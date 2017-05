Depuis deux semaines on ne parle que de WannaCry. Ce ransomware s’est attaqué aux entreprises un peu partout avec une efficacité redoutable. Cette avalanche médiatique a eu le bénéfice d’interpeller très largement particuliers et entreprises sur cette menace du ransomware. L’erreur aujourd’hui serait de penser que la pratique du ransomware est nait avec Wannacry et qu’elle va s’éteindre avec lui. Bien au contraire.

Nous avons changé son prénom, mais la leçon à retenir de cet exemple – parmi tant d’autres - est bel et bien une constante pour tous les « Jean » de la Terre : Ne surtout pas payer de rançon. Ce n’est pas une question de montant mais de principe. Payer un ransomware n’est en aucun cas une garantie de récupérer ses données, ni un moyen de s’assurer d’un soi-disant « retour à la normale ». C’est en revanche un moyen assez efficace de perdre un temps précieux pour son activité, de perdre le contrôle sur la situation et donc du capital confiance pour son entreprise, ses équipes et son écosystème.



Wannacry, Jaff et les autres…

L’avalanche médiatique autour de Wannacry aura eu au moins le bénéfice d’interpeller le plus grand nombre, des grandes entreprises avec l’arrêt de l’usine Renault, jusqu’aux particuliers. L’effet pervers, c’est qu’il laisse penser que le ransomware est né avec Wannacry et qu’il va s’éteindre avec lui. Or, le ransomware a déjà remporté pour l’année 2016 la palme des attaques. Interpol dans son rapport sur la menace en octobre 2016, l’avait en effet élevé au rang de « 1ère menace en Europe ». D’ailleurs, Jean n’a pas été victime de Wannacry, mais d’un cousin éloigné.Depuis le 11 mai 2017, ce n’est pas « un » mais bel et bien « plusieurs » ransomware qui sévissent. A côté de «», ciblant les systèmes d’exploitation Microsoft Windows (des versions Windows XP à Windows 8) ainsi que les versions « Microsoft Server » utilisées par les entreprises, et qui se propage au travers d’une faille du protocole de partage SMB v1 (Server Message Block) non patchée au moment de l’attaque, c’est «», un autre ransomware, ressemblant à Locky, qui fait également des ravages en se propageant, lui, par les e-mails. L’ « affaire » Wannacry ne semble d’ailleurs pas terminée puisque des nouvelles variantes sont désormais diffusées.Et avant cet épisode extraordinaire, souvenons-nous de Dridex, Petya, Locky, Satana. Les variantes des ramsomwares ne cessent de progresser pour toujours mieux passer sous les radars.

La diffusion de ransomware désormais à la portée de tous

Techniquement, les ransomware n’évoluent plus beaucoup. Le problème majeur tient surtout à l’évolution des méthodes de diffusion. Il est de plus en plus facile de diffuser des ransomware, car on note une véritable professionnalisation autour de ce mode d’attaque :

1 Ransomware-as-a-service, concept lancé avec Cerber ou plus récemment Philadelphia, qui permet de monter sa propre petite entreprise de ransomware, puisque des cybercriminels proposent à certains esprits inspirés, de le propager dans leur propre zone géographique.





2 Ransomware-as-a-freeware avec Shark, diffusé en freeware et proposant à n’importe quel hacker amateur de diffuser le ransomware dans son pays en remettant en échange, une partie des gains mal acquis aux créateurs du ransomware.

4 La récupération de malware très sophistiqués du FBI ou de la NSA qui ont fuité et qui sont même aujourd’hui disponibles sur Github. Wannacry utiliserait deux outils de la NSA, et l’on parle même aujourd’hui d’un successeur, « Eternalrocks », qui utiliserait sept outils dérobés à la NSA.

5 Les « insolites » : « Popcorn Time » ou encore plus insolite le « Rensemware » diffusé il y a quelque temps par un étudiant coréen à ses amis et leur demandant d’atteindre un score élevé à un jeu en ligne pour débloquer leur machine.

6 Nous pouvons également parler de zero-day Microsoft avec la variante du Malware Dridex qui passe via des objets OLE2Link, contenu dans un fichier RTF.