L'évolution du ransomware : à quoi s'attendre ?

Qu'y a-t-il derrière la croissance explosive des cyberattaques par ransomware ? Comment les utilisateurs se font-ils prendre ? Que faire pour se protéger ? Le point.

Les attaques par ransomware sont de plus en plus populaires et il est vraisemblable que cela reste le cas dans un futur proche. En effet, le rapport d'enquête 2016 de Verizon sur les violations de données établit que les attaques ont augmenté de 16% à l'échelle mondiale d'une année sur l'autre, une tendance inquiétante pour tous les professionnels de la sécurité.

Mais qu'y a-t-il derrière la croissance explosive de cette forme de cyberattaque relativement nouvelle ? Pour répondre à cette question, nous devons d'abord observer l'évolution du ransomware jusqu'à aujourd'hui.

Qu'est-ce que le ransomware ?

Le ransomware est un type distinct de cyberattaque, il extorque un paiement à la victime en échange de l'accès à des données chiffrées pendant l'attaque. 

Les premiers ransomwares prenaient la forme d'applications de nettoyage de PC ou de suppression de logiciels-espions. Ces applications n'utilisaient pas le chiffrement, mais elles endommageaient l’ordinateur et proposaient de le réparer après que la victime ait payé l'application. 

Le ransomware utilisant le chiffrement est devenu prépondérant en 2011, sous la forme d'un logiciel malveillant qui empêche d'accéder au système informatique. Face à l'amélioration des défenses et des méthodes de récupération, le ransomware a évolué pour devenir le ransomware cryptographique qui est le plus utilisé aujourd'hui. Il existe trois variantes qui dominent actuellement le paysage du ransomware cryptographique :

  1. CryptoWall :  le plus vieux des trois, il peut aussi se targuer d'avoir raflé la plus grande part des infections mondiales par ransomware (83,45%),
  2. Locky :  le plus récent de ce top trois, il est celui qui connaît la croissance la plus rapide, et reste le ransomware le plus avancé que l'on puisse trouver. Il a représenté 16,47% de l'ensemble des attaques de ransomware entre le 17 février et le 2 mars 2016,
  3. TeslaCrypt :  Ce logiciel malveillant a été principalement répandu par des sites Joomla et WordPress piratés, et représente 0,08 % de l'ensemble des infections. Toutefois, la clé de déchiffrement de TeslaCrypt a été mise à disposition du grand public par son développeur, marquant ainsi la fin définitive de ce ransomware.

Pourquoi cette popularité croissante ?

Plusieurs raisons expliquent pourquoi les attaques de ransomware se sont répandues si rapidement ces dernières années. L'une est l'aspect technique. Il est devenu facile de développer un ransomware efficace, au point qu'il est même possible d'acheter aujourd’hui un « ransomware as a service ». Toutefois, d'autres facteurs plus sinistres entrent aussi en ligne de compte. Avec la transformation numérique du crime, nous voyons maintenant des cybercriminels « professionnels » dont le seul objectif est de collecter des rançons et de blanchir de l'argent. Le développement de systèmes de paiement internationaux comme le bitcoin a facilité les transferts d'argent anonymes. Il est à présent moins compliqué pour les criminels d'extorquer de l'argent sans être tracé. 

Comment les utilisateurs se font-ils prendre ?

Bien que l'utilisation d'e-mails savamment tournés ait été l'outil préférentiel des hackers depuis longtemps, il existe d'autres façons d'infecter les utilisateurs qui sont tout aussi efficaces.

Presque toutes les stratégies dépendent du comportement de l'utilisateur. Soit un e-mail de phishing les convainc d'ouvrir un fichier joint, soit ils sont dirigés vers un site qui semble légitime, soit l'utilisateur surfe sur Internet à la recherche d'actualités ou d'un thème qui l'intéresse et clique sur le mauvais lien. 

En matière d'e-mail, les hackers deviennent plus intelligents, et au lieu de demander d'ouvrir une pièce jointe, trop facilement bloquée ou questionnée, ils envoient plutôt les utilisateurs vers un faux site Internet chargé d’injecter l'infection. Les programmes de sécurité des messageries électroniques emploient les grands moyens pour authentifier les sites Internet, en s'assurant que l'URL « correspond » au domaine de l'expéditeur, en vérifiant la validité des certificats, etc.  Mais les sites peuvent contenir des redirections et, dans la plupart des cas, le problème ne vient pas du logiciel de sécurité, il vient de l'utilisateur. 

Que peuvent faire les utilisateurs pour se protéger ?

On s'attend à ce que la croissance des attaques de ransomware touche les autres plateformes comme les smartphones et les terminaux IoT - et les versions de ransomware les plus réussies évolueront pour garder un temps d'avance sur les dispositifs de défense. Les utilisateurs doivent déployer plusieurs couches de protection pour avoir les meilleures chances de préserver la sécurité de leurs réseaux. Ces couches de protection incluent ce que l’on l'on appelle la trinité de la sécurité : des pare-feux de nouvelle génération, la sécurité de la messagerie électronique et la sauvegarde, pour fournir :

  • Advanced Threat Detection : pour empêcher, via le filtrage Internet, les téléchargements intempestifs et l'activité de « contact du serveur » par le logiciel malveillant grâce à une passerelle de sécurité.
  • La protection de la messagerie électronique sur site et dans le cloud : pour identifier et arrêter les messages électroniques porteurs de ransomwares et autres attaques avant leur arrivée dans la boîte de réception.
  • Les politiques de sécurité : pour désactiver dans toute l’entreprise les macros Office et autres moyens d'attaque potentielle.
  • La sauvegarde des données : pour conserver de bonnes sauvegardes de l'ensemble des données, et mettre en place un plan de reprise après sinistre pour récupérer ces données suite à une attaque de ransomware.
La sauvegarde représente la base de la protection contre les ransomware, et l’unique moyen de vaincre ce type d’attaques une fois qu’elle a infiltré une entreprise. Une bonne sauvegarde accompagnée d’un plan de récupération des données après sinistre permettra à l’entreprise de restaurer son système et retrouver l’ensemble de ses données – même si elle a été victime d’un ransomware.Les cybercriminels ne se soucient pas de l'identité des victimes du ransomware, tant que ces victimes sont disposées à payer. Les entreprises de toutes tailles ont été ciblées, et récemment les secteurs des soins de santé et du public ont subi le gros des attaques au niveau mondial. Toutefois, les utilisateurs peuvent se protéger efficacement, via la mise en place d’une sécurisation informatique afin de minimiser le risque d’infection – et une bonne sauvegarde pour récupérer leur système si le ransomware a toutefois réussi à pénétrer le réseau.

Chiffrement / Réseaux