Comment identifier et prévenir les attaques rançongicielles

Ransomware Up Close: The Stages of an Attack

C’est en 2021 que les ransomwares, aussi connus sous le nom de rançongiciels, sont à leur apogée. Les experts en sécurité alertent sur cette montée en puissance des rançongiciels, décrivant notre ère comme la plus sombre en la matière. 

Désormais plus élaborées et compliquées à détecter, les attaques ransomwares gagnent du terrain, faisant trembler même les plus grandes organisations. Les pirates redoublent d’inventivité et exploitent des systèmes rentables de ransomware-as-a-service, dans cet article, nous allons vous familiariser avec ce mode opératoire pour être armé face à ce phénomène.

Les rançongiciels ou ransomwares font partie de la catégorie des logiciels malveillants, verrouillent votre appareil et de crypter vos fichiers par un mot de passe. Dans la plupart des cas, le rançongiciel affiche un message sur votre écran vous demandant de payer pour que votre système fonctionne à nouveau. L’objectif ? Soutirer de l’argent aux victimes par tous les moyens !

Découvrons comment cette menace a vu le jour et voyons en quoi consiste celle-ci consiste réellement.

L’évolution des attaques ransomwares

Le premier cas avéré en matière de ransomware est le cheval de Troie AIDS de 1989, également connu sous le nom de PS Cyborg. L’auteur de l’attaque se prénommait Joseph L. Popp, un biologiste évolutionniste formé à Harvard.

Popp a envoyé 20 000 disquettes infectées (vous vous en souvenez ?) intitulées AIDS Information – Introductory Diskettes aux délégués de la conférence internationale sur le sida organisée par l’Organisation mondiale de la santé.

Le cheval de Troie crypte les fichiers des victimes de 90 pays différents, juste après avoir réinitialisé leur ordinateur. Se présentant comme un programme de renseignements introductifs sur le Sida, les victimes étaient contraintes à payer la somme de 189 $ à l’entreprise PC Cyborg Corporation, pour recevoir le logiciel décodeur, cette entreprise fictive utilisée une boîte postale au Panama.

Dr. Popp sera finalement extradé au Royaume-Uni après avoir été arrêté par le FBI au domicile de ses parents.

Ceci intervient avant la généralisation des e-mails. Mais avec l’avancée Internet, les cybercriminels réalisent qu’ils ont tout intérêt à revoir leurs méthodes et renforcer leurs rançongiciels.

À l’origine, le ransomware ciblait les ordinateurs personnels. Mais rapidement, les grands groupes sont visés. La raison à cela ? Les entreprises paient davantage pour débloquer des systèmes clés ou pour préserver leur réputation.

Désormais, les ransomwares visent les grands groupes avec des attaques massives telles que WannaCry ou NotPetya qui ont causé d’importants dommages en infiltrant l’ensemble des réseaux de leurs victimes. Mais si ce temps est révolu, les auteurs de ces menaces sont toujours à l’affût de nouveaux moyens de mettre la main sur leur pactole.

Modes opératoires des rançongiciels

La plupart du temps, les attaques rançongicielles passent par ces canaux : 

          • Pièces jointes
          • Messages
          • Pop-ups

Découvrez chacun d’entre eux pour prévenir les attaques ransomware futures.

Pièces-jointes

L’une des méthodes les plus répandues consiste à envoyer un rançongiciel à travers une pièce jointe reçue dans votre boite mail, on parlera de tentative d’hameçonnage ou de mail phishing. Les internautes sont piégés et invités à ouvrir un document ou une pièce jointe sous un ton plus ou moins sérieux. 

Messages

Certaines victimes reçoivent un message sur les réseaux sociaux ou leur application de messagerie contenant un fichier ou un lien. Une fois ouvert, le ransomware accède au réseau et infeste vos appareils.

Pop-ups

Moins fréquemment utilisé, le moyen le plus ancien consistait à afficher un message pop-up aux victimes impliquant le système d’exploitation ou le logiciel utilisé. Une fenêtre apparaît sur l’écran des victimes qui généralement cliquent sur le message pour le faire disparaître sans se douter qu’il s’agit d’un logiciel malveillant.

Les 6 stades d’une attaque ransomware

1. Le stade initial de l’intrusion

Le premier maillon de la chaîne consiste à installer le logiciel sur l’appareil des victimes. Les utilisateurs sont piégés, contraints de télécharger et d’activer un fichier malveillant ou une charge utile par le biais d’un e-mail, un kit d’exploitation ou un drive-by-download. Le logiciel malveillant peut alors déclencher son processus d’infection.

2. L’infection

Une fois installé, le logiciel malveillant lance un fichier .exe ou tout autre fichier d’exécution. La menace copie ensuite le programme malveillant exécutable dans un répertoire local. Une fois que le script est prêt, la charge utile malveillante est exécutée.

Dans cette phase, les cybercriminels établissent des voies d’accès à distance supplémentaires pour accéder à l’environnement de la victime.

3. L’escalade

Une fois dans l’appareil de ses victimes, les pirates multiplient les techniques pour accéder aux fichiers tant convoités.

Parmis ces méthodes, on retrouve :

          • Déplacer des fichiers avant de les dissoudre
          • Supprimer des copies fantômes de fichiers
          • Vérifier la configuration locale, les identifiants, les clés pour accorder divers droits
          • Chercher les  paramètres proxy, les droits d’utilisateurs, d’accessibilité, etc.

Le but étant de compromettre l’appareil des victimes dans son intégrité.

Mais ce n’est pas tout, pour s’assurer que le code demeure dans l’appareil de sa victime, le cybercriminel cherchera à obtenir des portes dérobées ou abuser de solutions d’accès à distance. 

Voici comment :

          • En installant un logiciel de contrôle et de prise en main  à distance
          • En supprimant des copies d’ombre
          • En ayant recours à des outils Web Shells pour exécuter des commandes sur le serveur web des internautes victimes
          • En utilisant des identifiants piratés pour abuser des applications de bureau à distance

4. La reconnaissance interne

À ce stade, les auteurs de l’attaque ransomware procèdent à une inspection complète du système de leur victime pour en tirer le meilleur parti et en vue de prendre tous les fichiers en otage.

Les cybercriminels scannent le réseau et procèdent à l’énumération des répertoires pour y découvrir :

          • Des réseaux internes
          • Des AD DS qui permettent la gestion d’utilisateurs, d’ordinateurs et pour organiser les données en hiérarchies logiques

Lorsque les hackers explorent d’importants réseaux internes, le balayage des résultats peut aller de quelques minutes à plusieurs heures, en fonction du volume de données analysé.

C’est durant cette phase que les experts en sécurité ont la possibilité d’interrompre la Kill Chain des rançongiciels.

5. Le cryptage des fichiers

Avant ce stade, rien n’est véritablement irréversible. Le ransomware ne cherchait jusque-là que des vecteurs d’infections.

Désormais, les cybercriminels ont le contrôle de la situation. Le rançongiciel crypte l’ensemble des fichiers balayés. Il télécharge ensuite des versions cryptées et supprime un à un les fichiers initiaux. Il existe principalement deux types de chiffrement : symétrique et asymétrique.

 Le chiffrement symétrique demande la même clé pour le chiffrement et le déchiffrement, tandis que le chiffrement asymétrique utilise une clé publique pour le chiffrement et une clé privée pour le déchiffrement. Généralement, les ransomwares déploient des attaques à grande échelle ciblant les entreprises pour abuser des politiques et des fichiers du groupe.

Les pirates infiltrent les systèmes et le réseau pour atteindre les identifiants et outils d’exécution à distance. Plus l’organisation est importante, plus les experts en sécurité ont de chances d’arrêter une infection avant que le processus de chiffrement ne soit terminé. Cela est dû à la quantité d’analyses et de chiffrement effectués avant même que les pirates ne puissent demander une rançon.

6. Payday

Une fois le chiffrement complété, la victime reçoit des instructions sur la manière de retrouver ses données. Une pratique courante consiste à afficher une note comprenant des consignes de paiement, généralement des Bitcoins…

Les rançongiciels sont pré-configurés de sorte à augmenter le prix de la rançon progressivement ou qu’il n’entame la suppression des fichiers cryptés.

Les attaques ransomware se sont multipliées avec la généralisation des paiements en crypto-monnaie. La seule chose qu’ils ont à faire est de recevoir leur argent.

Si la victime cède, elle attend d’obtenir un lien pour télécharger une clé ou un programme de décryptage. Mais il n’en sera rien. Certains pirates installent un logiciel malveillant sur le système de l’ordinateur malgré le paiement de leur victime et leurs données seront tout de même divulguées.

Comment prévenir les attaques rançongicielles

Voici quelques bons gestes à adopter pour prévenir les attaques ransomware ou en limiter les conséquences :

          • Vérifiez les pièces jointes, en particulier lorsqu’elles proviennent de liens douteux. Soyez intraitable là-dessus.
          • Maintenez votre système d’exploitation à jour et corrigé. Vous aurez ainsi moins de vulnérabilités que les pirates pourraient exploiter.
          • N’installez pas de logiciels ou d’applications inconnus.
          • Installez un logiciel antivirus. Non seulement il peut détecter les programmes malveillants comme les ransomwares, mais il peut également empêcher le lancement d’applications non autorisées.
          • Utilisez un VPN. Ajoutez un niveau de cryptage à votre connexion et protégez vos informations sensibles.
          • Activez l’authentification à deux facteurs (2FA) pour empêcher tout accès non autorisé à vos comptes.
          • Sauvegardez toujours vos fichiers. Cela n’empêchera pas une attaque de ransomware, mais les dommages causés par celle-ci seront bien moindres.

Avez-vous déjà été victime d’une attaque ransomware ? Si non, que faites-vous pour éviter ce type de menaces ? N’hésitez pas à partager votre expérience en commentaire !

Foire aux questions:

Pourquoi utiliser un VPN contre les ransomwares ?

La plupart des VPN (payants) se contenteront de sécuriser votre trafic en ligne. En protégeant vos connexions, vous protégez vos données par la même occasion. Toutefois, ces derniers ne vous protègent pas à proprement parler des logiciels malveillants. Vous pouvez donc opter pour un VPN et compléter vos sécurité par les logiciels antivirus. À moins de souscrire un abonnement CyberGhost VPN (accès à Privacy Guard, CyberGhost ID Guard, Boxcryptor et même un accès aux serveurs NoSpy) pour une sécurité tout-en-un, en toutes circonstances !

Que faire en cas de tentative d’hameçonnage ?

Le gouvernement a récemment publié une liste des actions recommandées en cas d’attaque ransomware. En voici le résumé.

  1. ️Déconnectez votre appareil d’Internet ou du réseau informatique.
  2. ️En entreprise, alertez votre service IT sur le champ.
  3. ️Ne payez pas la rançon réclamée (comme indiqué plus haut, payer la rançon ne vous garantit rien, si ce n’est la perte de votre argent).
  4. ️Signalez l’attaque aux autorités en leur fournissant toutes les preuves nécessaires.
  5. ️Déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez et n’hésitez pas à vous faire accompagner par une association et organismes compétents.
  6. ️Identifiez si possible la source de l’infection (ouverture d’une pièce jointe, lien malveillant, faille de sécurité, site malveillant ou intrusion dans le système informatique).
  7. ️Procédez à une analyse antivirale complète de votre appareil.
  8. ️Essayez de déchiffrer les fichiers si une solution existe.
  9. ️Réinstallez les systèmes touchés.

Quels sont les réflexes à avoir pour prévenir les attaques rançongicielles ?

Avant toute chose, il est indispensable d’avoir un antivirus à jour. Ensuite, un peu comme avec un étranger qui frappe à votre porte, n’ouvrez et ne téléchargez aucune pièce jointe provenant de sources inconnues sur votre ordinateur. Vérifiez les URLs et lancez aucun programme douteux, y compris sur votre navigateur. Enfin, pensez à mettre votre système à jour et supprimer vos outils obsolètes (y compris vos extensions de navigateur). 
La liste est trop longue ? Obtenez la suite de sécurité CyberGhost ! Vous profitez d’un antivirus et un anti-malware de pointe, d’un  logiciel de mise à jour sécurisé, de Privacy Guard et d’un VPN ! Vous n’êtes pas sur Windows ? Contactez nos équipes support par mail ou en direct via le chat pour vous assister en français 24h/24 et 7j/7 !

Leave a comment

Write a comment

Your email address will not be published. Required fields are marked*