- Un ransomware est un type de virus informatique, également appelé logiciel malveillant ou malware, qui verrouille votre ordinateur et envoie une alerte exigeant un paiement pour la restitution de vos données.
- Une attaque par ransomware se déroule généralement en trois étapes principales: vecteurs d'infection et de distribution, chiffrement des données et demande de rançon.
- Cependant, différents ransomwares peuvent inclure des implémentations différentes ou des étapes supplémentaires.
La cybercriminalité est en hausse depuis des années et ne montre aucun signe de ralentissement. Alors que les cyberattaques visaient autrefois les grandes entreprises, désormais tout le monde – des propriétaires de petites entreprises aux employés des administrations locales en passant par les particuliers – doit être sur ses gardes.
L'un des types de cyberattaque les plus courants est le ransomware. Un ransomware peut verrouiller les données de votre ordinateur et les retenir en otage jusqu'à ce que vous payiez une rançon à l'attaquant. Ces attaques peuvent être dévastatrices si vous n'êtes pas correctement préparé.
Qu'est-ce qu'un ransomware ?
Un ransomware est un type de logiciel malveillant qui chiffre de manière réversible les fichiers de votre ordinateur. Alors que de nombreux particuliers et entreprises chiffrent régulièrement leurs fichiers pour des raisons de sécurité, le ransomware est problématique car c'est l'attaquant, et non le propriétaire de l'ordinateur, qui détient la clé de déchiffrement. Cela signifie que les utilisateurs ne peuvent pas accéder à leurs fichiers tant que le pirate ne les a pas déchiffrés.
Dans une attaque typique par ransomware, le pirate propose de déchiffrer vos fichiers contre paiement. C'est la rançon de l'attaque, et elle peut aller de quelques centaines de dollars pour un particulier à des millions pour une grande entreprise.
Certains ransomwares suppriment vos fichiers après un certain temps prédéterminé, ce qui exerce une pression sur les victimes pour qu'elles paient rapidement. Dans d'autres attaques, l'attaquant vole également des copies de vos données et menace de les divulguer si vous refusez de payer. Ce type d'attaque peut être particulièrement problématique pour les grandes entreprises et les agences gouvernementales qui stockent des données sensibles.
À lire aussi: Combien de registres Internet régionaux (RIR) existe-t-il ?
Comment fonctionne une attaque par ransomware ?
Pour réussir, un ransomware doit accéder au système cible, chiffrer les fichiers qui s'y trouvent et exiger une rançon de la victime.
Bien que les détails de mise en œuvre varient d'une variante de ransomware à l'autre, toutes partagent les trois mêmes étapes fondamentales.
1. Vecteurs d'infection et de distribution
Comme tout logiciel malveillant, un ransomware peut accéder aux systèmes d'une organisation de différentes manières. Cependant, les opérateurs de ransomware ont tendance à privilégier quelques vecteurs d'infection spécifiques.
Hameçonnage (phishing): Il s'agit du type d'ingénierie sociale le plus répandu, et il reste le principal vecteur d'attaque pour tous les types de logiciels malveillants. Les attaquants insèrent des liens et des pièces jointes malveillants dans des courriels d'apparence légitime pour inciter les utilisateurs à installer involontairement des logiciels malveillants. Le smishing, le vishing, le spear phishing et les attaques de type « point d'eau » sont autant de formes d'hameçonnage et d'escroqueries par ingénierie sociale que les attaquants utilisent pour tromper les gens et les amener à installer des logiciels malveillants.
RDP et abus d'identifiants: Cela implique l'utilisation d'attaques par force brute ou par bourrage d'identifiants, ou l'achat d'identifiants sur le dark web, pour se connecter aux systèmes en tant qu'utilisateurs légitimes, puis infecter le réseau avec des logiciels malveillants. Le RDP, l'un des protocoles favoris des attaquants, permet aux administrateurs d'accéder aux serveurs et aux postes de travail depuis pratiquement n'importe où et aux utilisateurs d'accéder à distance à leur bureau. Cependant, les implémentations RDP mal sécurisées constituent un point d'entrée courant pour les ransomwares.
Vulnérabilités logicielles: Elles sont également une cible fréquente pour les infections par ransomware. Les attaquants infiltrent les systèmes des victimes en exploitant des logiciels non corrigés ou obsolètes. L'un des plus grands incidents de ransomware de l'histoire, WannaCry, est lié à l'exploit EternalBlue, une vulnérabilité dans les versions non corrigées du protocole Windows Server Message Block (SMB).
À lire aussi: Que comprendre des adresses IPv6 d'APNIC ?
2. Chiffrement des données
Une fois que le ransomware a accédé à un système, il peut commencer à chiffrer ses fichiers. La fonctionnalité de chiffrement étant intégrée au système d'exploitation, cela consiste simplement à accéder aux fichiers, à les chiffrer avec une clé contrôlée par l'attaquant et à remplacer les originaux par les versions chiffrées. La plupart des variantes de ransomware sont prudentes dans le choix des fichiers à chiffrer afin de garantir la stabilité du système.
Certaines variantes prennent également des mesures pour supprimer les copies de sauvegarde et les clichés instantanés des fichiers afin de rendre la récupération sans la clé de déchiffrement plus difficile.
3. Demande de rançon
Une fois le chiffrement des fichiers terminé, le ransomware est prêt à formuler une demande de rançon. Les différentes variantes de ransomware mettent en œuvre cela de nombreuses manières, mais il n'est pas rare que l'arrière-plan du bureau soit remplacé par une note de rançon ou que des fichiers texte contenant la note de rançon soient placés dans chaque répertoire chiffré. En général, ces notes exigent un montant déterminé de cryptomonnaie en échange de l'accès aux fichiers de la victime.
Si la rançon est payée, l'opérateur du ransomware fournit soit une copie de la clé privée utilisée pour protéger la clé de chiffrement symétrique, soit une copie de la clé symétrique elle-même. Ces informations peuvent être saisies dans un programme de déchiffrement (également fourni par le cybercriminel) qui peut être utilisé pour inverser le chiffrement et rétablir l'accès aux fichiers de l'utilisateur.
Bien que ces trois étapes fondamentales existent dans toutes les variantes de ransomware, différents ransomwares peuvent inclure des implémentations différentes ou des étapes supplémentaires. Par exemple, des variantes comme Maze effectuent une analyse des fichiers, des informations de registre et un vol de données avant le chiffrement, et le ransomware WannaCry recherche d'autres appareils vulnérables à infecter et à chiffrer.