#Ransom – Le rançongiciel ou la plaie de l’année

0
105

Ransom…what ?  Petit rappel tout d’abord ! Un ransomware (ou rançongiciel), est un logiciel malveillant prenant en otage des données : il pénètre le système via des failles dans les systèmes d’exploitation ou par des campagnes d’emails malicieux et se propage de la même manière qu’un cheval de Troie.

Actuellement, la croissance exponentielle des nouveaux ransomwares éclipse totalement les autres types de cyber-menaces : cette activité criminelle – très lucrative comme nous le verrons – fait aujourd’hui un très grand nombre de victimes imprudentes, visant de plus en plus les entreprises.

Mais quelles sont les origines de ce type de cyberattaques, les variantes et que se cache-t-il derrière l’économie florissante de la menace ransomware ?

PC Cyborg Trojan, premier du nom

Pour mieux comprendre le fonctionnement et l’impact des ransomwares aujourd’hui, il est utile d’observer d’où ceux-ci proviennent.

Le premier ransomware référencé est apparu en 1989. Nommé PC Cyborg Trojan ou encore « AIDS », ce ransomware, codé par Joseph Popp (biologiste anglais) se présentait sous la forme d’une disquette prétendant fournir une évaluation des risques concernant la maladie du SIDA.

Plus de 20 000 disquettes sont envoyées dans le monde entier, notamment à des industries et associations issues du domaine de la santé, parfois même luttant contre la maladie du SIDA. Si, durant les premières utilisations de la disquette tout semblait normal aux yeux de l’utilisateur, il n’en était rien : le payload de ce ransomware légendaire se déclenchait seulement après 90 utilisations.

Après investigations, le docteur Popp sera arrêté et prétendra vouloir se servir du butin récolté pour financer ses propres recherches contre le SIDA, dires qui ne pourront jamais être véritablement prouvés.

Chiffreurs, bloqueurs : évolution des ransomwares

Le ransomware AIDS faisait partie des prémices de ce qui allait devenir, dès 2013 un phénomène mondial, après une latence de quelques années.

Plusieurs types de ransomwares vont alors se développer et se perfectionner, touchant toujours plus de machines à travers le monde, avec des attaques de plus en plus sophistiquées.

La principale évolution du ransomware se trouve justement dans le degré de complexité de ces attaques, dont le tournant majeur sera l’arrivée du Bitcoin (étroitement lié au DarkWeb).

Les ransomwares qui existent aujourd’hui sont divisibles en deux grandes sous-parties.  Nous remarquons premièrement les ransomwares bloqueurs, qui se contentent tout simplement de bloquer l’accès de l’appareil de la victime, sans toucher directement à ses données. Ces derniers ont vite été remplacés par des chiffreurs, qui chiffrent les données sur les appareils des utilisateurs et promettent de les rendre en l’état en échange d’une rançon.

Pour illustrer au mieux l’évolution constante du nombre de malwares il est intéressant de savoir qu’au cours de l’année 2016, plus de 60 familles de ransomwares ont été créées. (selon Kaspersky).

 La menace « Ransomware », activité lucrative et durable

Aujourd’hui, les ransomwares sont non-seulement particulièrement sophistiqués mais ils sont aussi et surtout de plus en plus fréquents et ingénieux, à l’exemple de PopCorn Time (ransomware qui incite les victimes à infecter d’autres utilisateurs pour échapper au paiement de leur rançon) ou de Satan: un Ransomware As A Service (ransomware à acheter « clé en main »).

En plus d’être terriblement efficace, l’utilisation de ransomwares est une activité des plus lucrative, comme nous pouvons le voir à travers la valeur du Bitcoin, multipliée par 5 en un an seulement. L’obstination des pirates n’est donc pas prête de s’arrêter et il est très probable de voir le nombre de ransomwares aux procédés toujours plus audacieux s’accroître dans les prochaines années, alors que nous recensons déjà en 2016 une attaque toutes les 40 secondes (selon Kapersky).

Locky, le ransomware trendy

Surgit pour la première fois début 2016, le ransomware Locky est devenu, en seulement un an, un des ransomwares les plus répandus aujourd’hui, présent dans plus d’une centaine de pays. Sa cible privilégiée ? Les entreprises, qu’il réussit à bloquer avec efficacité.

En effet, avec une méthode de diffusion courante, à savoir des campagnes de phishing, il réussit à faire de nombreuses victimes grâce à une stratégie bien efficace : des millions de courriels sont envoyés avec des objets tels que « imprimer », « documents », « factures » et « scans », piégeant ainsi les utilisateurs, habitués aux messages de ce type dans un milieu professionnel.  L’idée est donc simple : pousser les destinataires de ces spams à ouvrir la pièce jointe et ainsi déclencher l’installation du ransomware Locky.

Au-delà de sa stratégie très efficace, Locky détient un détail bien spécifique qui explique son succès : n’importe quel pirate peut en récupérer une version, en ne changeant seulement que l’adresse à laquelle livrer les bitcoins de la rançon, pour s’en servir lui-même. “Grâce” à cette facilité d’utilisation, Locky n’a donc pas été envoyé d’une seule source, mais de centaines.

Véritable rançongiciel « à la mode » compte tenu de son efficacité, il est aujourd’hui sporadiquement concurrencé par de nouveaux ransomwares tels que Cerber : mais c’est sans compter sur la résistance Locky, qui tel Terminator revient toujours à la charge, plus puissant que jamais.

Pour se prémunir des ransomwares le plus efficacement possible il est parfois nécessaire de se mettre à la place de leurs créateurs. Le vrai défi est donc de se réinventer à la même vitesse que les pirates réinventent et actualisent leurs techniques d’attaques.

Si vous souhaitez appliquer les mesures préventives les plus adaptées pour éviter ce genre de désagréments, une des premières résolutions serait bien entendu de faire attention à l’expéditeur du message et d’appliquer les bonnes pratiques de base pour votre utilisation d’internet.

Article original rédigé par iTrust.