Qu'est-ce qu'un ransomware ?
Un ransomware est un type de logiciel malveillant qui menace de publier ou de bloquer l’accès à des données ou à un système informatique, généralement en les cryptant jusqu’à ce que la victime paie une rançon à l’attaquant. Dans de nombreux cas, la demande de rançon est assortie d’une limite de temps. Si la victime ne paie pas à temps, les données disparaissent à jamais ou la rançon augmente. Le ransomware est un logiciel malveillant, parfois appelé à tort “virus”, ou à juste titre s’il se duplique et se propage tout seul, dont le but final est de soutirer de l’argent à sa victime. L’infection se produit par le téléchargement d’un logiciel malveillant, parfois caché dans la pièce jointe d’un courriel piégé ou au bout d’un lien. Elle peut également se propager par le biais de pages web piratées qui tentent d’exploiter les vulnérabilités des systèmes ou des logiciels informatiques.
Comment se manifeste le Ransomware?
Vecteurs d’infection et de distribution
Les ransomwares, comme tous les logiciels malveillants, peuvent s’introduire dans les systèmes d’une entreprise de différentes manières. Cependant, les opérateurs de ransomware ont tendance à privilégier quelques vecteurs d’infection spécifiques. Courriels de phishing : un courriel malveillant peut contenir un lien vers un site Web hébergeant un téléchargement malveillant ou une pièce jointe comprenant une fonctionnalité de téléchargement. Si le destinataire de l’e-mail tombe dans le piège, le ransomware est téléchargé et exécuté sur son ordinateur. Un autre vecteur d’infection courant pour les ransomwares exploite des services tels que le protocole Remote Desktop. Avec RDP, un attaquant qui a volé ou deviné les informations de connexion d’un employé peut les utiliser pour s’authentifier et obtenir un accès à distance à un ordinateur du réseau de l’entreprise. Grâce à cet accès, l’attaquant peut directement télécharger des logiciels malveillants et les exécuter sur la machine qu’il contrôle.
Cryptage des données
Une fois que le ransomware a obtenu l’accès à un système, il peut commencer à crypter ses fichiers. La fonctionnalité de cryptage étant intégrée au système d’exploitation, il s’agit simplement d’accéder aux fichiers, de les crypter avec une clé contrôlée par l’attaquant et de remplacer les originaux par les versions cryptées. La plupart des variantes de ransomware sélectionnent soigneusement les fichiers à crypter pour garantir la stabilité du système. Certaines variantes prennent également des mesures pour supprimer les copies de sauvegarde et les copies d’ombre des fichiers afin de rendre plus difficile leur récupération sans la clé de déchiffrement.
Demande de rançon
Une fois le cryptage des fichiers terminé, le ransomware est prêt à demander une rançon. Les différentes variantes du ransomware mettent en œuvre cette demande de différentes manières, mais il n’est pas rare que le fond d’écran soit remplacé par une note de rançon ou que des fichiers texte contenant la demande de rançon soient placés dans chaque répertoire crypté. En général, ces notes exigent un montant fixe de crypto-monnaie en échange de l’accès aux fichiers de la victime. Si la rançon est payée, l’opérateur du ransomware fournit soit une copie de la clé privée utilisée pour protéger la clé de chiffrement symétrique, soit une copie de la clé de chiffrement symétrique elle-même. Ces informations peuvent être saisies dans un programme de décryptage (également fourni par le cybercriminel) qui peut les utiliser pour annuler le cryptage et rétablir l’accès aux fichiers de l’utilisateur.
Bien que ces trois étapes essentielles existent dans toutes les variantes de ransomware, chaque ransomware peut inclure différentes implémentations ou étapes supplémentaires. Par exemple, des variantes de ransomware comme Maze effectuent une analyse des fichiers, des informations de registre et un vol de données avant de crypter les données, et le ransomware WannaCry recherche d’autres appareils vulnérables à infecter et à crypter.
Comment prévenir les ransomwares?
Sauvegardez vos fichiers
Ce conseil est valable pour les ransomwares mais aussi pour les ordinateurs en général. Les disques durs ou autres systèmes de mémoire ne sont pas infaillibles, il est donc conseillé d’avoir ses données importantes (photos, documents, etc.) toujours dupliquées à deux endroits différents. Idéalement, la sauvegarde doit être effectuée régulièrement sur un support qui n’est lié qu’à l’appareil à sauvegarder lors de la copie des fichiers (clé USB, disque dur externe, sauvegarde en ligne, etc.). En effet, les ransomwares peuvent également se propager sur les supports de stockage connectés à l’appareil infecté.
Mettez à jour votre système et vos logiciels
Les ransomwares, ou plus généralement les logiciels malveillants, se propagent en utilisant les vulnérabilités des logiciels ou des systèmes comme passerelle. C’est ce qui a permis aux pirates de mener la cyberattaque WannaCrypt. Maintenez vos systèmes Windows, Linux, Mac, Android, iOS ou autres à jour et vérifiez régulièrement que vous utilisez la dernière version de vos logiciels préférés, notamment les navigateurs. Enfin, certains systèmes d’exploitation ou logiciels ne sont plus pris en charge et ne reçoivent plus de mises à jour de sécurité.
Plus de details suivront dans le prochain article