Qu’est-ce qu’un Ransomware ?
Les ransomwares sont un type de malware (logiciel malveillant) qui peut se présenter de différentes manières, affectant des systèmes individuels ainsi que des réseaux d'entreprises, d'hôpitaux, d'aéroports et d'agences gouvernementales.
Les ransomwares sont constamment améliorés et deviennent de plus en plus sophistiqués depuis leur première occurrence enregistrée, en 1989. Alors que les formats simples sont généralement des ransomwares sans cryptage, les ransomwares modernes utilisent des méthodes de cryptographie pour crypter les fichiers, les rendant ainsi inaccessibles. Les rançongiciels de chiffrement peuvent également être utilisés sur les disques durs pour verrouiller complètement le système d'exploitation d'un ordinateur, empêchant ainsi la victime d'y accéder. L’objectif final est de convaincre les victimes de payer une rançon de décryptage – qui est généralement demandée en monnaies numériques difficiles à tracer (comme le Bitcoin ou d’autres cryptomonnaies). Cependant, rien ne garantit que les paiements seront honorés par les attaquants.
La popularité des ransomwares a considérablement augmenté au cours de la dernière décennie (surtout en 2017) et, en tant que cyberattaque à motivation financière, il s'agit actuellement de la menace de malware la plus importante au monde, comme le rapporte Europol (IOCTA 2018).
Comment se font les victimes ?
Phishing : une forme récurrente d'ingénierie sociale. Dans le contexte des ransomwares, les e-mails de phishing constituent l’une des formes les plus courantes de distribution de logiciels malveillants. Les victimes sont généralement infectées via des pièces jointes compromises ou des liens déguisés en légitimes. Au sein d’un réseau d’ordinateurs, une seule victime peut suffire à compromettre toute une organisation.
Kits d'exploit : un package composé de divers outils malveillants et de codes d'exploitation pré-écrits. Ces kits sont conçus pour exploiter les problèmes et les vulnérabilités des applications logicielles et des systèmes d'exploitation afin de propager des logiciels malveillants (les systèmes non sécurisés exécutant des logiciels obsolètes sont les cibles les plus courantes).
Malvertising : les attaquants utilisent les réseaux publicitaires pour diffuser des ransomwares.
Comment se protéger des attaques de ransomwares ?
Utilisez des sources externes pour sauvegarder régulièrement vos fichiers, afin de pouvoir les restaurer après la suppression d'une infection potentielle ;
Soyez prudent avec les pièces jointes et les liens des e-mails. Évitez de cliquer sur des publicités et des sites Web de source inconnue ;
Installez un antivirus fiable et maintenez vos applications logicielles et votre système d'exploitation à jour ;
Activez l'option « Afficher les extensions de fichiers » dans les paramètres Windows afin de pouvoir vérifier facilement les extensions de vos fichiers. Évitez les extensions de fichiers telles que .exe, .vbs et .scr ;
Évitez de visiter des sites Web qui ne sont pas sécurisés par le protocole HTTPS (c'est-à-dire les URL commençant par « https:// »). Gardez toutefois à l’esprit que de nombreux sites Web malveillants implémentent le protocole HTTPS afin de semer la confusion chez les victimes et que le protocole à lui seul ne garantit pas que le site Web est légitime ou sûr.
Visitez NoMoreRansom.org, un site Web créé par des sociétés chargées de l'application de la loi et de la sécurité informatique qui s'efforcent de perturber les ransomwares. Le site Web propose des boîtes à outils de décryptage gratuites pour les utilisateurs infectés ainsi que des conseils de prévention.
Exemples de ransomwares
GrandCrab (2018)
Apparu pour la première fois en janvier 2018, le ransomware a fait plus de 50 000 victimes en moins d'un mois, avant d'être perturbé par le travail des autorités roumaines, de Bitdefender et d'Europol (un kit de récupération de données gratuit est disponible). GrandCrab s'est propagé via des e-mails de publicité malveillante et de phishing et a été le premier ransomware connu à exiger le paiement d'une rançon en crypto-monnaie DASH. La rançon initiale variait entre 300 et 1 500 dollars américains.
Veux crier (2017)
Une cyberattaque mondiale qui a infecté plus de 300 000 ordinateurs en 4 jours. WannaCry s'est propagé via un exploit connu sous le nom d'EternalBlue et ciblait les systèmes d'exploitation Microsoft Windows (la plupart des ordinateurs concernés exécutaient Windows 7). L'attaque a été stoppée grâce aux correctifs d'urgence publiés par Microsoft. Les experts américains en matière de sécurité ont affirmé que la Corée du Nord était responsable de l'attaque, bien qu'aucune preuve n'ait été fournie.
Mauvais lapin (2017)
Un ransomware qui s'est propagé sous la forme d'une fausse mise à jour d'Adobe Flash téléchargée à partir de sites Web compromis. La plupart des ordinateurs infectés se trouvaient en Russie et l'infection dépendait de l'installation manuelle d'un fichier .exe. Le prix du décryptage était à l’époque d’environ 280 dollars américains (0,05 BTC).
Locky (2016)
Généralement distribué par courrier électronique sous forme de facture exigeant un paiement contenant des pièces jointes infectées. En 2016, le Hollywood Presbyterian Medical Center a été infecté par Locky et a payé une rançon de 40 BTC (17 000 dollars à l'époque) afin de retrouver l'accès aux systèmes informatiques de l'hôpital.
