Les ransomwares ou rançongiciels comptent parmi les logiciels malveillants les plus redoutables, et sont considérés comme l’une des plus grandes menaces en cybersécurité. Découvrez tout ce que vous devez savoir : définition, fonctionnement, histoire, statistiques, exemples connus, comment s’en protéger…
Dans le domaine de la cybersécurité, les ransomware ou rançongiciels représentent aujourd’hui l’une des menaces les plus redoutables. De plus en plus utilisés par les hackers et les cybercriminels, ces logiciels malveillants d’un genre nouveau peuvent paralyser un système informatique jusqu’à ce que l’utilisateur paye une rançon…
Qu’est-ce qu’un ransomware ?
Un ransomware (ransom malware) ou rançongiciel en français est un type de malware. Lorsqu’il infecte un ordinateur, il empêche les utilisateurs d’accéder au système ou à leurs fichiers personnels. Le paiement d’une rançon est alors exigé pour déverrouiller l’accès.
Les premiers ransomwares furent développés à la fin des années 1980. Les rançons devaient être envoyées par courrier postal.
De nos jours, il est toutefois possible de payer par carte bancaire. Avec l’émergence des cryptomonnaies comme le Bitcoin, offrant l’anonymat aux cybercriminels, les rançongiciels connaissent un véritable essor depuis maintenant plusieurs années.
L’histoire des ransomwares
Le premier ransomware fut créé à la fin des années 1980. Intitulé » PC Cyborg « , ce malgiciel était capable de chiffrer tous les fichiers du répertoire C: après 90 redémarrages. Les victimes étaient ensuite invitées à » renouveler une licence » en envoyant 189 dollars par courrier à PC Cyborg Corp.
Toutefois, le système de chiffrement utilisé était relativement simple à contourner. Pour une personne expérimentée en informatique, ce malware ne représentait donc pas une menace sérieuse.
En 1989, le biologiste Joseph Popp distribue 20 000 disquettes intitulées » AIDS Information – Introductory Diskettes » à des chercheurs lors d’une conférence sur le sida organisée par l’OMS. En réalité, ces disquettes contenaient le cheval de Troie PC Cyborg.
Au fil de la décennie suivante, plusieurs variantes de PC Cyborg firent leur apparition. Il fallut toutefois attendre 2004 pour qu’un véritable ransomware fasse son apparition. Le GpCOde utilisait un chiffrement RSA sur les fichiers.
Puis, en 2007, WinLock marqua l’avènement d’un nouveau genre de ransomware. Plutôt que de chiffrer les fichiers, ce malgiciel verrouillait aux ordinateurs. Des images pornographiques étaient affichées sur l’écran de la victime, et un paiement par SMS était exigé.
En 2012, la famille de ransomwares Reveton fut la première à usurper l’identité des autorités pour pousser la victime à payer. L’ordinateur était verrouillé, et une page imitant le site officiel d’agences comme le FBI ou Interpol apparaissait.
La victime était accusée d’avoir commis un crime, tel qu’un piratage ou une cyberattaque. Elle devait alors payer une amende allant de 100 $ à 3000 $ à l’aide d’une carte prépayée de type UKash ou PaySafeCard.
Beaucoup de victimes se laissaient piéger, pensant réellement faire l’objet d’une enquête par les autorités. Cette technique d’ingénierie sociale fonctionnait très bien, puisque certains internautes effectivement coupables d’activités illégales préféraient payer que de voir leurs agissements exposés au grand jour…
En 2013, CryptoLocker marqua le retour en force des ransomwares de chiffrement. Ce malware utilisait un système de chiffrement de grade militaire, et stockait la clé requise pour déverrouiller l’accès aux fichiers sur un serveur distant.
Il était donc impossible pour les utilisateurs de récupérer leurs données sans payer la rançon. Ce type de rançongiciel est encore couramment utilisé de nos jours, car il s’avère extrêmement efficace. En guise d’exemples bien connus, on peut citer WannaCry et Petya qui ont fait trembler toute la planète en 2017.
Fin 2018, le ransomware Ryuk a marqué les esprits avec des attaques sur les médias et les services publics américains. Les systèmes pris pour cible étaient d’abord infectés par des chevaux de Troie comme Emotet et TrickBot, puis par d’autres malwares comme Ryuk. Les Trojans servaient à consulter les données des victimes, afin de repérer les meilleures cibles pour un ransomware.
Depuis 2019, les cybercriminels utilisent les fournisseurs de services gérés pour propager des ransomwares. On peut citer par exemple Sodinokibi qui a paralysé les systèmes informatiques de centaines de cabinets dentaires aux États-Unis via un logiciel d’enregistrements médicaux détourné.
Comment fonctionne un ransomware ?
Les ransomwares fonctionnent généralement en cinq étapes. Tout d’abord, le système informatique de la victime subit une attaque via un lien ou une pièce jointe piégée. L’utilisateur reçoit une invitation à télécharger le fichier, souvent par le biais de techniques d’ingénierie sociale.
Au cours d’une deuxième étape, le logiciel malveillant prend le contrôle du système. Plusieurs types de fichiers sont cryptés, et l’utilisateur ne peut plus y accéder.
En général, une notification s’affiche sur l’écran de la victime pour l’informer de la présence d’un ransomware. Celle-ci doit payer une rançon pour retrouver l’accès à son système. Le processus de paiement de la rançon y est détaillé.
L’étape suivante (théorique) concerne le paiement de la rançon. Dans la plupart des cas, les cybercriminels permettent à la victime de retrouver l’accès à son système et de désactiver le cryptage des fichiers.
En pratique, les criminels ne sont pas obligés de supprimer le cryptage. Toutefois, s’ils ne tiennent pas leurs promesses, il est probable que les victimes refuseront de plus en plus de payer la rançon et choisiront plutôt d’abandonner leurs données.
Comment attrape-t-on un ransomware ?
Les ransomwares peuvent infecter votre ordinateur de différentes manières. Les pirates utilisent notamment le spam malveillant, également appelé malspam.
Cette technique consiste à envoyer un courrier électronique pour déployer un logiciel malveillant. L’e-mail peut contenir une pièce jointe apparemment inoffensive qui contient en fait le ransomware. Il peut également contenir un lien vers un site Web piégé.
Pour inciter les destinataires à ouvrir leur spam, les criminels utilisent l’ingénierie sociale. Les courriels semblent légitimes, se faisant passer pour un ami proche ou une institution connue. Les pirates peuvent même se faire passer pour la police ou d’autres autorités pour intimider la victime et mieux la forcer à payer la rançon.
Ces derniers temps, une autre méthode largement utilisée a été le malvertising. Ce dernier consiste à utiliser la publicité en ligne pour distribuer des logiciels malveillants sans même avoir besoin d’une quelconque interaction de la part de la proie.
Pendant que l’utilisateur navigue sur le web, une publicité malvertising peut le rediriger vers le serveur d’un criminel sans même qu’il ne clique dessus. Ce serveur collecte ensuite des données sur l’ordinateur de la cible et sa localisation afin de choisir le malware le plus adapté…
Les différents types de ransomware
Il existe plusieurs types de ransomware. Mais on en dénombre trois grandes catégories.
Les « scareware » consistent à exploiter la peur de la victime. Par exemple, il s’agit d’une fenêtre pop-up qui annonce qu’un malware a été découvert sur l’ordinateur et que le seul moyen de s’en débarrasser est de payer une rançon.
En réalité, le système n’a pas été compromis. Les fichiers ne risquent pas d’être endommagés et l’accès à l’ordinateur n’est pas verrouillé. Si l’utilisateur ne paie pas, il peut tout simplement être assailli par des pop-ups.
En revanche, un ransomware de verrouillage d’écran peut paralyser complètement un ordinateur. Dès que l’ordinateur a été allumé, une fenêtre s’ouvre en plein écran. Un message annonce que l’ordinateur a été verrouillé et qu’une rançon doit être payée.
Enfin, le ransomware de cryptage permet de crypter tous les fichiers stockés sur l’ordinateur. Pour désactiver ce cryptage, la victime doit payer une rançon. Il s’agit de la catégorie la plus dangereuse de ransomware, car aucun logiciel de sécurité ne permet de récupérer les fichiers cryptés.
Même si le système a été restauré, les fichiers seront perdus à jamais. La seule solution semble alors être de payer la rançon demandée. Or, même si vous coopérez de cette manière, rien ne garantit que les criminels désactivés ont effectivement le cryptage…
Les ransomwares les plus connus
Il existe des milliers de souches de ransomwares différentes. Voici quelques-uns des plus connus.
WannaCry
Le rançongiciel WannaCry exploite une vulnérabilité du protocole SMV de Windows. Son mécanisme d’auto-propagation lui permet d’infecter d’autres machines.
Ce malware est empaqueté comme un » dropper « : un programme auto-contenu capable d’extraire l’application de chiffrement et de déchiffrement, les fichiers contenant les clés de chiffrement, et le programme de communication Tor.
Bien qu’il soit relativement facile à détecter et à supprimer, WannaCry s’est rapidement propagé dans 150 pays en 2017. Il a infecté plus de 230 000 ordinateurs en quelques mois, pour un total de 4 milliards de dollars de dégâts.
Cerber
La particularité de Cerber est qu’il s’agit d’un » ransomware en tant que service » (RaaS). Via les forums et marchés du Dark Web, il est mis à disposition des cybercriminels qui peuvent ainsi facilement mener des attaques. Ils partagent ensuite leurs gains avec le développeur du malware.
Cerber s’exécute en toute discrétion tandis qu’il chiffre les fichiers, ce qui peut empêcher les antivirus et les fonctionnalités de sécurité de Windows de fonctionner. Par conséquent, les utilisateurs ne sont pas en mesure de restaurer le système. Lorsque les fichiers sont chiffrés, une note de rançon apparaît sur le fond d’écran du bureau de la victime.
Locky
Le ransomware Locky est capable de chiffrer 160 types de fichiers différents. Il peut notamment crypter les fichiers utilisés par les designers, les ingénieurs et les testeurs.
Ce rançongiciel fut découvert pour la première fois en 2016, principalement distribué par des kits d’exploitation ou des techniques de phishing. Les cybercriminels envoyaient des emails encourageant l’utilisateur à ouvrir un fichier Excel ou Microsoft Office Word, ou encore un fichier ZIP installant le logiciel dès son extraction.
Cryptolocker
Lancé en 2017, Cryptolocker a contaminé plus de 500 000 ordinateurs. Son principal mode d’infection passe par les emails, les sites de partage de fichiers ou encore les téléchargements non protégés.
Ce malware ne chiffre que les fichiers sur une machine locale, mais peut aussi s’attaquer aux fichiers stockés sur un disque dur externe. De nouvelles variantes sont en mesure de contourner les antivirus et les firewalls.
Petya et NotPetya
Lorsque le ransomware Petya infecte une machine, il chiffre le disque dur dans son intégralité en accédant au Master File Table (MFT). Le disque dur devient dès lors totalement inaccessible, même si les fichiers eux-mêmes ne sont pas chiffrés.
Découvert en 2016, Petya s’est principalement propagé via une fausse candidature à une offre d’emploi. Un lien menait à un fichier infecté stocké sur Dropbox. Seuls les ordinateurs Windows ont été affectés.
Pour fonctionner, Petya requiert la permission de la victime pour effectuer des changements en tant qu’administrateur. Dès que l’utilisateur donne son feu vert, le virus redémarre l’ordinateur et présente un faux écran de crash du système. En réalité, il chiffre le disque dur. Une note de rançon apparaît ensuite.
Le Petya originel n’a pas contaminé énormément de systèmes. En revanche, une nouvelle variante appelée NotPetya s’est révélée bien plus dangereuse. Grâce à un mécanisme de propagation, elle était capable de se répandre sans intervention humaine.
NotPetya s’est d’abord propagé en utilisant une porte dérobée dans un logiciel de comptabilité très utilisé en Ukraine. Il a ensuite exploité les vulnérabilités EternalBlue et EternalRomance du protocole Windows SMB.
En plus de chiffrer le MFT, NotPetya s’attaquait aussi aux autres fichiers du disque dur. De plus, les données chiffrées ne peuvent en réalité pas être restaurées. Même si la victime paye la rançon, elle ne peut récupérer ses données.
Ryuk
Le malware Ryuk infecte les machines par le biais d’emails de phishing et de téléchargements. Il utilise un » dropper » lui permettant d’extraire un Cheval de Troie sur la machine de sa proie, et établit une connexion réseau.
Le cybercriminel à l’origine de l’attaque peut alors utiliser Ryuk pour lancer ce qu’on appelle une » Advancer Persistent Threat » (APT) : une menace avancée persistante. Il installe des outils supplémentaires tels qu’un keylogger, afin de gagner des privilèges et de manipuler la machine. Le malware s’installe aussi sur tous les autres systèmes auquel l’attaquant obtient l’accès.
Lorsque le criminel a installé ses Chevaux de Troie sur autant de machines que possible, il active le ransomware et chiffre les fichiers. Ainsi, le cryptage ne survient qu’à la fin du processus d’attaque. C’est une particularité qui rend cette menace redoutable, car l’attaquant à déjà endommagé le système et volé les fichiers.
GrandCrab
Apparu en 2018, GrandCrab chiffre les fichiers sur la machine de sa victime et demande une rançon. Il a été utilisé pour lancer des attaques par chantage, menaçant la victime de révéler ses préférences en matière de pornographie.
Toutes les différentes versions de ce malware s’attaquent aux machines Windows. Fort heureusement, il existe aujourd’hui des déchiffreurs gratuits pour la plupart des variantes de ce ransomware embarrassant.
Les ransomwares sur Mac
Traditionnellement, les Mac d’Apple ont la réputation d’être mieux sécurisés que les PC Windows. Toutefois, en 2016, un premier ransomware pour Mac fut déployé : KeRanger.
Ce logiciel s’est propagé par le biais d’une application infectée dénommée » Transmission « . Dès que cette appli était lancée, les fichiers malveillants qu’elle contenait tournaient silencieusement en arrière-plan pendant trois jours. Après ce délai, ils s’activaient pour chiffrer les fichiers.
Apple a rapidement neutralisé la menace par une mise à jour de son programme anti-malware XProtect. Cette nouvelle version empêchait le rançongiciel d’infecter le système. Malheureusement, rien ne garantit qu’un autre ransomware pour Mac ne verra pas le jour dans le futur.
Les ransomwares sur mobile
Jusqu’en 2014, les malwares étaient l’apanage des ordinateurs. Tout a changé avec l’apparition de CryptoLocker.
Comme sur PC, un message apparaît sur l’écran du smartphone en dénonçant généralement une activité illégale pour exiger le paiement d’une amende. Toutefois, il suffit généralement de redémarrer l’appareil en » safe mode « .
Il ne reste alors qu’à supprimer l’application infectée responsable du ransomware. En effet, c’est généralement par le biais d’applications corrompues que les smartphones sont frappés par des malgiciels.
Quelles sont les cibles des ransomwares ?
Les cybercriminels sévissent dans le monde entier. Toutefois, les pays du monde ne sont pas tous égaux face à cette menace. La plupart des attaques sont focalisées vers les régions occidentales, car les entreprises génèrent des revenus plus importants et dépendent davantage de l’informatique.
Le Royaume-Uni, les États-Unis et le Canada sont les trois pays les plus concernés par ce fléau. Il est néanmoins probable que les attaques au ransomware gagnent de l’ampleur en Asie et en Amérique du Sud à mesure que ces régions se développent…
À l’origine, les cybercriminels utilisaient les ransomwares pour attaquer des particuliers. Toutefois, les entreprises sont des proies plus lucratives et les hackers l’ont vite compris.
En cas de chiffrement de ses données, une entreprise peut perdre des sommes colossales. Elle sera donc plus facilement contrainte de payer la rançon, même si le montant est mirobolant.
En 2016, 12,3% des malwares détectés par des entreprises étaient des ransomwares. Du côté des particuliers, ce type de malware ne représentait sur la même période que 1,8% des attaques détectées. Au total, en 2017, 35% des PME ont subi un assaut au ransomware.
Au second semestre 2018, les attaques au ransomware contre les entreprises ont augmenté de 88%. Les hôpitaux, les agences gouvernementales, les institutions commerciales sont autant de cibles de choix pour les hackers » black hat « .
Différentes variantes de ransomwares sont utilisées contre les entreprises. On peut citer NotPetya, WannaCry, SamSam ou encore GandGrab. Ce dernier est apparu pour la première fois en janvier 2018, mais ne cesse de se renforcer au fil du temps.
Au total, ce rançongiciel aurait déjà rapporté 300 millions de dollars à ses créateurs. Les rançons demandées peuvent aller de 600 dollars à 700 000 dollars.
Il arrive que des villes entières soient prises pour cible. Par exemple, en mars 2018, le ransomware SamSam a paralysé plusieurs services de la ville d’Atlanta : le système d’enregistrement de la police, les impôts… au total, cette attaque a coûté 2,6 millions de dollars à Atlanta.
Comment détecter un ransomware ?
Pour détecter un ransomware, il est possible d’utiliser des systèmes d’alertes et de blocage en temps réel. De tels systèmes permettent d’identifier le comportement d’écriture et de lecture propre aux ransomwares, et d’empêcher les utilisateurs d’accéder aux données.
Il existe aussi des logiciels de détection opérant en implantant des fichiers cachés dans le système de stockage, afin d’identifier les comportements de chiffrement du ransomware dès le début d’une attaque. Toute action visant à écrire sur l’un de ces fichiers cachés ou à le renommer active automatiquement un blocage de l’utilisateur ou du endpoint infecté. Les autres utilisateurs, en revanche, conservent leur accès.
Enfin, le reporting granulaire et l’analyse permettent de vérifier qui a accédé aux fichiers, comment, d’où et pourquoi afin de pouvoir mener l’enquête en cas d’infection.
Chiffres et statistiques sur les ransomwares
Quelques statistiques clés permettent de mieux comprendre la réalité des ransomwares. Ces malwares génèrent des sommes colossales, et le marché s’étend très rapidement depuis le début des années 2010.
En 2017, les rançongiciels ont provoqué 5 milliards de dollars de pertes si l’on prend en compte les rançons payées et la perte de temps entraînée par les attaques. C’est 15 fois plus qu’en 2015. De même, au premier trimestre 2018, le ransomware SamSam à lui seul a permis à ses auteurs de collecter 1 million de dollars.
En termes de cibles, 45% des attaques au ransomware ciblent des organisations du secteur de la santé. De même, 85% des infections malware dans les organisations de santé sont des ransomwares. Le secteur de la finance est lui aussi pris pour cible, et 90% des institutions financières ont été touchées par un tel malware en 2017.
Un logiciel anti-malware ne suffit pas toujours à se protéger, car les ransomwares évoluent constamment. Ainsi, 75% des entreprises frappées par un rançongiciel utilisaient pourtant un logiciel de sécurité mis à jour.
La bonne nouvelle est que les chiffres semblent indiquer que les ransomwares sont en perte de popularité. Alors qu’elles représentaient 60% des attaques de malwares en 2017, elles ont chuté à seulement 5%.
Comment se protéger contre les ransomwares ?
L’infection de logiciels rançonneurs peut être une véritable catastrophe. De fait, il vaut mieux prévenir. Pour se protéger, il existe plusieurs précautions.
Tout d’abord, il faut privilégier un logiciel de protection en temps réel. Ce dernier permet de détecter les logiciels malveillants. Certaines solutions protègent également les programmes informatiques des menaces ou empêchent les ransomwares de prendre vos fichiers en otage.
En outre, il est important de créer des backups de vos données.. Vous pouvez par exemple les stocker dans le cloud, afin de bénéficier de fonctions de sécurité. Notamment un cryptage de haut niveau ou une authentification multifactorielle.
Une autre solution consiste à sauvegarder vos données sur un disque dur externe ou une clé USB. Si vous choisissez cette option, veillez à déconnecter ces périphériques de votre ordinateur après avoir effectué la copie des données. Veillez également à mettre à jour votre système d’exploitation et les logiciels que vous utilisez. Dès qu’une mise à jour est disponible, vous devez la télécharger et l’installer.
Enfin, gardez un œil sur les dernières actualités en matière de cybersécurité et de ransomware. Si un nouveau logiciel malveillant émerge et se propage, vous devez en être informé afin de pouvoir prendre les mesures nécessaires.
Que faire en cas d’infection par un ransomware ?
Si vous êtes infecté par un ransomware, ne payez pas la rançon. Si vous cédez, vous donnez un feu vert aux cybercriminels qui continueront leur activité illégale.
Dans un premier temps, vous pouvez tenter de récupérer vos fichiers chiffrés à l’aide d’un logiciel gratuit. Toutefois, chaque ransomware utilise son propre algorithme de chiffrement. En utilisant le mauvais » decryptor « , vous risquez de chiffrer encore davantage les données. Il est donc préférable de faire appel à un spécialiste.
Un logiciel antivirus ne permet généralement pas de récupérer les fichiers chiffrés, mais permet de supprimer le ransomware de votre système. En outre, si le malware fait partie de la famille des » screenlocking « , une restauration du système peut suffire à s’en débarrasser.
Vous pouvez aussi lancer un scan à partir d’un CD ou d’une clé USB. Si votre ordinateur ralentit soudainement et sans raison apparente, vous êtes peut-être en train de subir une attaque. Éteignez le PC et déconnectez-le d’internet. Ceci peut empêcher le malware de recevoir ou de transmettre des informations vers le serveur du hacker.
Les coûts engendrés par une attaque de ransomware
Le coût immédiat associé à une attaque par ransomware est évidemment la demande de rançon. Celle-ci peut dépendre du type de ransomware ou de la taille de l’organisation.
Or, il est de plus en plus fréquent que les gangs de pirates exigent des millions de dollars pour rétablir l’accès au réseau. La principale raison de cette demande tient au fait que de nombreuses organisations sont prêtes à payer.
En fait, si le blocage du système par un ransomware empêche l’entreprise d’exercer son activité, elle peut perdre des revenus importants pour chaque heure où le réseau est indisponible. Les pertes peuvent rapidement se chiffrer en millions.
Si l’entreprise choisit de ne pas payer la rançon, elle perd des revenus pendant une période qui peut durer des semaines. En outre, elle risque de payer une somme importante pour qu’une société de sécurité vienne rétablir l’accès au réseau. Dans certains cas, le coût de cette intervention peut même être supérieur à celui de la demande de rançon.
Peu importe comment une organisation gère une attaque par ransomware, celle-ci aura également un impact financier à l’avenir. Pour éviter d’être à nouveau victime, elle doit investir dans son infrastructure de sécurité.
Le futur des Ransomwares
Dans les années à venir, on peut s’attendre à ce que les attaques au Ransomware se multiplient sur les infrastructures publiques. Pour cause, alors même que les institutions détiennent des sommes colossales, elles utilisent très souvent des technologies de cybersécurité obsolète. L’administration française constitue un bel exemple de ce phénomène.
De plus, la technologie des ransomwares va continuer à évoluer et à se perfectionner. Les cibles du secteur public seront donc encore plus menacées. Les attaques devraient donc coûter encore plus cher à ces victimes, notamment dans le domaine de la santé.
Les petites entreprises utilisant des logiciels de sécurité obsolètes, elles aussi, pourraient devenir des cibles privilégiées. Les PME utilisent de plus en plus d’appareils IoT, et la surface d’attaque s’élargit donc pour les cybercriminels.
Dans la même logique, l’essor des objets connectés auprès du grand public pourrait attirer l’attention des hackers. La » maison connectée « représente elle aussi une proie facile.
Les smartphones et autres appareils mobiles se démocratisent eux aussi. En conséquence, les attaques au ransomware basées sur l’ingénierie sociale pourraient également s’intensifier.
Les méthodes comme le phishing, le baiting ou le piggybacking exploitant la psychologie humaine ont de beaux jours devant elles. Selon une étude menée par IBM, les utilisateurs sont trois fois plus enclins à tomber dans le piège d’une attaque de phishing sur mobile que sur PC. Ceci serait lié au fait que les smartphones sont de plus en plus utilisés, mais aussi qu’il est plus probable d’ouvrir un lien par accident sur mobile que sur PC.
Une autre tendance émergente dans le domaine des ransomwares est la réutilisation des codes. Par exemple, les rançongiciels Ryuk et Hermès présentent un code très similaire. Le code de Ryuk a été copié à partir de celui d’Hermes par des hackers d’un autre pays.
La révolution de l’informatique quantique pourrait elle aussi avoir de graves conséquences. À cause de cette nouvelle technologie, les méthodes de chiffrement traditionnelles vont devenir obsolètes. Les cybercriminels pourraient bien en profiter pour concevoir de nouveaux malwares, et notamment des ransomwares.
- Partager l'article :