Qu'est-ce qu'un ransomware ?

Un ransomware est un type de logiciel malveillant qui chiffre les fichiers enregistrés sur les terminaux des utilisateurs ou les terminaux de stockage du réseau. Pour recouvrer l'accès aux fichiers chiffrés, la victime de l'attaque doit verser une « rançon » au cybercriminel. La transaction repose généralement sur un mode de paiement électronique difficile à surveiller, comme Bitcoin. Si les experts de la sécurité savent désormais cartographier les flux de trafic correspondant aux transactions Bitcoin, il demeure extrêmement complexe d'identifier le ou les individus détenteurs des comptes Bitcoin.

Comment un ransomware se propage-t-il ?

Les spams reçus via la messagerie électronique représentent le principal vecteur de ransomwares. Ils comportent une URL dans le corps du message ou une pièce jointe qui s'apparente à un fichier ordinaire. Lorsqu'il s'agit d'un fichier, le programme du ransomware s'active à l'ouverture de la pièce jointe et commence à chiffrer les fichiers du terminal en l'espace de quelques secondes. Quant au lien, il dirige l'utilisateur qui clique dessus vers une page Web où le ransomware est transféré vers le terminal de l'utilisateur sans que ce dernier s'en aperçoive. Les sites ou les programmes malveillants s'appuient souvent sur des kits d'exploit, des outils qui décèlent les failles de sécurité dans les applications ou le système d'exploitation des terminaux aux fins d'infiltrer le ransomware et de l'activer. Les cybercriminels peuvent également tirer parti de vulnérabilités existantes, à l'instar de l'attaque WannaCry qui a profité d'une faille Windows amplement documentée et connue sous le nom d'EternalBlue.

Des ransomwares toujours plus nombreux

Depuis quelques années, les attaques de ransomware contre les entreprises se multiplient. Le nombre d'offensives de grande ampleur couronnées de succès explose. Selon Cybersecurity Ventures, la facture des ransomwares à l'échelle mondiale devrait se chiffrer à plus de 5 milliards de dollars en 2017, soit 15 fois plus qu'en 20151. Dans le même temps, on recense aujourd'hui trente fois plus de déclinaisons de ransomwares.2

Ransomware Stats

Les répercussions d'une attaque de ransomware sur une entreprise vont bien au-delà du seul coût de la rançon. Les entreprises doivent faire face aux frais générés par la perte de données, la chute de productivité (voire la cessation de toute activité), les enquêtes, la restauration des données et des systèmes, le manque à gagner et l'atteinte à l'image de marque. À titre d'exemple, un géant mondial des produits de santé et de consommation a annoncé une baisse de 2 % de ses prévisions de croissance sur le trimestre en raison de problèmes de facturation et d'expédition des produits provoqués par une attaque du ransomware Petya plus tôt dans l'année.3

Connu comme l'un des premiers ransomwares utilisés à grande échelle, CryptoLocker fait son apparition en 2013 et utilise à l'époque plusieurs méthodes pour se propager, notamment des pièces jointes brouillées dans des e-mails ou une contamination de terminal à terminal. À son activation, il chiffre des fichiers de données spécifiques sur le disque local et les lecteurs réseau. La victime est alors contrainte de verser 400 dollars ou une rançon équivalente en Bitcoin. En l'absence de paiement dans le délai imparti, la clé de déchiffrement est effacée. Sans surprise, le fait de s'acquitter du montant demandé n'offre aucune garantie d'obtenir ladite clé qui, le plus souvent, n'est même jamais fournie. Le botnet Gameover Zeus qui dissémine le ransomware est contré par une collaboration entre les services gouvernementaux, les autorités judiciaires et l'industrie baptisée « opération Tovar ».

Sans surprise, le fait de s'acquitter du montant demandé n'offre aucune garantie d'obtenir ladite clé qui, le plus souvent, n'est même jamais fournie.

Ces ransomwares tristement célèbres

CryptoWall est un descendant de CryptoLocker avec le même mode opératoire. L'attaque la plus importante a lieu en Australie fin 2014. Des e-mails de hameçonnage contenant des liens malveillants sont envoyés sous l'apparence de messages transmis par les administrations4. Pour éviter d'être bloqués par les produits de sécurité, les auteurs de l'attaque se servent d'un formulaire Captcha qui déclenche le téléchargement du logiciel malveillant.

Locky se manifeste pour la première fois début 2016. Les e-mails constituent son vecteur de prédilection où il prend la forme d'une pièce jointe de type facture. Lorsque l'utilisateur ouvre le fichier Word ou Excel, il est invité à activer les macros incorporées pour consulter le document. Ce faisant, il lance l'exécution d'un programme qui télécharge le véritable ransomware. Les fichiers stockés sur les disques locaux et sur le réseau sont chiffrés et renommés avec une extension .locky. Pour les débloquer, la victime doit se rendre sur un site Web et télécharger un navigateur lui permettant d'accéder au site Web de paiement du cybercriminel. Le montant de la rançon se chiffre généralement entre 0,5 et 1 Bitcoin. Locky est le premier ransomware à attirer l'attention des médias et du grand public. Son attaque sur un hôpital américain dont il chiffre les dossiers des patients marque les esprits.5

WannaCry fait la une en mai 2017 avec le chiffre alarmant de plus de 400 000 ordinateurs infectés autour du globe6. Le logiciel malveillant n'épargne ni le secteur public ni le secteur privé. Au rang des victimes figurent le système de la santé publique du Royaume-Uni (le NHS), une entreprise espagnole de télécommunications et une grande banque allemande. L'attaque est heureusement neutralisée en l'espace de quelques jours grâce à la découverte d'une faille dans le programme malveillant par un expert de la sécurité. WannaCry exploite une vulnérabilité connue dans le système d'exploitation Windows (EternalBlue) et pénètre les systèmes des entreprises qui n'ont pas installé le correctif en dépit de sa disponibilité depuis plusieurs mois.

WannaCry fait la une en mai 2017 avec le chiffre alarmant de plus de 400 000 ordinateurs infectés autour du globe.

Variante de Petya, le ransomware NotPetya émerge en Ukraine en juin 2017 et empreinte le chemin tracé par WannaCry. Dissimulé dans un fichier PDF joint à un e-mail, le logiciel malveillant se propage en employant la même vulnérabilité que WannaCry, à savoir EternalBlue. Là encore, des structures du secteur public et du secteur privé sont touchées sans distinction à travers le monde entier, parmi lesquelles on compte un géant pharmaceutique américain, un cabinet juridique international et la plus grande agence publicitaire britannique. Contrairement à d'autres ransomwares, Petya infecte la table de fichiers maîtres de l'ordinateur. Il existe une théorie selon laquelle cette attaque serait davantage motivée par la volonté de perturber le fonctionnement des activités en Ukraine que par l'appât du gain.7

La nécessité de fermer la porte aux ransomwares dans votre entreprise

Formez tous les maillons de la chaîne. La majeure partie des ransomwares ont besoin de l'intervention d'un utilisateur pour activer leur charge utile. Il est donc fondamental de former le personnel à reconnaître ces cyberattaques et à s'en prémunir. La plupart des offensives reposent sur des e-mails et des techniques d'ingénierie sociale qui dupent les salariés en les amenant à télécharger le logiciel malveillant ou à divulguer leur nom d'utilisateur et leur mot de passe. Les efforts de formation doivent donc être axés sur ces vecteurs d'attaque fréquents. À cet effet, certains exercices peuvent se révéler efficaces, comme l'envoi de faux e-mails de hameçonnage pour apprendre aux utilisateurs à différencier le message authentique d'un fournisseur d'une tentative de hameçonnage où l'e-mail comporte l'incitation « Facture en pièce jointe, merci de la consulter » en ligne d'objet.

Déployez les correctifs SYSTÉMATIQUEMENT. Comme l'ont montré les récentes attaques WannaCry et Petya, le moindre écart dans l'application des correctifs peut coûter cher à l'entreprise. Une approche rigoureuse doit être mise en place, en particulier lorsqu'il s'agit de failles de sécurité connues. Aujourd'hui, plusieurs mois après l'exploitation de la vulnérabilité EternalBlue par ces deux logiciels malveillants, on estime qu'il reste quelque 38 millions d'ordinateurs non protégés par le correctif8. Pour les cybercriminels, il est relativement aisé d'identifier les terminaux et les logiciels sans correctif sur le réseau d'une entreprise, puis d'en tirer parti.

On estime qu'au moins 38 millions d'ordinateurs ne sont pas protégés par des correctifs.

Sauvegardez vos données et sauvegardez votre sauvegarde. Si cette démarche peut sembler naturelle pour certains, ceux qui ne l'appliquent pas encore doivent savoir que les ransomwares peuvent chiffrer les sauvegardes stockées sur les serveurs du réseau. Une révision de l'approche appliquée par l'entreprise en matière de sauvegardes est donc nécessaire. Le personnel sauvegarde-t-il des fichiers importants sur un lecteur réseau ? Les sauvegardes de ces terminaux et des serveurs de fichiers sont-elles sauvegardées à leur tour dans le cloud ? Testez-vous la restauration de ces sauvegardes ? En procédant de la sorte, vous êtes en mesure de restaurer rapidement vos sauvegardes en limitant les répercussions sur votre activité dans l'éventualité où un ransomware chiffrerait toutes vos sauvegardes locales.

Face à ces menaces en constante évolution, il n'est guère recommandé de se reposer sur une défense unique.

Dressez des obstacles pour contrer les cybercriminels. Érigez plusieurs remparts de défense. Les cybercriminels consacrent des sommes et un temps considérables au développement de leurs logiciels malveillants afin de créer des versions avancées toujours plus complexes et capables de franchir les protections de l'entreprise. Face à ces menaces en constante évolution, il n'est guère recommandé de se reposer sur une défense unique. Les niveaux de sécurité supplémentaires sont autant de barrages pour endiguer une attaque. De quelles protections votre entreprise dispose-t-elle à l'heure actuelle ? Possédez-vous différentes solutions de sécurité pour réduire les risques à tous les stades d'une attaque ? Votre défense comporte-t-elle des failles que des cybercriminels pourraient exploiter ?


1 http://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/
2 https://www.proofpoint.com/sites/default/files/q4_threat-summary-final-cm-16217.pdf
3 http://www.zdnet.com/article/petya-ransomware-companies-count-the-cost-of-massive-cyber-attack/
4 https://www.communications.gov.au/what-we-do/internet/stay-smart-online/alert-service/fake-auspost-phishing-emails-lead-ransomware
5 http://www.bbc.com/news/technology-35880610
6 https://blog.barkly.com/wannacry-ransomware-statistics-2017
7 https://www.theverge.com/2017/6/28/15888632/petya-goldeneye-ransomware-cyberattack-ukraine-russia
8 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
9 https://securelist.com/kaspersky-security-bulletin-2016-story-of-the-year/76757/
10FBI, juin 2016, https://www.justice.gov/criminal-ccips/file/872771/download
11PhishMe Q3 2016 Review
12https://securelist.com/it-threat-evolution-q1-2017-statistics/78475/13https://blog.barkly.com/ransomware-statistics-2017