- Un logiciel malveillant connu sous le nom de « rançongiciel » (ransomware) chiffre les données de la victime, puis exige une « rançon », ou un paiement, pour déverrouiller les fichiers et le réseau.
- Une attaque par rançongiciel est une forme d'attaque par logiciel malveillant dans laquelle un attaquant s'empare des données, des dossiers ou de l'ensemble de l'appareil de l'utilisateur jusqu'à ce qu'une « rançon » soit payée.
- Une attaque par rançongiciel se déroule généralement en 5 étapes.
Ransomware est un type de logiciel malveillant qui chiffre les données de la victime, l'attaquant exigeant une « rançon », ou un paiement, pour restaurer l'accès aux fichiers et au réseau. En général, la victime reçoit une clé de déchiffrement une fois le paiement effectué pour restaurer l'accès à ses fichiers. Si la rançon n'est pas payée, l'acteur malveillant publie les données sur des sites de fuite de données (DLS) ou bloque l'accès aux fichiers de manière permanente.
Les rançongiciels sont devenus l'un des types de logiciels malveillants les plus répandus, ciblant une grande variété de secteurs, notamment les secteurs gouvernemental, éducatif, financier et de la santé, avec des millions de dollars extorqués dans le monde entier chaque année.
Qu'est-ce qu'une attaque par rançongiciel ?
Une attaque par rançongiciel est un type d'attaque par logiciel malveillant où l'attaquant chiffre et conserve les fichiers, dossiers ou l'ensemble de l'appareil de l'utilisateur jusqu'à ce qu'il reçoive le paiement de la rançon. Une attaque par rançongiciel utilise des attaques de hameçonnage ou des sites web malveillants pour infecter un ordinateur ou un réseau afin de tirer parti des vulnérabilités de sécurité ouvertes.
Une attaque par rançongiciel compromet l'ordinateur d'un utilisateur en chiffrant les fichiers qui s'y trouvent ou en bloquant l'utilisateur, puis en demandant un paiement (souvent en Bitcoin) pour déverrouiller les fichiers ou restaurer le système.
Ce type d'attaque utilise les vulnérabilités logicielles pour infecter et prendre le contrôle de l'appareil de la victime, en tirant parti des réseaux système et des utilisateurs. Un ordinateur, un smartphone, une technologie portable, un équipement électronique de point de vente (POS) ou tout autre terminal pourrait être l'appareil de la victime.
Un individu, une organisation ou un réseau d'organisations et de processus métier peut être la cible d'une attaque par rançongiciel. Un réseau d'ordinateurs peut être infecté par un logiciel malveillant par l'attaquant via diverses méthodes, notamment des liens ou des pièces jointes provenant d'e-mails d'hameçonnage et de sites web compromis. Les téléchargements furtifs, les clés USB compromises, les fenêtres contextuelles, les médias sociaux, la publicité malveillante, les logiciels compromis, les systèmes de distribution de trafic (TDS), l'auto-propagation et d'autres méthodes sont utilisés pour y parvenir.
Lire aussi: Qu'est-ce que l'open banking ? Un petit guide
Étapes d'une attaque par rançongiciel
Une attaque par rançongiciel se déroule généralement selon les étapes suivantes.
Étape 1: Accès initial
Les vecteurs d'accès les plus courants pour les attaques par rançongiciel restent le hameçonnage et l'exploitation des vulnérabilités.
Étape 2: Post-exploitation
Selon le vecteur d'accès initial, cette deuxième étape peut impliquer un outil d'accès à distance intermédiaire (RAT) ou un logiciel malveillant avant d'établir un accès interactif.
Étape 3: Comprendre et étendre
Au cours de cette troisième étape de l'attaque, les attaquants s'efforcent de comprendre le système local et le domaine auxquels ils ont actuellement accès. Les attaquants cherchent également à accéder à d'autres systèmes et domaines (ce que l'on appelle le déplacement latéral).
Lire aussi: Combien y a-t-il de registres Internet régionaux (RIR) ?
Étape 4: Collecte et exfiltration des données
À ce stade, les opérateurs de rançongiciel se concentrent sur l'identification des données précieuses et leur exfiltration (vol), généralement en téléchargeant ou en exportant une copie pour eux-mêmes. Bien que les attaquants puissent exfiltrer n'importe quelle donnée à laquelle ils peuvent accéder, ils se concentrent généralement sur les données particulièrement précieuses — identifiants de connexion, informations personnelles des clients, propriété intellectuelle — qu'ils peuvent utiliser pour une double extorsion.
Étape 5: Déploiement et envoi de la note
Le crypto-rançongiciel commence à identifier et à chiffrer les fichiers. Certains crypto-rançongiciels désactivent également les fonctionnalités de restauration du système ou suppriment ou chiffrent les sauvegardes sur l'ordinateur ou le réseau de la victime pour augmenter la pression et la forcer à payer la clé de déchiffrement. Les rançongiciels non chiffrants bloquent l'écran de l'appareil, inondent l'appareil de fenêtres contextuelles ou empêchent autrement la victime d'utiliser l'appareil.
Une fois les fichiers chiffrés ou l'appareil désactivé, le rançongiciel alerte la victime de l'infection. Cette notification se fait souvent via un fichier.txt déposé sur le bureau de l'ordinateur ou via une fenêtre contextuelle. La note de rançon contient des instructions sur la manière de payer la rançon, généralement en cryptomonnaie ou par une méthode également intraçable. Le paiement est échangé contre une clé de déchiffrement ou la restauration des opérations normales.
Une attaque par rançongiciel est une attaque malveillante dangereuse qui verrouille l'ordinateur de l'utilisateur en chiffrant les données à l'aide de diverses techniques de chiffrement et exige une rançon pour restaurer les fichiers chiffrés ou l'ordinateur.

