Définition

Les logiciels malveillants à rançon, appelés aussi ransomware ou rançongiciel, sont un type de logiciels malveillants qui empêchent les utilisateurs d'accéder à leur système ou à leurs fichiers personnels et exigent le paiement d'une rançon afin de retrouver l'accès.

Alors que certaines personnes pourraient penser "un virus a verrouillé mon ordinateur", les rançongiciels sont généralement classés dans une autre catégorie de logiciels malveillants que les virus.

Les premières variantes de ransomware ont été développées à la fin des années 1980, et le paiement devait être envoyé par courrier postal. Aujourd'hui, les auteurs de ransomware ordonnent que le paiement soit envoyé par crypto-monnaie ou carte de crédit, et les attaquants ciblent les particuliers, les entreprises et les organisations de toutes sortes. Certains auteurs de ransomware vendent le service à d'autres cybercriminels, ce qui est connu sous le nom de Ransomware-as-a-Service ou RaaS.

Histoire

Le point de départ

Le premier exemple connu de ransomware est le logiciel AIDS Trojan, également connu sous le nom de Aids Info Disk ou encore PC Cyborg Trojan, qui a été créé en 1989 par un groupe de hackers appelé « The AIDS Information Team ». Ce malware se propageait via un disque floppy et une fois installé sur l'ordinateur de la victime, il affichait un message demandant à l'utilisateur de payer une rançon de 189$ pour débloquer l'ordinateur.

Le but du AIDS Trojan était de collecter de l'argent pour la recherche sur le VIH/sida selon un de ses auteurs Dr.Joseph Popp, mais le logiciel a été largement critiqué pour avoir utilisé des méthodes malhonnêtes pour collecter de l'argent. Bien que le AIDS Trojan ait été le premier exemple connu de ransomware, il n'a pas eu un impact significatif sur le monde de la cybersécurité à l'époque et n'a pas vraiment été considéré comme un véritable malware.

Le AIDS Trojan était un logiciel malveillant qui se propageait via un disque floppy infecté. Une fois installé sur l'ordinateur de la victime, il modifiait le fichier AUTOEXEC.BAT, ce qui empêchait l'ordinateur de démarrer correctement. Lorsque l'utilisateur redémarrait son ordinateur, il voyait alors un message lui demandant de payer une rançon de 189 dollars pour débloquer son ordinateur.

Depuis, des familles de logiciels malveillants plus sophistiquées sont apparues, comme GpCode en 2004, qui se propageait via des campagnes de malspam et dont les victimes étaient invitées à utiliser des cartes-cadeaux comme Ukash pour payer la rançon. Ce logiciel malveillant chiffrait les fichiers comme les ransomwares actuels, mais il contenait des failles cryptographiques qui rendaient le processus de récupération plutôt facile.

Vers 2011, une nouvelle menace de ransomware est apparue : Reveton (le ransomware de la police). Ce malware ne chiffrait pas les fichiers mais verrouillait l'écran des victimes, affichant un avertissement menaçant de la police et demandant aux utilisateurs de payer une amende avec des cartes cadeaux prépayées comme Paysafecard et MoneyPak. L'avertissement était localisé dans différentes langues et utilisait des logos de police pertinents, ce qui rendait la situation plus réaliste pour les victimes.

Bitcoin et Ransomware

La cybercriminalité - une vaste catégorie d'activités malveillantes qui comprend tous les types d'attaques cybercriminelles, notamment les logiciels malveillants, les chevaux de Troie bancaires, les ransomwares,... - a saisi l'opportunité de monétisation créée par le bitcoin. Cela s'est traduit par une prolifération importante des ransomwares à partir de 2012.

Toutefois, ce modèle économique de ransomware reste imparfait, car si les paiements en bitcoins sont des transactions faciles à utiliser pour les cybercriminels, il n'est pas toujours aussi facile pour leurs cibles non technophiles de s'y retrouver. Pour garantir le paiement, certains criminels sont allés jusqu'à ouvrir des centres d'appel pour fournir une assistance technique et aider les victimes à s'inscrire à Bitcoin - mais cela prend du temps et coûte de l'argent.

Lorsque le Bitcoin a commencé à gagner en popularité, les développeurs de ransomwares ont compris qu'il s'agissait de la méthode d'extraction monétaire qu'ils recherchaient. Les échanges de bitcoins ont fourni aux adversaires le moyen de recevoir des paiements instantanés tout en conservant l'anonymat, le tout transigé en dehors du cadre strict des institutions financières traditionnelles.

Voici une liste non exhaustive de ransomware connus et leur fonctionnement :

1. Cryptolocker (2013) : Ce ransomware chiffrait les fichiers de l'utilisateur et exigeait une rançon pour les déchiffrer. Il se propageait généralement via des e-mails de spam contenant des pièces jointes infectées.

2. WannaCry (2017) : Ce ransomware a été l'un des plus importants de l'histoire en termes de portée et de dégâts causés. Il s'est propagé rapidement à l'échelle mondiale en exploitant une faille de sécurité dans les systèmes Windows. Il a causé des perturbations importantes dans les hôpitaux, les entreprises et d'autres organisations.

3. NotPetya (2017) : Ce ransomware s'est propagé principalement en Ukraine en se faisant passer pour une mise à jour du logiciel de comptabilité popularisé dans le pays. Il a rapidement étendu son infection à d'autres pays, causant des perturbations importantes dans les entreprises et les organisations.

4. LockerGoga (2019) : Ce ransomware a ciblé principalement les entreprises et les organisations, causant des perturbations importantes dans leur fonctionnement. Il a été utilisé dans des attaques de type "rançon logicielle" visant à chiffrer les fichiers de l'utilisateur et à exiger une rançon pour les déchiffrer.

5. Ryuk (2019) : Ce ransomware cible principalement les entreprises et les organisations et exige une rançon importante pour déchiffrer les fichiers. Il a été impliqué dans de nombreuses attaques de rançon logicielle de grande envergure.

Conséquences d'une attaque

Revenus

Une attaque par ransomware peut gravement affecter la capacité de fonctionnement d'une organisation. Même si l'organisation est bien préparée et dispose de sauvegardes fonctionnelles, la restauration des systèmes affectés peut prendre des heures. Pire encore, les organisations qui n'étaient pas aussi bien préparées, ou dont les sauvegardes ont pu être compromises pendant l'attaque, peuvent mettre des jours ou des semaines à retrouver leur pleine capacité opérationnelle, ce qui signifie que leurs revenus vont diminuer ou s'arrêter complètement pendant qu'elles se rétablissent.

Réputation

Une violation de données ou une attaque par ransomware peut nuire à la réputation d'une entreprise. Certains clients peuvent considérer une attaque réussie comme un signe de faiblesse des pratiques de sécurité, ou être si gravement touchés par une interruption de service qu'ils choisissent de changer de compagnie.

Financier

Les rançongiciels entraînent des coûts inattendus et ils sont coûteux. En plus de la perte de revenus qu'une organisation peut subir, il y a d'autres coûts qui peuvent être évidents et d'autres qui ne le sont pas. Les coûts les plus évidents sont les suivants : le coût du paiement de la rançon (si elle est payée) ; le coût de l'assainissement de l'incident, y compris le nouveau matériel, les logiciels et les services de réponse aux incidents ; les franchises d'assurance ; les honoraires d'avocat et les litiges ; et les relations publiques. D'autres coûts moins évidents peuvent inclure : l'augmentation des primes d'assurance, la dévaluation de la réputation/du nom de famille et la perte de la propriété intellectuelle.

Données

Lors d'une attaque par ransomware, un acteur malveillant chiffre de nombreux fichiers, les rendant inutilisables, ainsi que les systèmes qui en dépendent. Si une rançon n'est pas payée, ces fichiers chiffrés sont souvent verrouillés de manière permanente, obligeant l'organisation à régénérer les informations, si elle le peut. Cependant, même si une rançon est payée, il n'y a aucune garantie qu'un acteur de la menace agira avec bienveillance et fournira une clé de déchiffrement. De plus, même si une clé est fournie, il est toujours possible que l'attaque par ransomware ait causé des dommages destructeurs importants, ce qui peut nécessiter de reconstruire les systèmes affectés de toute façon. En outre, si l'acteur de la menace a volé un secret commercial, des informations exclusives ou des informations personnellement identifiables (IPI), la perte de ces données peut donner lieu à une action en justice ou entraîner la perte d'un avantage concurrentiel.

Vecteurs d'attaque

Par mail

Les attaques de phishing sont l'un des systèmes de diffusion les plus courants des ransomwares. Dans ces attaques, les pirates réussissent à convaincre une personne de cliquer sur un lien ou d'ouvrir une pièce jointe qui télécharge ensuite le ransomware sur son système. Ce vecteur d'attaque prend souvent la forme d'une ingénierie sociale dans laquelle les cybercriminels se font passer pour une personne en qui le destinataire a confiance et l'incitent à accorder un accès administratif aux systèmes de l'entreprise.

Ils existent différentes techniques:

• Liens de phishing intégrés au corps du message

• Pièces jointes malveillantes

Pages Web

Le code d'un ransomware malveillant peut également se trouver dans des scripts Web cachés dans des sites apparemment légitimes ou compromis. Il s'agit d'un vecteur d'attaque parfait pour les cybercriminels car les victimes croient visiter un site de confiance. Lorsqu'une personne visite ce site, le code est automatiquement téléchargé et, une fois exécuté, il peut infecter le système de l'utilisateur et se déplacer latéralement dans l'organisation, en chiffrant les fichiers et les données.

Pop-ups

Les publicités et les fenêtres pop-up sont un autre vecteur courant d'attaques de ransomware sur Internet. Elles peuvent sembler authentiques, mais comme les systèmes de phishing, elles peuvent inciter les internautes à cliquer dessus en se faisant passer pour une marque de confiance. À ce moment-là, elles dirigent l'utilisateur vers une nouvelle fenêtre ouverte contenant des liens malveillants ou téléchargent automatiquement des ransomwares ou d'autres formes de logiciels malveillants sur l'ordinateur de l'utilisateur.

Messages instantanés

Alors que les utilisateurs sont de plus en plus sensibilisés au hameçonnage par courrier électronique, les pirates se sont tournés vers les plateformes de messagerie instantanée telles que WhatsApp, Slack, Snapchat, Facebook Messenger et Microsoft Teams pour mener des campagnes de smishing. Ces menaces fonctionnent à peu près de la même manière que les attaques par courrier électronique, où le ransomware est lancé lorsqu'un utilisateur clique sur un lien ou une pièce jointe provenant d'un expéditeur se présentant comme une entreprise réputée.

Par le passé, de nombreuses organisations ont bloqué ces plateformes, mais avec l'essor des habitudes de travail à distance, la messagerie instantanée est devenue un outil de collaboration essentiel pour les entreprises du monde entier, ce qui rend ces attaques difficiles à éviter.

Messages texte

Les messages textuels sont un vecteur extrêmement populaire pour les ransomwares. Les messages de spam, d'usurpation d'identité et de phishing sont les principaux coupables, les attaquants utilisant souvent des ransomware-as-a-service ou des malware-for-hire pour exécuter facilement et à moindre coût des attaques de ransomware. Lorsqu'un utilisateur clique sur un lien, le ransomware est téléchargé sur son appareil et peut se propager à toutes les personnes de sa liste de contacts, y compris ses collègues.

Ransomware as a Service (RaaS)

Ransomware as a Service (RaaS) est un modèle commercial entre les opérateurs de ransomware et les affiliés dans lequel les affiliés paient pour lancer des attaques de ransomware développées par les opérateurs. Le service de ransomware est une variante du modèle commercial SaaS (Software as a Service).

Les kits RaaS permettent aux affiliés qui n'ont pas les compétences ou le temps de développer leur propre variante de ransomware d'être opérationnels rapidement et à moindre coût. Ils sont faciles à trouver sur le dark web, où ils sont annoncés de la même manière que les marchandises sur le web légal.

Un kit RaaS peut inclure une assistance 24h/24 et 7j/7, des offres groupées, des avis d'utilisateurs, des forums et d'autres fonctionnalités identiques à celles proposées par les fournisseurs SaaS légitimes. Le prix des kits RaaS varie de 40 dollars par mois à plusieurs milliers de dollars - des montants insignifiants, si l'on considère que la demande de rançon moyenne en 2021 était de 6 millions de dollars. Un acteur de la menace n'a pas besoin que chaque attaque soit un succès pour s'enrichir.

Il existe quatre modèles de revenus RaaS courants :

• L'abonnement mensuel pour un montant forfaitaire

• Les programmes d'affiliation, qui sont identiques au modèle de frais mensuels mais dont un pourcentage des bénéfices (généralement 20-30%) va au développeur du ransomware

• Droit de licence unique sans participation aux bénéfices

• Participation aux bénéfices pure et simple

Les opérateurs RaaS les plus sophistiqués proposent des portails qui permettent à leurs abonnés de voir le statut des infections, le total des paiements, le total des fichiers cryptés et d'autres informations sur leurs cibles. Un affilié peut simplement se connecter au portail RaaS, créer un compte, payer avec des bitcoins, entrer des détails sur le type de malware qu'il souhaite créer et cliquer sur le bouton d'envoi. Les affiliés peuvent avoir accès à l'assistance, aux communautés, à la documentation, aux mises à jour des fonctionnalités et à d'autres avantages identiques à ceux dont bénéficient les abonnés à des produits SaaS légitimes.

Réagir à une attaque Ransomware

Rester calme et réfléchi

Il est difficile de rester calme lorsque vous ne pouvez pas accéder aux fichiers importants de votre ordinateur. Mais la première mesure à prendre après avoir été touché par un ransomware est de ne pas paniquer et de garder son sang-froid.

La plupart des gens se précipitent pour payer la rançon avant d'analyser la gravité de la situation dans laquelle ils se trouvent. Rester calme et prendre du recul peut parfois ouvrir des portes de négociations avec l'attaquant ou de résolution du problème sans même payer.

Prendre une photo/screenshot

de la note du ransomware La deuxième étape consiste à prendre immédiatement une photo de la note du ransomware sur votre écran grâce à votre smartphone ou à un appareil photo. Si possible, faites également une capture d'écran sur la machine affectée.

Cela vous aidera à remplir un rapport de police et accélérera le processus de récupération.

Mettre les systèmes affectés en quarantaine

Il est important d'isoler les systèmes affectés dès que possible. Les ransomwares analysent généralement le réseau cible et se propagent latéralement à d'autres systèmes.

Il est préférable de séparer les systèmes affectés du réseau pour contenir l'infection et empêcher le ransomware de se propager.

Rechercher des outils de déchiffrement

Heureusement, de nombreux outils de déchiffrement sont disponibles en ligne, sur des sites tels que No More Ransom.

Si vous connaissez déjà le nom de la souche de votre ransomware, il vous suffit de le saisir sur le web et de rechercher la clé de déchiffrement correspondante. La liste n'est pas alphabétique, et le site ajoute de nouveaux outils de déchiffrement en bas de la liste.

Désactiver les tâches de maintenance

Vous devez immédiatement désactiver les tâches de maintenance automatisées, telles que la suppression des fichiers temporaires et la rotation des journaux, sur les systèmes concernés. Cela empêchera ces tâches d'interférer avec des fichiers qui pourraient être utiles pour l'analyse forensique et l'enquête.

Déconnecter les sauvegardes

La plupart des souches modernes de ransomware s'attaquent immédiatement aux sauvegardes pour contrecarrer les efforts de récupération.

Il est donc impératif pour vous ou votre entreprise de sécuriser vos sauvegardes en les séparant du reste du réseau. Vous devez également verrouiller l'accès aux systèmes de sauvegarde jusqu'à ce que l'infection soit éliminée.

Signaler le ransomware

Dès que vous constatez une attaque par ransomware, veillez à contacter les forces de l'ordre.

Les ransomwares constituent un crime et doivent être signalés aux autorités policières locales. Même si les forces de l'ordre ne peuvent pas vous aider à déchiffrer vos fichiers, elles peuvent au moins aider d'autres personnes à éviter un sort similaire.

Information: Belgique / France

Décider de payer ou non

Décider de payer pour un ransomware n'est pas une décision facile et comporte des avantages et des inconvénients. Ne payez que si vous avez épuisé toutes les autres options et que la perte de données est plus dommageable pour vous ou votre entreprise que le paiement de la rançon.

Protection contre les ransomware: Les bons réflexes

Ne cliquez jamais sur des liens dangereux

Évitez de cliquer sur les liens contenus dans les messages de spam ou sur des sites Web inconnus. Si vous cliquez sur des liens malveillants, un téléchargement automatique pourrait être lancé, ce qui pourrait entraîner l'infection de votre ordinateur.

Évitez de divulguer des informations personnelles

Si vous recevez un appel, un message texte ou un courriel d'une source non fiable vous demandant des informations personnelles, ne répondez pas. Les cybercriminels qui planifient une attaque par ransomware peuvent essayer de collecter des informations personnelles à l'avance, qui sont ensuite utilisées pour adapter les messages de phishing spécifiquement à votre intention. En cas de doute sur la légitimité du message, contactez directement l'expéditeur.

N'ouvrez pas les pièces jointes d'un courriel suspect

Les ransomwares peuvent également se frayer un chemin jusqu'à votre appareil par le biais de pièces jointes d'emails. Évitez d'ouvrir toute pièce jointe d'aspect douteux. Pour vous assurer que le courriel est digne de confiance, prêtez une attention particulière à l'expéditeur et vérifiez que l'adresse est correcte. N'ouvrez jamais les pièces jointes qui vous invitent à exécuter des macros pour les visualiser. Si la pièce jointe est infectée, son ouverture entraînera l'exécution d'une macro malveillante qui donnera au logiciel malveillant le contrôle de votre ordinateur.

N'utilisez jamais de clés USB inconnues

Ne connectez jamais de clés USB ou d'autres supports de stockage à votre ordinateur si vous ne savez pas d'où ils proviennent. Des cybercriminels peuvent avoir infecté le support de stockage et l'avoir placé dans un lieu public pour inciter quelqu'un à l'utiliser.

Maintenez vos programmes et votre système d'exploitation à jour

La mise à jour régulière des programmes et des systèmes d'exploitation contribue à vous protéger des logiciels malveillants. Lorsque vous effectuez des mises à jour, veillez à bénéficier des derniers correctifs de sécurité. Les cybercriminels auront ainsi plus de mal à exploiter les vulnérabilités de vos programmes.

Le terme technique utilisé est le patch management ou gestion des correctifs.

N'utilisez que des sources de téléchargement connues

Pour minimiser le risque de télécharger un ransomware, ne téléchargez jamais de logiciels ou de fichiers multimédias à partir de sites inconnus. Faites confiance aux sites vérifiés et dignes de confiance pour les téléchargements. Les sites Web de ce type peuvent être reconnus grâce aux sceaux de confiance. Assurez-vous que la barre d'adresse du navigateur de la page que vous visitez utilise "https" au lieu de "http". Un symbole de bouclier ou de verrou dans la barre d'adresse peut également indiquer que la page est sécurisée. Faites également preuve de prudence lorsque vous téléchargez quoi que ce soit sur votre appareil mobile. Vous pouvez faire confiance au Google Play Store ou à l'App Store d'Apple, en fonction de votre appareil.

Utilisez les services VPN sur les réseaux Wi-Fi publics

L'utilisation consciencieuse des réseaux Wi-Fi publics est une mesure de protection judicieuse contre les ransomwares. Lorsque vous utilisez un réseau Wi-Fi public, votre ordinateur est plus vulnérable aux attaques. Pour rester protégé, évitez d'utiliser le Wi-Fi public pour les transactions sensibles ou utilisez un service VPN sécurisé.

Belgique: Signaler une attaque

Il est possible de porter plainte auprès de la police locale et de signaler l'incident à CERT.be via cert@cert.be en indiquant le type de support de données, le système d'exploitation, le mode d'infection, le nom du ransomware, le mode de paiement et, si possible, en fournissant des captures d'écran du système informatique infecté. Cette action peut contribuer à la lutte contre la cybercriminalité au niveau international, même si elle ne garantit pas toujours une solution à l'infection par ransomware.

France: Signaler une attaque

"Ce téléservice peut être utilisé uniquement si vous êtes un particulier et si vous déposez plainte en votre nom propre.

Même si vous portez plainte en ligne, vous pouvez demander à rencontrer un enquêteur. L'enquêteur peut aussi décider de vous auditionner s'il l'estime nécessaire." Message du Ministère chargé de l'intérieur.