Lorsqu’un serveur est infecté par un ransomware, ce dernier provient généralement d’un e-mail, de vulnérabilités logicielles ou de connexions à distance non sécurisées. Un employé qui télécharge de son plein gré un malware semble très peu plausible. Cependant, comme nous avons pu le constater, certains cybercriminels pensent que cette méthode d’infection fonctionne bien et recrutent aujourd’hui des employés en leur proposant une part de la rançon.
Une méthode de distribution créative
Aussi absurde que cela puisse paraître, certains cybercriminels cherchent des complices via les spams. Par exemple, il y en a un qui offre directement « 40 %, soit 1 million de dollars en bitcoin » à ceux qui sont prêts à installer et exécuter le ransomware DemonWare sur le serveur principal de leur entreprise.
Des chercheurs se sont fait passer pour des complices et ont reçu un lien qui redirige vers un fichier avec des instructions qui expliquent comment exécuter le malware. Cependant, il semble que le cybercriminel derrière l’e-mail manque d’expérience : les chercheurs ont vite pu le faire parler. Le cybercriminel en question était un homme d’origine nigérienne qui cherchait sur LinkedIn des cadres supérieurs à contacter. Il laissa tomber son plan d’origine après s’être rendu compte que le système de cybersécurité de l’entreprise était trop compliqué à pirater.
Cette méthode a une faille
Afin de prouver à la cible choisie que sa participation sera sans risque, le cybercriminel affirme que le ransomware effacera toutes les preuves du crime, dont les vidéos de surveillance s’il y en a. Il recommande également de supprimer le fichier exécutable pour ne laisser aucune trace. On pourrait penser que le criminel piégerait ses complices car une fois le serveur chiffré, leur sort lui est égal. Cependant, il ne semble pas savoir comment sont menées les enquêtes criminelles informatiques.
Le fait d’avoir choisi DemonWare prouve également qu’il manque d’expérience. Bien que les cybercriminels utilisent encore DemonWare, il s’agit en réalité d’un ransomware peu complexe dont le code source est disponible sur GitHub. Le créateur de ce malware l’a fait dans le but de prouver à quel point il est facile d’écrire un ransomware.
Comment se protéger
Bien que ce ne soit qu’un exemple (mais un exemple précis), c’est une réalité : les employés peuvent participer aux attaques par ransomware. Il existe une méthode bien plus crédible que celle qui consiste à trouver une personne prête à installer le malware sur le réseau : un employé disposé à vendre l’accès au système informatique de l’entreprise.
Le marché de la vente d’accès aux réseaux d’une entreprise existe depuis longtemps sur le dark Web, et les rançonneurs achètent fréquemment des accès à d’autres cybercriminels, ceux qu’on appelle les courtiers d’accès. Ces derniers sont particulièrement intéressés par l’achat d’un accès à distance au réseau d’une entreprise ou à ses serveurs Cloud. On trouve ce genre d’annonces dirigées aux employés mécontents ou à ceux qui ont été renvoyés partout sur le dark Web.
Afin de s’assurer que personne ne menace la sécurité de votre entreprise en infectant ses réseaux par un ransomware, nous vous recommandons de :
- Adopter une stratégie de moindre privilège ;
- Garder les traces de chaque tentative d’accès au réseau de l’entreprise et à ses serveurs, supprimer les droits des employés renvoyés et changer leurs mots de passe ;
- Installer une solution de sécurité capable de faire face aux malwares modernes sur chaque serveur.
- Utiliser nos solutions de type Managed Detection and Response pour identifier les activités suspectes dans votre infrastructure avant que les cybercriminels infligent des dégâts irréparables.