Qu'est-ce qu'un ransomware ?
Les ransomwares sont un type d'applications malveillantes utilisées par les cybercriminels. Si un ordinateur ou un réseau a été infecté par un ransomware, ce dernier bloque l'accès au système ou chiffre ses données. Les cybercriminels demandent une rançon à leurs victimes en échange de leurs données. Pour se protéger contre une infection par des ransomwares, il est recommandé d'être vigilant et d'utiliser un logiciel de sécurité. Trois options s'offrent aux victimes de ces attaques d'applications malveillantes après une infection : elles peuvent soit payer la rançon, soit essayer de supprimer l'application malveillante, soit redémarrer l'appareil. Les vecteurs d'attaque fréquemment utilisés par les chevaux de Troie d'extorsion comprennent le protocole Remote Desktop, les emails de phishing et les vulnérabilités logicielles. Une attaque par ransomware peut donc viser aussi bien les particuliers que les entreprises.
Reconnaître les ransomwares : une distinction de base s'impose
Deux types de ransomwares sont notamment très populaires :
- Les ransomwares Locker. Ce type d'applications malveillantes bloque les fonctions de base de l'ordinateur. Par exemple, l'accès au bureau peut vous être refusé alors que la souris et le clavier sont partiellement désactivés. Dans cette situation, vous pouvez continuer d'interagir avec la fenêtre contenant la demande de rançon afin d'effectuer le paiement. À part ces fonctionnalités, l'ordinateur est inutilisable. Cependant, nous avons une bonne nouvelle : l'application malveillante Locker ne cible généralement pas des fichiers critiques, elle cherche simplement à verrouiller votre ordinateur. Il est donc peu probable que vos données soient complètement détruites.
- Les ransomwares Crypto. L'objectif des ransomwares Crypto est de chiffrer vos données importantes, comme des documents, des photos et des vidéos, mais pas d'interférer avec les fonctions de base de l'ordinateur. Cette action sème la panique car les utilisateurs peuvent voir leurs fichiers, mais ne peuvent pas y accéder. Les concepteurs de ransomwares Crypto ajoutent souvent un compte à rebours à leur demande de rançon : « Si vous ne payez pas la rançon avant la date limite, tous vos fichiers seront supprimés ». Or, étant donné le nombre d'utilisateurs qui ne sont pas conscients de la nécessité d'effectuer des sauvegardes dans le cloud ou sur des appareils de stockage physique externes, les ransomwares Crypto peuvent avoir des effets dévastateurs. Par conséquent, de nombreuses victimes paient la rançon dans le seul but de récupérer leurs fichiers.
Locky, Petya et autres.
Vous savez maintenant ce qu'est un ransomware et quels en sont les deux principaux types. Vous découvrirez ici quelques exemples bien connus qui vous permettront de déterminer les dangers que représentent les ransomwares :
Locky
Locky est un ransomware qui a été utilisé pour la première fois dans le cadre d'une attaque menée en 2016 par un groupe de pirates informatiques organisés. Locky a chiffré plus de 160 types de fichiers et s'est propagé au moyen de faux emails contenant des pièces jointes infectées. Les utilisateurs se sont laissé prendre au piège de l'email et ont installé le ransomware sur leurs ordinateurs. Cette méthode de diffusion s'appelle le phishing et constitue une forme de ce que l'on appelle l'ingénierie sociale. Le ransomware Locky cible des types de fichiers qui sont souvent utilisés par les concepteurs, les développeurs, les ingénieurs et les testeurs.
WannaCry
WannaCry était un ransomware qui s'est propagé dans plus de 150 pays en 2017. Celui-ci a été conçu pour exploiter une faille de sécurité dans Windows, créée par la NSA et divulguée par le groupe de pirates informatiques Shadow Brokers. WannaCry a touché 230 000 ordinateurs à l'échelle mondiale. L'attaque a touché un tiers de tous les hôpitaux du NHS au Royaume-Uni, causant des dommages estimés à 92 millions de livres sterling. Les ordinateurs des utilisateurs ont été verrouillés, et une rançon payable en Bitcoins leur a été demandée. L'attaque a mis en évidence le problème des systèmes obsolètes, car le pirate informatique a exploité une vulnérabilité du système d'exploitation pour laquelle un correctif existait depuis longtemps au moment de l'attaque. Le préjudice financier mondial causé par WannaCry s'élève à environ 4 milliards de dollars américains.
Bad Rabbit
Bad Rabbit était un ransomware de 2017 qui s'est propagé via des attaques par téléchargement furtif. Des sites Web non sécurisés ont été utilisés pour mener à bien ces attaques. Dans le cadre d'une attaque par téléchargement furtif par ransomware, un utilisateur visite un site Web réel, sans savoir que celui-ci a été compromis par des pirates informatiques. Pour la plupart des attaques par téléchargement furtif, il suffit qu'un utilisateur appelle une page qui a été compromise de cette manière. Dans ce cas, cependant, l'exécution d'un programme d'installation contenant une application malveillante camouflée a conduit à l'infection. Il s'agit d'une application malveillante furtive. Bad Rabbit demandait à l'utilisateur d'exécuter une fausse installation d'Adobe Flash, infectant ainsi l'ordinateur avec des applications malveillantes.
Ryuk
Ryuk est un cheval de Troie de chiffrement qui s'est propagé en août 2018 et qui désactivait la fonctionnalité de récupération des systèmes d'exploitation Windows. Il était donc impossible de restaurer les données chiffrées sans une sauvegarde externe. Ryuk chiffrait également les disques réseau. Les conséquences ont été énormes, et de nombreuses organisations américaines ciblées ont payé les rançons demandées. Le total des dommages est estimé à plus de 640 000 $.
Shade/Troldesh
L'attaque par ransomware Shade ou Troldesh a eu lieu en 2015 et s'est propagée via des emails de spam contenant des liens ou des pièces jointes de fichiers infectés. Il est intéressant de noter que les attaquants de Troldesh communiquaient directement avec leurs victimes par email. Les victimes avec lesquelles ils avaient établi une « bonne relation » recevaient des réductions. Toutefois, ce type de comportement est une exception plutôt que la règle.
Jigsaw
Jigsaw est une attaque de ransomware qui a commencé en 2016. L'attaque doit son nom à l'image qu'elle a affichée de la célèbre marionnette de la franchise Saw. À chaque heure supplémentaire où la rançon n'était pas payée, le ransomware Jigsaw supprimait davantage de fichiers. L'utilisation de l'image du film d'horreur provoquait un stress supplémentaire auprès des utilisateurs.
CryptoLocker
CryptoLocker est un ransomware qui est apparu pour la première fois en 2007 et qui s'est propagé via des pièces jointes infectées. Le ransomware recherchait des données importantes sur les ordinateurs infectés et les chiffrait. On estime que 500 000 ordinateurs ont été touchés. Les forces de l'ordre et les entreprises de sécurité ont finalement réussi à prendre le contrôle d'un réseau mondial d'ordinateurs domestiques détournés qui ont été utilisés pour diffuser CryptoLocker. Cette mesure a permis aux agences et aux entreprises d'intercepter les données envoyées sur le réseau sans que les criminels s'en aperçoivent. En fin de compte, il était possible d'accéder à un portail en ligne où les victimes pouvaient obtenir une clé leur permettant de déverrouiller leurs données. Leurs données pouvaient ainsi être libérées sans qu'il soit nécessaire de payer une rançon aux criminels.
Petya
Petya (à ne pas confondre avec ExPetr) est un ransomware qui est apparu pour la première fois en 2016 et qui a été ressuscité sous le nom de GoldenEye en 2017. Au lieu de chiffrer certains fichiers, ce ransomware chiffrait l'intégralité du disque dur de la victime. Pour ce faire, le Master File Table (MFT) était chiffré, ce qui rendait impossible l'accès aux fichiers du disque dur. Le ransomware Petya s'est propagé dans les services RH des entreprises par le biais d'une fausse application contenant un lien Dropbox infecté.
Une autre variante de Petya est Petya 2.0, qui diffère sur certains aspects essentiels. Toutefois, en ce qui concerne les conditions d'exécution de l'attaque, les deux variantes sont tout aussi fatales pour l'appareil.
GoldenEye
La résurrection de Petya sous le nom de GoldenEye a entraîné une infection mondiale par ransomware en 2017. GoldenEye, surnommé le « frère mortel » de WannaCry, a touché plus de 2 000 cibles, dont d'importants producteurs de pétrole en Russie et plusieurs banques. Dans un retournement de situation alarmant, GoldenEye a forcé le personnel de la centrale nucléaire de Tchernobyl à vérifier manuellement le niveau de radiation sur place, après que les ordinateurs Windows du personnel ont été verrouillés.
GandCrab
GandCrab est un ransomware désagréable qui menaçait de divulguer les habitudes pornographiques de ses victimes. Il prétendait avoir piraté la webcam de la victime et lui demandait une rançon. Si la rançon n'était pas payée, des images embarrassantes de la victime étaient censées être publiées. Après sa première apparition en 2018, le ransomware GandCrab a continué de se développer en plusieurs versions. Dans le cadre de l'initiative « No More Ransom », les fournisseurs de sécurité et les services de police ont conçu un outil de déchiffrement des ransomwares pour permettre aux victimes de récupérer leurs données sensibles après qu'elles ont été infectées par le virus GandCrab.
B0r0nt0k
B0r0nt0k est un ransomware cryptographique qui vise particulièrement les serveurs Windows et Linux. Ce ransomware nuisible chiffre les fichiers d'un serveur Linux et y joint une extension de fichier « .rontok ». L'application malveillante ne menace pas seulement les fichiers, elle modifie également les paramètres de démarrage, désactive des fonctions et des applications, et ajoute des entrées de registre, des fichiers ainsi que des programmes.
Le ransomware Dharma Brrr
Brrr, le nouveau ransomware Dharma, est installé manuellement par des pirates informatiques qui s'introduisent dans les services de bureau connectés à Internet. Dès que le ransomware est activé par les pirates informatiques, il commence à chiffrer les fichiers qu'il trouve. Les données chiffrées portent l'extension de fichier suivante : « .id-[id].[email].brrr ».
Le ransomware FAIR RANSOMWARE
FAIR RANSOMWARE est un ransomware qui vise à chiffrer les données. Grâce à un algorithme puissant, tous les documents et fichiers privés de la victime sont chiffrés. Les fichiers chiffrés par cette application malveillante portent l'extension « .FAIR RANSOMWARE ».
Le ransomware MADO
Le ransomware MADO est un autre type de ransomware Crypto. Les données chiffrées par ce ransomware portent l'extension « .mado » et ne peuvent donc plus être ouvertes.
Attaques par ransomware
Comme nous l'avons déjà mentionné, les ransomwares trouvent leurs cibles dans tous les milieux. En général, la rançon demandée se situe entre 100 et 200 euros. Cependant, la rançon de certaines attaques est beaucoup plus élevée, surtout si l'attaquant sait que les données bloquées représentent une perte financière importante pour l'entreprise attaquée. Les cybercriminels peuvent donc gagner d'énormes sommes d'argent grâce à ces méthodes. Dans les deux exemples ci-dessous, la victime de la cyberattaque est, ou était, plus importante que le type de ransomware utilisé.
Le ransomware WordPress
Le ransomware WordPress, comme son nom l'indique, cible les fichiers des sites Web WordPress. Une rançon est demandée à la victime, comme c'est souvent le cas dans le cas des ransomwares. Plus le site WordPress est populaire, plus il est susceptible d'être attaqué par des cybercriminels utilisant des ransomwares.
Le cas Wolverine
Wolverine Solutions Group (un fournisseur de soins de santé) a été victime d'une attaque par ransomware en septembre 2018. L'application malveillante a chiffré un grand nombre de fichiers de l'entreprise, rendant impossible leur ouverture par de nombreux employés. Heureusement, des experts en criminalistique ont été en mesure de déchiffrer et de restaurer les données le 3 octobre. Cependant, de nombreuses données de patients ont été compromises lors de l'attaque. Noms, adresses, données médicales et autres informations personnelles ont pu tomber entre les mains de cybercriminels.
Le ransomware en tant que service
Le ransomware en tant que service permet aux cybercriminels disposant de faibles capacités techniques de mener des attaques par ransomware. L'application malveillante est mise à la disposition d'acheteurs, ce qui implique un risque moindre et un gain plus élevé pour les programmeurs de l'application.
Conclusion
Les attaques par ransomware revêtent de nombreuses apparences et se présentent sous toutes les formes et toutes les tailles. Le vecteur d'attaque est un facteur important pour les types de ransomwares utilisés. Afin d'estimer la taille et l'étendue de l'attaque, il est nécessaire de toujours prendre en compte les enjeux, ou les données qui pourraient être supprimées ou publiées. Quel que soit le type de ransomwares, la sauvegarde des données en amont et la manipulation correcte des logiciels de sécurité peuvent réduire considérablement l'intensité d'une attaque.