Le fléau des ransomwares en 2016

Bref aperçu des ransomwares : situation actuelle, prédictions futures et comment résoudre le problème.

Le chiffrement et la rançon sont profondément ancrés dans l’histoire humaine. Depuis plusieurs dizaines d’années cependant, le monde assiste à ce qui peut se passer lorsqu’on les combine. Tout a commencé en 1989, lorsque Dr. Joseph L. Popp a lancé la pandémie que l’on connaît aujourd’hui comme étant les ransomwares.

ransomware-plague-featured

Origines

Connu pour être le grand-père des programmes d’extorsion informatisés, Popp a distribué sa charge utile malveillante lors de la conférence sur le sida de l’Organisation mondiale de la santé. Les disques, sur lesquels étaient étiquetés « Informations sur le sida – disquettes d’introduction », étaient en fait accompagnés d’un avertissement, imprimé séparément, disant que le logiciel qu’ils comportaient pouvait endommager les ordinateurs.

Mais qui allait prendre la peine de lire les instructions ? Environ 20 000 disquettes élaborées par Popp furent insérées, provoquant le verrouillage des ordinateurs des victimes qui affichaient une demande de rançon (189$ à envoyer par courrier à destination d’un bureau de poste au Panama), qui sera familière aux lecteurs réguliers de ce blog. Popp avait ensuite attendu que ses victimes se soumettent aux demandes de la rançon.

Les ransomwares de nos jours

Peu de choses ont changé depuis le concept original du ransomware. La différence la plus notable sans doute est qu’au lieu de percevoir les paiements via courrier postal, les cybercriminels peuvent désormais compter sur des réseaux anonymes tels que TOR et I2P conjointement avec les bitcoins afin d’échapper aux autorités. Qu’en est-il du système qui l’a fait résister à l’épreuve du temps ?

La monétisation directe en est la cause. Avec une rançon moyenne d’environ 300$, les campagnes de ransomwares de millions de dollars semblent irréalistes, cependant de légères augmentations font leur apparition au fil du temps, ces programmes d’extorsion ayant prouvé à la fois leur efficacité et leur endurance.

L’utilisateur lambda sera éventuellement confronté à la question difficile de payer la rançon ou de perdre ses fichiers. Malheureusement, plusieurs choisissent de payer, bien que nous recommandions fortement de ne pas le faire et de trouver un autre moyen si possible, tel que trouver un outil de déchiffrement sur le site de No More Ransom!.

The Ransomware Plague of 2016

Le nombre d’échantillons de ransomwares détecté chaque jour peut paraître intimidant, cependant la quantité est en réalité un problème moins important que la qualité. Un nombre relativement petit de familles de malwares est suffisamment codé et gagne suffisamment de terrain pour être inquiétant, cependant les quelques familles qui sont prêtes à décoller provoquent de sérieux dégâts (on pense à Locky et à Cerber). Ce qui fait de quoi donner du travail aux chercheurs en sécurité.

Même si un seul acteur peut lancer une campagne de ransomwares, les cybercriminels se spécialisent et bénéficient du travail d’équipe. Ils prennent soin du support technique, en facilitant le processus d’achat aux victimes pour payer la rançon en bitcoins, tout en améliorant leur code malveillant et en dupant les chercheurs en sécurité et les autorités policières. L’extorsion exige du travail !

En tant que modèle d’affaires, le ransomware s’est épanoui ces dernières années, en partie à cause des nouvelles offres de solutions clés en main de ransomwares en tant que service. Même si créer la plupart des types de malwares ne requiert que des connaissances techniques limitées, élaborer un ransomware bien fait de zéro est une tâche plus difficile. Le secret est d’arriver à un bon chiffrement (un mauvais chiffrement permettant aux experts de développer un outil de déchiffrement rapidement, et c’est ce que nous faisons).

La voie la plus facile pour les hackers est un modèle d’affaires de référence : traiter avec la distribution et payer une portion de leur butin aux développeurs d’origine. Cette sorte de deal est malheureusement prospère.

Les types de ransomwares

L’évolution des différents types de ransomwares (en partant des plus simples aux preuves de concept reposant sur des outils tiers (tels que WinRAR, GPG), aux malwares mettant en place des codes depuis le Microsoft Developer Network) démontre la volonté des cybercriminels de placer la barre plus haut.

Toutefois, il n’est pas rare de trouver de nos jours des ransomwares hauts de gamme capables de supprimer des copies de sauvegarde, de chiffrer des fichiers externes ou des lecteurs réseaux, et même de s’emparer de vos fichiers synchronisés sur le Cloud. La barre ayant été placée très haut, une poignée d’acteurs clés nous fait travailler jusque tard dans la nuit.

Les tendances

Certaines variantes récentes de ransomwares détectées au Brésil montrent que les ransomwares continuent de croître, mais davantage en créant une nouvelle image de marque que par le biais de l’innovation. Pourquoi prendre la peine de créer son propre code de ransomware ? Même les enfants sans connaissances particulières peuvent acheter des kits de ransomwares avec tout ce qu’il faudrait pour commencer une campagne, et choisir un sujet pour elle. Si l’image de marque est suffisamment intéressante, elle attirerait l’attention des médias et leur acharnement médiatique, faisant perdre toute notoriété aux campagnes.

no-no-ransom-ig-recuperado-fr-1

Nous avons davantage constaté des ransomwares de mauvaise qualité faisant la une des médias parce qu’ils avaient utilisé le logo d’une émission de télé populaire, une photo d’un personnage de film, ou même des blagues sur des politiciens. L’envers de la médaille cependant est qu’ils sont faciles à détecter. Plusieurs cybercriminels décident désormais de ne pas choisir de nom pour leurs créations, en laissant uniquement aux victimes un e-mail pour contacter les escrocs et une adresse de bitcoin pour le paiement.

En ce qui concerne les modes de paiement, les familles de ransomwares les plus populaires continuent de privilégier le Bitcoin pour la rançon. Malgré cela, il n’est pas rare de voir qu’un étrange échantillon nécessite le paiement via des méthodes généralement accessibles, telles que PaySafeCard. Les opérations régionales et artisanales se tournent plus généralement vers une option de paiement locale. Le fait cependant de recourir à de telles méthodes permet aux ransomwares de faire moins de bruit.

Travailler dur et aller de l’avant

Nous sommes en train de passer tranquillement du paradigme de réhabilitation du ransomware à l’intelligence du ransomware, mais il nous reste encore du chemin à faire. C’est uniquement en recueillant des preuves tangibles et des statistiques concrètes sur le problème que nous pourrons évaluer nos options de façon appropriée. Malheureusement, tout le monde étant victime d’un ransomware ne signale pas l’incident, et même ceux qui le font, le rapportent à différentes institutions, rendant difficile la collecte d’un ensemble complet de données.

Unir les efforts des autorités policières avec ceux des entreprises en sécurité informatique afin de bouleverser le business des ransomwares des cybercriminels s’est avéré efficace. Par exemple, l’initiative No More Ransom est née du désir d’aider les victimes de ransomwares à récupérer leurs données chiffrées sans avoir à payer les cybercriminels.

Plus il y a de parties impliquées dans le projet, et plus nos chances d’établir un système indispensable pour venir à bout de ce type d’incident augmentent chaque jour. Chaque partie ne dispose seulement que d’une vision partielle de l’écosystème des ransomwares. Par conséquent, travailler ensemble n’est qu’un chemin vers la réussite.

Tout comme pour les utilisateurs (autrement dit des victimes potentielles), le savoir est le pouvoir. Ensemble, nous avons créé un guide pour éviter les ransomwares que nous recommandons vivement à toute personne qui surfe sur Internet, c’est-à-dire à tout le monde.

Conseils