Ransomware : l’arme de prédilection pour les cybercriminels

0

Le ransomware est devenu une véritable épidémie ainsi le confirme un rapport récemment publié par le FBI affirmant que les victimes de ransomware auraient réglé plus de 209 millions de dollars sur le seul premier trimestre 2016, contre 24 millions de dollars sur l’ensemble de 2015. Le montant d’argent que les fraudeurs parviennent à gagner grâce à ces attaques l’a déjà situé comme une des plus lucratives attaques dans ces derniers temps.

Les chiffres s’envolent et le ransomware est rapidement devenu un logiciel malveillant à la mode ciblant de nombreux pays et profils d’utilisateurs. Le racket qui en découle est malheureusement une réalité de tous les jours pour nombre de victimes.

Qu’est-ce qu’un ransomware ?

Le ransomware c’est un problème mondial qui affecte maintenant les individus, les entreprises et les organisations. Mais, qu’est ce que c’est ? Le ransomware (ou rançongiciel) est un logiciel malveillant qui verrouille l’accès à un système, empêche l’exécution de certaines fonctionnalités, voire chiffre les données présentes. Le retour à la normale exige que la victime règle une rançon. Ce logiciel malveillant se décline en deux principales familles : le crypto-ransomware qui chiffre les données pour les rendre inutilisables, et le ransomware bloquant qui empêche un système/PC de fonctionner correctement. Le principal problème du ransomware c’est qu’il n’existe aucun moyen de retrouver l’accès aux fichiers une fois qu’ils sont cryptés par l’attaquant.

ransomware-640x300

Le ransomware n’est guère nouveau et existe, selon certains experts, depuis 1989, avec l’apparition du cheval de troie « AIDS ». Cependant, il faut attendre 2005 pour voir une variante de ce logiciel malveillant utiliser un chiffrement asymétrique pour la première fois. Depuis, le ransomware est devenu une arme de prédilection pour les cybercriminels et chaque jour, de nouveaux types de ce malware sont créés.

Notons que depuis 2013, la généralisation du Bitcoin joue le rôle de catalyseur, en offrant aux cybercriminels le moyen de recevoir des fonds de manière parfaitement anonyme. Parallèlement, c’est l’utilisation de Tor et de réseaux décentralisés similaires qui rend la tâche plus simple : les cybercriminels déploient des plateformes dédiées à des infections de masse, dans un modèle de type Ransomware-as-a-service (RaaS), et optimisent les gains détournés auprès de leurs victimes (même après redistribution de 20% ou plus des revenus aux affiliés qui participent aux campagnes RaaS). Le ransomware a ainsi évolué au fil du temps, et cette évolution donne certaines perspectives sur le futur de ce malware.

Le ransomware, à l’image d’une pandémie

Security concept - Access denied on digital background

Selon mentionne David Maciejak, expert sécurité chez Fortinet , sur son dernier étude, “il existe deux grandes familles de ransomware” , certaines entreprises de sécurité ont réussi à déchiffrer certains types et ont publié les clés de déchiffrement, mais les experts notent que les différences tendent à s’estomper. À titre d’exemple, un crypto-ransomware récemment identifié empêche, s’il chiffre les données, également d’accéder à certains sites Web à partir du PC infecté, jusqu’au paiement de la rançon.

Le distinguo tend également à s’atténuer alors que les ransomware se veulent compatibles à de nouvelles plateformes, au-delà des PC, à savoir les dispositifs mobiles. Les ransomware ciblent maintenant aussi le système d’exploitation Android. Fortinet a identifié des variantes (comme FLocker) qui s’en prennent aux objets connectés comme les Smart TV. FLocker exige une carte cadeau iTunes d’une valeur de $200 avant de permettre au téléspectateur de pouvoir accéder à nouveau à sa TV et ses programmes.

Cette évolution ne marque aucun temps d’arrêt

Selon l’analyste Gartner, il y a aura 6,4 milliards d’objets connectés d’ici la fin de 2016, et 21 milliards d’entre eux à l’horizon fin 2020. Le nombre de victimes potentielles s’annonce ainsi considérable ! Le ransomware, à l’image d’une pandémie, évolue et trouve en permanence de nouveaux vecteurs d’infection et d’attaque. De nouvelles variantes apparaissent, toujours plus sophistiquées et réinventant les techniques d’infection. Le souci est que cette évolution ne marque aucun temps d’arrêt.

Il faut dire que l’évolution du ransomware est, à vrai dire, plutôt proche de la théorie de Darwin sur le sujet. Ainsi, “un ransomware qui s’étend à partir d’une seule machine peut être vu comme un arthropode primaire qui émerge de la mer pour la première fois” affirme Maciejak. Mais la raison fondamentale de cette évolution sans précédent ? En premier lieu, les victimes sont nombreuses à régler la rançon demandée (près d’un tiers des Français se disent prêt à payer cette rançon), ce qui encourage les cybercriminels à poursuivre leurs exactions et capitaliser sur un business toujours plus lucratif.

Sans rentrer dans le débat de savoir s’il faut payer ou non, la récupération de certaines données critiques chiffrées plaide parfois en faveur de ce paiement. Mais attention, ce règlement n’est pas une garantie de pouvoir récupérer ses données. Normalement, une fois payé cette raiçon, le cybercriminel envoie un code de déverrouillage qui permet re-accès aux données enlevés mais personne n’est sur que le cybercriminel fera retourner vos données même si vous payez.

De nouveaux territoires à envisager

ransomware-ido

Donc, quelles sont les perspectives ? Le ransomware est devenu tellement omniprésent qu’on peut s’interroger sur sa marge de progression. Et pourtant, de nouveaux territoires d’infection sont à envisager… Il reste encore un univers qui peut être demain des proies idéales pour le ransomware. Les systèmes industriels sont peu protégés et plutôt fragiles donc ils sont une cible magnifique pour les cyber attaquants.

Certaines variantes actuelles de ransomware pourraient donc se contenter de frapper à la bonne porte, ce qui laisse penser qu’il est probable que la menace émergera tôt ou tard au sein de ces environnements industriels. Nous constatons déjà que le ransomware cible certains profils de victimes, comme les acteurs de soins de santé, qui doivent s’acquitter d’une rançon élevée car nombre de ces acteurs ont déjà accepté, dans le passé, de payer la rançon. Dans tous les cas, l’éducation est un élément fondamental pour éviter autant que possible ces risques. Voici des conseils de base pour que le ransomware ne puisse pas vous empêcher de récupérer vos données les plus précieuses.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply