware remonte au virus AIDS Trojan en 1989. Ce virus a été créé par Joseph Popp, un biologiste formé à Harvard, qui a distribué 20 000 disquettes infectées, appelées « Disquettes d’information sur le sida pour une utilisation préliminaire », à des chercheurs sur le sida lors de la Conférence internationale sur le sida de l’Organisation mondiale de la santé. Les participants qui ont choisi de mettre la disquette dans leur ordinateur ont été confrontés à une infection qui bloquait les données de l’utilisateur sur le disque de l’ordinateur, rendant l’ordinateur inopérant. Pour débloquer leurs fichiers, les utilisateurs devaient envoyer 189 dollars à une boîte postale appartenant à la PC Cyborg Corporation. Les utilisateurs ont ensuite pu contourner le virus et décrypter leurs données, car le virus utilisait des outils de cryptage symétriques faciles à résoudre.

Mis à part le virus Popp de 1989, la menace des ransomwares ne s’est pas généralisée avant le milieu des années 2000, lorsque les attaquants ont utilisé des techniques de cryptage plus sophistiquées pour profiter de leurs victimes. Par exemple, le ransomware Archievus utilisait un chiffrement RSA asymétrique. Reveton, un virus découvert en 2012, accusait le système d’être utilisé pour mener des activités illégales. Le virus utilisait la webcam du système afin d’imiter le comportement de l’utilisateur et employait des techniques visant à effrayer les utilisateurs pour qu’ils paient la rançon de 200 dollars.

La source d’attaque des ransomwares s’est étendue aux applications de l’Internet des objets (IoT) et aux appareils mobiles, et les virus ransomwares sont dotés d’un cryptage plus complexe. Cela est dû en partie à la disponibilité de kits de ransomware prêts à l’emploi – également appelés ransomware-as-a-service (RaaS) – disponibles sur le dark web, qui offrent un chiffrement résultant de la collaboration entre les communautés de développeurs de ransomware du dark web. Les ransomwares sont désormais plus aptes à cibler les grandes entreprises plutôt que les utilisateurs individuels, ce qui implique que des sommes d’argent plus importantes sont à risque. Depuis l’époque de Joseph Popp, les ransomwares sont passés du statut de nuisance mineure à celui de menace sérieuse.

Les différents types de ransomware

Les attaquants peuvent employer une variété de méthodes pour obtenir de l’argent numérique de leurs victimes. Par exemple :

  • Le logiciel malveillant se déguise en programme de sécurité ou en assistance technique. Les victimes peuvent recevoir des messages pop-up indiquant qu’un logiciel malveillant a été détecté dans leur ordinateur. Les logiciels liés à la sécurité mais que l’utilisateur ne possède pas ne peuvent pas avoir accès à ces données. Refuser de répondre à cette alerte n’aura pas d’autre impact que de générer davantage de pop-ups.
  • Les verrouilleurs d’écran sont appelés simplement verrouilleurs ; il s’agit d’une forme de ransomware conçue pour couper l’utilisateur de son ordinateur. Une fois l’ordinateur lancé, l’utilisateur peut remarquer l’apparition d’un sceau officiel du gouvernement et on lui fait croire qu’il fait l’objet d’une enquête. Une fois informé qu’un logiciel sans licence ou un contenu Web illégal a été découvert dans le système, l’utilisateur reçoit des instructions sur la meilleure façon de payer l’amende électronique. Cependant, les organismes gouvernementaux officiels ne suivent pas cette procédure ; ils suivent plutôt les voies et processus juridiques appropriés.
  • Cryptage par ransomware Il s’agit d’un type d’attaque par enlèvement de données qui permet à l’auteur d’accéder aux données de la victime, de les crypter, puis d’exiger un paiement pour les déverrouiller. Après cette opération, rien ne garantit que l’utilisateur pourra accéder à ses données personnelles, même s’il négocie pour les obtenir. L’attaquant pourrait également utiliser le cryptage pour protéger les fichiers sur les appareils infectés et gagner de l’argent en vendant un article qui promet d’aider la victime à déverrouiller les fichiers et à prévenir d’autres attaques de logiciels malveillants.
  • Doxware : Cet attaquant de logiciels malveillants peut menacer de divulguer les informations personnelles de la victime en ligne dans le cas où la victime ne paie pas un montant de rançon.
  • Master Boot Record (MBR) ransomware : Ce logiciel sécurise l’ensemble du disque dur, et pas seulement les fichiers personnels de l’utilisateur, et rend impossible l’accès au système d’exploitation.
  • Mobile ransomware : Ce type de ransomware affecte les appareils mobiles. Un attaquant peut utiliser un ransomware mobile pour extorquer des données d’un téléphone, voire le verrouiller, puis exiger une rançon afin de récupérer les données volées ou de déverrouiller l’appareil.
Voir Aussi  Tiktok : Les tutos pour gagner de l'argent

Alors que les premiers cas d’attaques par ransomware se limitaient généralement à bloquer l’accès aux navigateurs web ou aux bureaux Windows – et ce d’une manière qui pouvait être annulée et rouverte rapidement, les pirates ont depuis développé des variantes de ransomware qui utilisent un cryptage fort pour les clés publiques afin de bloquer l’accès aux fichiers de l’ordinateur.

Les logiciels de cryptage et les verrouillages d’écran sont deux des formes les plus populaires de ransomware. En connaissant la distinction entre ces deux types de ransomware, vous pourrez décider de la marche à suivre si vous êtes touché.

Comme mentionné précédemment, les verrouillages d’écran restreignent l’accès aux ordinateurs jusqu’à ce qu’un paiement ait été effectué. Ils empêchent les utilisateurs d’accéder au système et aux fichiers, mais les données ne sont pas sécurisées. Dans les systèmes Windows, les systèmes de verrouillage d’écran empêchent également l’accès à divers composants du système, tels que le gestionnaire de tâches et l’éditeur de registre de Windows. Le verrouillage reste en place jusqu’à ce que le paiement soit reçu. En général, la victime reçoit des instructions sur la manière de payer. Les bloqueurs d’écran peuvent également faire croire à l’utilisateur qu’il s’agit d’une agence gouvernementale légitime.

Le chiffrement par ransomware est l’un des types de ransomware les plus efficaces actuellement. Comme nous l’avons mentionné, l’attaquant accède aux informations de la victime, les crypte et exige un paiement pour déverrouiller le fichier. Les attaquants utilisent des algorithmes de cryptage complexes pour protéger toutes les données enregistrées sur l’appareil. Une note est généralement laissée sur le système affecté, contenant des instructions sur la manière de récupérer les données cryptées après paiement. Par rapport aux bloqueurs d’écran, le cryptage contre rançon met les données de la victime en danger plus immédiat, et il n’y a aucune garantie que les données seront restituées après négociation.

Dans les deux cas, la victime peut recevoir un courriel ou une fenêtre contextuelle l’avertissant que si le montant requis ne peut être payé à une date précise, la clé privée nécessaire pour déverrouiller l’appareil ou déchiffrer les documents sera supprimée.

Le ransomware est une menace

Les cibles des ransomwares peuvent être aussi bien un individu qu’une entreprise de taille moyenne ou petite, une organisation de niveau entreprise ou même une ville entière. Par exemple, au cours de l’année 2018, le virus SamSam a employé une attaque dite de Brute Force pour deviner des mots de passe faibles qui protégeaient des infrastructures vitales à Atlanta. Atlanta . Des applis que les habitants utilisent pour payer leurs factures et accéder aux dossiers des tribunaux ont été fermées, ce qui a entraîné de graves problèmes pour les infrastructures d’Atlanta. Résultat : des quantités inimaginables de données ont été compromises et des millions de dollars de coûts de récupération.

En décembre 2019, la ville de Pensacola, en Floride, a également été touchée par une attaque de ransomware. L’attaque a affecté le service client et le paiement des factures en ligne de divers services de la ville, qui comprenaient Pensacola Energy et Pensacola Sanitation Services.

Les institutions publiques sont particulièrement vulnérables aux ransomwares, car elles ne sont pas équipées des dispositifs de sécurité nécessaires pour s’en protéger de manière adéquate. C’est également le cas des petites et moyennes entreprises. Outre les lacunes en matière de sécurité, les institutions publiques disposent de données irremplaçables qui pourraient les mettre en difficulté si elles ne sont pas accessibles. Au final, elles sont plus susceptibles de devoir payer.

Statistiques sur les ransomwares

L’une des raisons pour lesquelles les escroqueries par ransomware peuvent prendre une telle ampleur est l’absence de rapports. L’année 2018 a été la plus récente. Safeatlast.cois un site web qui fournit aux consommateurs des évaluations, des critiques et des statistiques sur les systèmes de sécurité de différents types a découvert que moins de 25 % des moyennes et petites entreprises signalent leurs attaques par ransomware. Cela s’explique par le fait qu’elles risquent de ne pas récupérer leur argent.

Toutefois, l’absence de rapports ne signifie pas que les attaques liées aux ransomwares ne sont pas courantes, en particulier pour les petites entreprises. Symantec a constaté que les petites entreprises (de 1 à 250 employés) sont celles qui reçoivent le pourcentage le plus élevé d’e-mails malveillants parmi tous les groupes démographiques, avec un e-mail malveillant sur 323.

Selon une étude réalisée par safeatlast.co, en 2019, une entreprise sera touchée par un ransomware toutes les 14 secondes. Cette fréquence devrait être réduite à 11 secondes par seconde en 2021. Cela pourrait être dû en partie à la popularité croissante des appareils IoT, qui sont sujets à 5200 attaques moyennes par mois selon Symantec.

En outre, safeatlast.co a estimé en 2018 que 77 % des entreprises qui ont été victimes de ransomware étaient à jour dans leurs technologies de sécurité des terminaux. Cela montre que l’application et la maintenance correctes des logiciels de sécurité des points d’extrémité moyens ne suffisent pas à déjouer les ransomwares les plus récents.

Voir Aussi  Comment créer une société en Irlande ?

Les statistiques sur les ransomwares suggèrent généralement que ces derniers constituent la menace la plus importante pour les entreprises en raison de la fréquence de leurs attaques et de leur capacité à retenir d’importantes sommes d’argent et à se développer et se propager rapidement au-delà des mesures de sécurité normales. En outre, le ransomware lui-même est difficile à tracer et on estime que 95 % des profits sont transférés via une plateforme de crypto-monnaie, selon safeatlast.co.

L’impact des ransomwares sur les entreprises

Les conséquences d’une attaque liée à un ransomware sur l’entreprise peuvent être catastrophiques. Selon les rapports de safeatlast.co, les ransomwares ont coûté aux entreprises plus de 8 milliards de dollars l’année dernière et plus de la moitié des menaces de logiciels malveillants étaient liées aux ransomwares. Les effets de ces attaques sont les suivants

  • En cas de panne de l’infrastructure, elle peut entraîner des temps d’arrêt.
  • Les inefficacités dues aux temps d’arrêt
  • Le coût de la récupération pourrait dépasser le montant de la rançon elle-même
  • Dommages causés aux données au fil du temps et à l’infrastructure
  • la détérioration de la réputation de l’entreprise ainsi que la perte de clients ; le cas le plus grave : le risque de dommages corporels si l’entreprise est impliquée dans des services publics comme la santé.

Prévenir les attaques par ransomware

Pour se prémunir contre les attaques par ransomware et d’autres formes de cyber-extorsion, les experts conseillent aux utilisateurs de sauvegarder fréquemment leurs dispositifs informatiques et de mettre à jour leurs logiciels, notamment les antivirus. Les utilisateurs finaux doivent veiller à ne pas cliquer sur les liens figurant dans les courriels envoyés par des sources inconnues et à ne pas ouvrir les pièces jointes. Les victimes doivent tout faire pour ne pas payer de rançon.

Bien qu’il soit pratiquement impossible de prévenir les attaques de ransomware, les particuliers et les entreprises peuvent prendre les précautions nécessaires en matière de sécurité des données pour limiter les dégâts et assurer une récupération aussi rapide que possible. Ces stratégies comprennent :

Le partitionnement des systèmes et des domaines de sécurité
Le maintien d’instantanés à jour du stockage en dehors du pool de stockage principal
Le gouvernement a établi des directives strictes sur les personnes qui ont accès aux informations et sur les moments où l’accès est autorisé.
Comment supprimer un ransomware ?
Il n’y a aucun moyen de garantir aux victimes qu’elles pourront mettre fin à une infection par un ransomware et récupérer leurs données. Il existe toutefois des méthodes qui peuvent fonctionner dans certaines situations. Par exemple, les victimes peuvent fermer leur ordinateur et redémarrer le système d’exploitation en mode sans échec, installer un logiciel anti-malware ou scanner l’ordinateur, puis restaurer l’ordinateur dans un état antérieur non infecté.

Les victimes peuvent également récupérer leur système en utilisant des sauvegardes qui sont stockées sur un disque supplémentaire. S’ils sont basés sur le cloud et disposent d’une sauvegarde, ils peuvent reformater leur disque et restaurer à partir de sauvegardes antérieures.

Par exemple, les utilisateurs de Windows peuvent utiliser la restauration du système, qui permet de restaurer les périphériques Windows (comme les fichiers système) à un point spécifique, c’est-à-dire, dans ce cas, avant que l’ordinateur ne soit infecté. Pour que cette fonction fonctionne, la restauration du système doit être activée avant le moment où l’ordinateur peut retrouver son état d’origine. Windows autorise la restauration du système par défaut.

Ransomware mobile

Le ransomware mobile est un type de malware qui prend en otage les données de la victime et cible les appareils mobiles, principalement les smartphones. Le principe de base du fonctionnement de ce type de logiciel est similaire aux autres formes de ransomware, à savoir que l’utilisateur est empêché d’accéder à ses données par un attaquant, qui bloque l’accès aux données stockées sur l’appareil jusqu’à ce qu’il verse des paiements à l’attaquant. Une fois le logiciel malveillant installé sur l’appareil, il affiche un message demandant un paiement avant que l’appareil ne soit déverrouillé. Une fois la rançon payée, un code est émis pour ouvrir l’appareil ou décrypter les données.

En général, le ransomware mobile se déguise en une application authentique dans une boutique d’applications appartenant à un tiers. Les pirates choisissent généralement des applications populaires à imiter, puis attendent qu’un utilisateur non averti les télécharge et, ensemble, ils propagent le malware. Les utilisateurs mobiles peuvent également être infectés par un ransomware mobile en naviguant sur des sites web ou en cliquant sur une pièce jointe dans un SMS ou un e-mail.

Voici quelques conseils utiles pour éviter d’être la proie des ransomwares qui ciblent les appareils mobiles :

  • Ne téléchargez pas d’applications via des vitrines d’applications tierces (tenez-vous en à l’App Store d’Apple et au Play Store de Google).
  • Maintenez vos appareils mobiles et vos applications à jour.
  • Ne donnez pas de privilèges d’administrateur aux applications, sauf si elles sont totalement fiables.
  • Évitez de cliquer sur les liens hypertextes qui apparaissent dans des textes ou des courriels importuns provenant de sources inconnues.
  • Les propriétaires d’appareils mobiles doivent également s’assurer que leurs données sont stockées dans un autre endroit au cas où l’appareil serait infecté. En cas d’infection, il est bon de s’assurer que les informations stockées sur l’appareil ne disparaissent pas à jamais.

Les ransomwares les plus connus CryptoLocker et WannaCry

Le premier exemple d’une attaque à grande échelle reposant sur le chiffrement à clé publique est CryptoLocker, le cheval de Troie qui a sévi sur Internet de septembre 2013 à mai de l’année suivante. Le logiciel malveillant demandait des paiements en bitcoins ou des bons pour des cartes prépayées, et la majorité des experts estiment que la cryptographie RSA, lorsqu’elle est correctement mise en œuvre, était invulnérable. En mai 2014, des sociétés de sécurité ont toutefois obtenu l’accès au serveur de commande et de contrôle utilisé dans l’attaque, et ont pu récupérer les clés de cryptage utilisées. Un outil basé sur le web qui permettait de récupérer les clés gratuites a effectivement empêché l’attaque.

Voir Aussi  Optimisez vos coûts de livraison grâce à la plateforme Shippr

Au mois de mai, une cyberattaque baptisée WannaCry a été détectée et a chiffré plus d’un quart de million de systèmes dans le monde. Le logiciel malveillant utilisait un chiffrement asymétrique, ce qui signifie que la victime ne pouvait pas raisonnablement s’attendre à récupérer la clé (privée et non reproductible) nécessaire pour déchiffrer les fichiers échangés.

Le paiement a été effectué en bitcoins, ce qui signifie que la personne qui a payé la rançon n’a pas pu être retrouvée, mais que les transactions étaient facilement visibles et que le montant de la rançon pouvait être suivi. Au cours de la semaine où WannaCry a été le plus sévère, environ 100 000 dollars en bitcoins ont été transférés, mais aucun compte n’a été tenu sur les données cryptées après le paiement.

L’effet de WannaCry a été évident dans quelques cas. Par exemple, le service national de santé du Royaume-Uni a reçu un coup de marteau et a dû interrompre ses services pendant l’attaque. Selon des rapports récents, le coût pour une multitude d’entreprises pourrait dépasser le milliard de dollars.

Selon le « Symantec 2017 Internet Security Threat Report », le montant des rançons demandées était environ trois fois supérieur à celui des deux années précédentes de 2016 et la rançon moyenne était de 1 077 dollars. Il est difficile d’estimer le pourcentage de ces demandes qui sont satisfaites. Une étude d’IBM a montré que 70 % des cadres ont déclaré avoir satisfait à une demande de rançon, cependant l’étude d’Osterman Research a révélé que seulement 3 % des entreprises basées aux États-Unis avaient payé une rançon – alors que les proportions des autres pays sont beaucoup plus élevées. Dans la majorité des cas, le paiement semble fonctionner, mais il n’est pas sans risque. En 2016, un bulletin de sécurité de Kaspersky a révélé que 20 % des entreprises qui ont payé la rançon qui leur était demandée n’ont pas reçu leurs fichiers en retour.

L’IoT des ransomwares n’est peut-être plus très loin. Deux chercheurs, Andrew Tierney et Ken Munro ont montré un logiciel malveillant qui attaquait et verrouillait, puis demandait une rançon d’un bit sur le thermostat largement disponible lors de la conférence de piratage Def Con 2016.

Nouvelles tendances pour les ransomwares

La chose la plus significative à laquelle il faut s’attendre de la part des ransomwares dans les prochains temps est une augmentation des attaques contre les infrastructures publiques et les services publics, car ce sont des institutions vitales qui ont accès à d’énormes quantités d’argent. En outre, elles utilisent souvent des outils de cybersécurité dépassés ou obsolètes. À mesure que la technologie utilisée pour créer les ransomwares progresse, l’écart entre les attaquants et les cibles publiques va probablement s’accroître. Dans le secteur public ciblé, comme les soins de santé, les attaques risquent de devenir plus coûteuses qu’au cours des prochaines années.

Les prévisions montrent également que les petites entreprises dotées de vieux programmes de sécurité sont visées. Étant donné que la quantité d’appareils utilisés par les entreprises connectées à l’IoT augmente, les petites entreprises ne doivent plus croire qu’elles sont trop petites pour être la cible d’une attaque sérieuse. Le vecteur de menace se développe de manière exponentielle et leurs mesures de sécurité ne le sont pas. De la même manière, on prévoit que les appareils domestiques seront de plus en plus susceptibles d’être des cibles.

L’utilisation croissante des appareils mobiles augmente la fréquence des cyberattaques qui peuvent ouvrir la porte à une attaque par ransomware. Les techniques d’ingénierie sociale, telles que l’appât, l’hameçonnage et le hameçonnage, ainsi que le prétexte, le quiproquo et le piggybacking sont victimes de la manipulation de la psychologie humaine.

Une étude d’IBM suggère que les utilisateurs sont trois fois plus exposés à une tentative d’hameçonnage sur les appareils mobiles que sur les ordinateurs de bureau, car c’est l’endroit où les gens sont le plus susceptibles de voir le message en premier lieu.

Verizon a également publié une étude suggérant que la popularité de l’ingénierie sociale sur les appareils mobiles pourrait être due aux petits écrans qui limitent la quantité d’informations détaillées affichées. Les appareils mobiles compensent cela en affichant des notifications plus petites et des options à touche unique pour répondre aux messages ouverts et aux hyperliens, ce qui permet des réponses plus rapides, mais augmente aussi la probabilité d’être la proie d’une attaque par hameçonnage.

Une autre tendance est l’augmentation des vols de code ou de partage. Par exemple, on a découvert que deux des principales attaques par ransomware (Ryuk et Hermes) avaient un code très similaire. Les autorités ont d’abord cru que les deux variantes du ransomware provenaient du même groupe d’acteurs, mais elles ont ensuite réalisé qu’une grande partie du code de Ryuk avait été dupliquée à partir de celui d’Hermes. En réalité, Ryuk provenait d’un groupe distinct, sans lien avec des acteurs de la menace d’un autre pays.

À long terme, la transformation quantique pourrait rendre obsolètes bon nombre des anciennes techniques de cryptage basées sur l’informatique classique et ouvrir la porte à diverses cyberattaques telles que les ransomwares.

4.5/5 - (28 votes)
Marine
Marine

Passionnée par l'entreprenariat depuis plus de 10 ans, je suis à la tête d'une société française visant à favoriser la communication des entreprises. Également attiré par la finance, je partage mes conseils et expériences au travers mes articles de blog.

Retour en haut