Leçon d’anatomie sur les ransomware pour prévenir les cyberattaques
La prévention contre les ransomware ne se limite pas simplement aux solutions de sécurité. Connaitre leurs rouages permet de mieux y faire face.
Après plus d’une semaine de
symptômes grippaux, vous vous extirpez péniblement de votre lit pour vous
rendre chez le médecin. Lors de la consultation, celui-ci pratique un examen
approfondi afin de vous prescrire un traitement adéquat. Il se peut même que
vous repartiez avec des conseils sur les mesures préventives à adopter, par
exemple bien se laver les mains, pour passer au travers de la prochaine
épidémie de rhumes et de grippes.
Ces principes de traitement et de prévention des maladies peuvent être mis en parallèle avec la protection contre les attaques par ransomware. En effet, le code malveillant est transmis via différents vecteurs de menace qui infiltrent les ordinateurs et autres terminaux de leurs victimes potentielles. Si vous ne comprenez pas l’anatomie d’une attaque au ransomware, vous ne pourrez pas ni traiter des incidents autrement plus graves que les symptômes grippaux dont vous souffriez.
Voici comment vous familiariser avec les vecteurs de rançongiciels pour prévenir les cyberattaques
Vecteur 1 : Liens et pièces jointes malveillants dans les e-mails
Depuis les faux e-mails d’offres d’emploi contenant des pièces jointes infectées jusqu’aux faux avis d’expédition pendant la période des fêtes, les pirates informatiques ne manquent décidément pas d’imagination pour leurs campagnes de ransomware.
Pour que leurs e-mails échappent à la vigilance des filtres antispam, les cybercriminels prennent soin de les rédiger dans la langue appropriée et de les envoyer à des adresses électroniques réelles. L’e-mail contient généralement l’un des types de pièces jointes suivants :
- Un fichier invitant la victime à activer les macros pour afficher correctement le contenu.
- Un fichier exécutable camouflé exploitant la configuration Windows par défaut qui masque l’extension finale des noms de fichier. De cette manière, les utilisateurs ne savent pas qu’il s’agit d’un fichier de type nomfichier.pdf.exe.
Vecteur 2 : Sites Web compromis
Les attaques au ransomware ne prennent pas toutes la forme d’e-mails créatifs. Les sites Web compromis sont des cibles faciles pour l’insertion de code malveillant. Il suffit qu’une victime visite un site dont elle n’a aucune raison de se méfier, en particulier si elle le consulte fréquemment. Le site compromis la redirige alors vers une page l’invitant par exemple à télécharger une nouvelle version de son navigateur Web. Si l’internaute accepte, soit le ransomware est activé, soit un programme d’installation télécharge et exécute le ransomware.
Vecteur 3 : Malvertising
Un navigateur présentant une vulnérabilité non corrigée peut faire l’objet d’une attaque de malvertising. Le malvertising consiste à injecter du code malveillant dans les publicités légitimes publiées sur les sites Web. Le ransomware est téléchargé lorsque l’internaute clique sur l’une d’elles depuis un navigateur obsolète. Bien qu’il s’agisse d’un vecteur de rançongiciels moins courant, le malvertising reste dangereux dans la mesure où il ne requiert aucune action de la victime, comme le téléchargement d’un fichier ou l’activation des macros.
Vecteur 4 : Kits d’exploit
Après avoir dominé le paysage des menaces, les kits Angler, Neutrino et Nuclear ont aujourd’hui perdu de leur activité. Ces kits d’exploit s’apparentent à des boîtes à outils malveillants contenant des exploits pré-écrits ciblant différents plug-ins de navigateur particulièrement sujets aux vulnérabilités, comme Java et Adobe Flash. Des ransomwares populaires tels que Locky et CryptoWall ont été diffusés par le biais de ce vecteur sur des sites piégés ou via des campagnes de malvertising.
Vecteur 5 : Téléchargement de fichiers et d’applications infectés
Comme avec les e-mails, tout fichier ou toute application téléchargeable peut servir à la diffusion de ransomwares. Si les sites de partage de fichiers illégaux constituent des cibles de prédilection pour les pirates informatiques, les sites Web légitimes ne sont pas pour autant épargnés. Il suffit que la victime pour que le ransomware soit injecté.
Vecteur 6 : Applications de messagerie
Des ransomwares peuvent se dissimuler dans des applications de messagerie comme Facebook Messenger et prendre la forme de fichiers .svg (Scalable Vector Graphics) afin de contourner les mécanismes traditionnels de filtrage des extensions de fichier. Le format SVG étant basé sur le langage XML, les cybercriminels sont libres d’incorporer n’importe quel type de contenu. Une fois ouvert, le fichier image infecté redirige la victime vers un site en apparence légitime. Après le chargement, la victime est invitée à installer un logiciel qui distribue la charge utile et se propage à ses contacts.
Faites le plein de vitamines et utilisez une solution nouvelle génération de protection des terminaux
Les ransomwares constituent une préoccupation croissante pour l’ensemble des entreprises, quelles qu’elles soient. Tout comme il est important de prendre chaque jour un complément multivitaminé, le recours à des mécanismes de protection appropriés est indispensable pour la prévention quotidienne des attaques par ransomware. En étant bien équipée et en en sachant plus sur les méthodes employées par les cybercriminels pour propager leurs ransomwares, une entreprise sera plus a même de défendre son réseau.