Rançongiciels: tendances 2020
Le FBI a enregistré une forte augmentation des demandes de rançon informatiques en 2020. Les principales causes peuvent être liées à la pandémie, car de plus en plus d'organisations demandent à leurs employés de faire du télétravail, les applications de type nuage (cloud) se multiplient et les achats en ligne sont devenus la norme afin d'éviter les magasins bondés. Et le lien le plus direct avec COVID-19 ? Des courriels frauduleux conçus pour transmettre des logiciels malveillants, notamment des logiciels d’extorsion ou rançongiciels, dissimulés derrière des messages qui ressemblent à des mises à jour sur la situation du coronavirus.
Les attaques par demande de rançon sont de plus en plus ciblées
Elles prennent la forme de hameçonnage et de harponnage, pour être plus efficaces et personnalisées. L’un des principaux vecteurs d'attaque est le protocole RDP (Remote Desktop Protocol), habituellement utilisé pour gérer à distance un ordinateur par le biais de connexions Internet. Aujourd’hui, les cybercriminels utilisent ces canaux pour le vol d’identité, le vol d’informations de connexion et le lancement d’attaques de rançongiciels.
Qu'est-ce qu'un rançongiciel ?
Le rançongiciel, aussi appelé logiciel d’extorsion ou de rançon, est conçu pour bloquer l'accès à un système informatique ou à des fichiers spécifiques sur un ordinateur, et est suivi d'une demande de rançon. Selon la cible, le montant de la rançon peut aller de 100$ à 1 000 000$ ou plus.
La plupart des variantes de ces logiciels cryptent les fichiers sur l'appareil concerné, les rendant indisponibles jusqu'à ce qu'un paiement soit effectué. Le message de menace précise généralement que si le montant demandé n'est pas payé dans un certain délai, les fichiers seront supprimés définitivement, ou encore, s'ils sont de nature gênante, publiés en ligne. Théoriquement, une fois la rançon payée, l'accès à ces fichiers est rétabli.
Les logiciels de rançon sont souvent créés au moyen de code rudimentaire, principalement parce qu'un programme sophistiqué n'est pas nécessaire pour obtenir les résultats souhaités. Contrairement à d'autres formes de logiciels malveillants classiques, il n’est pas nécessaire qu’il passe inaperçu très longtemps. En raison de sa relative facilité de mise en œuvre, combinée à un potentiel de profit élevé, il attire aussi bien les acteurs sophistiqués de la cybercriminalité que les pirates informatiques novices.
Comment la plupart des systèmes sont compromis
Parmi les principaux vecteurs d'attaque, ou voies par lesquelles les pirates informatiques accèdent à un système, notons la corruption de la RDP ou d’autres ports de communication ouverts et le hameçonnage (phishing).
Le nombre de cas a décuplé au cours des mois de juin et juillet 2020, en partie dû au fait qu'un grand nombre d'organisations procèdent à la gestion et à l'entretien des systèmes informatiques à distance. Cela signifie que les ports RDP sont restés actifs, ce qui les a rendus vulnérables.
Historiquement, entre 2018 et 2019, les logiciels de rançon établissaient une trajectoire très claire vers une contamination du système. Voici comment :
- Les logiciels malveillants s'introduisaient dans le système, par courrier électronique ou par des ports ouverts.
- Ils se frayaient un chemin à travers les systèmes de fichiers et cryptaient les données.
- Une demande de rançon apparaissait dans fenêtre modale adressée à l'utilisateur.
Cependant, à l'approche de la fin de l'année 2020, nous sommes confrontés à un mode d'attaque à la fois plus sophistiqué et plus furtif. Même avec les compétences plutôt rudimentaires requises pour les attaques par demande de rançon, les applications interconnectées et l’utilisation du nuage ont ouvert de nouveaux vecteurs potentiels.
Ainsi, nous voyons des organisations ciblées par une attaque en deux étapes : l’intention, dans un premier temps, est de pénétrer dans le système, puis les pirates informatiques utilisent les paramètres de contrôle d'accès pour augmenter les privilèges. Ils peuvent ensuite trouver les données les plus confidentielles et les plus critiques de l'organisation, les copier dans un répertoire distant, les extraire et les crypter.
Le nuage a ses défauts
En théorie, le nuage est sécuritaire. Avec les protocoles de sécurité appropriés, la majorité des attaques pourraient être évitées. Malheureusement, la plupart des organisations n'ont pas la formation, les compétences ou les procédures nécessaires pour s'assurer que leurs systèmes sont à la fois ouverts aux utilisateurs pour une collaboration à distance adéquate, et systématiquement protégés contre les logiciels malveillants et les demandes de rançon.
Comment vous protéger et protéger votre organisation
Le premier et le plus élémentaire des conseils que nous donnons est de mettre en place une solution de sauvegarde de secours fiable ; assurez-vous que les données importantes font partie de la sauvegarde, mais également les paramètres de configuration de votre système. Choisissez une solution de confiance, et assurez-vous qu'elle se trouve sur un système complètement séparé.
Néanmoins, bien que toujours pertinente, cette recommandation n’est plus suffisante, surtout lorsqu'il s'agit de protéger les organisations et de les aider à éviter de payer des rançons élevées. Il n'est pas surprenant que les demandes de rançon et les paiements correspondants aient augmenté de façon spectaculaire au cours des 18 derniers mois. Tout cela conduit à un autre casse-tête pour les organisations ciblées : comment être prêt à payer potentiellement de grosses sommes en cryptomonnaie dans un délai aussi court.
Nous recommandons désormais une surveillance constante du système, avec des mesures préventives prêtes à être lancées dès le premier signe de la présence d'un logiciel malveillant.
Les experts de la cybercriminalité comprennent l'évolution des risques et la façon dont les cybercriminels et les menaces liées aux logiciels malveillants évoluent au fil du temps.
De plus en plus d’organisations s'abonnent aux communautés de renseignement sur les cybermenaces pour en savoir plus sur le fonctionnement des cybercriminels et sur les indicateurs de corruption d’un système.
Mais cela ne suffit pas. Vous devez adopter une approche beaucoup plus proactive, et certaines organisations vont même jusqu'à déployer des traqueurs pour repérer les menaces ou les cybercriminels eux-mêmes.
Nous continuerons à explorer ce sujet dans les deux prochains articles de notre série sur les rançongiciels. Nous aborderons notamment l'impact juridique et médico-légal d'une attaque typique.
Quelques exemples d'attaques avec demande de rançon
- La première attaque de ce type a eu lieu en 1991. Baptisée "PC Cyborg", elle a été propagée par un biologiste via des disquettes transmises à des collègues participant à un projet de recherche sur le sida. Depuis lors, beaucoup de choses ont changé, y compris l'utilisation des disquettes !
- L'Université de l'Utah a été victime d'une demande de rançon de près de 500 000 dollars de la part de cybercriminels à la suite d'une attaque en juillet. Cette attaque a donné à l'institution le choix de sacrifier les données privées de ses étudiants et de ses employés, ou de payer en espérant que les informations ne soient pas compromises.
- Le 10 juin 2017, des pirates informatiques ont infecté plus de 153 serveurs Linux hébergés par le fournisseur d'accès Internet sud-coréen Nayana, fermant ainsi 3 400 sites web. Le directeur général de Nayana, Hwang Chilghong, a révélé que les pirates avaient initialement demandé 4,4 millions de dollars, mais que l'organisation avait négocié une rançon d'un million de dollars.
- L'attaque mondiale du rançongiciel WannaCry en mai 2017 visait les ordinateurs équipés du système d'exploitation Microsoft Windows en cryptant les données et en exigeant le paiement d'une rançon en cryptomonnaie Bitcoin.
Nous vous encourageons à lire notre prochain article de blogue sur les rançongiciels lorsqu'il sera disponible. D’ici là, nous vous invitons à réfléchir à la question suivante : "Est-ce toujours une bonne idée de payer une rançon ?"
Découvrez DigitalTrace, notre solution contre les rançongiciels : téléchargez la brochure
Regardez un enregistrement de notre webinaire sur les logiciels de rançon : accéder au webinaire à la demande (en anglais)
