Ransomware : comment LoveBug a radicalement changé le paysage des cyber menaces

Source de pertes colossales et véritable catalyseur dans l'industrie cybercriminelle, le ransomware donne plus que jamais des sueurs froides aux entreprises comme aux organismes gouvernementaux.

LoveBug était initialement un simple malware. Pourtant, il a changé le monde de la cyber-sécurité dès son apparition.  Initialement prévu pour récolter simplement les mots de passe de quelques fournisseurs d'accès Internet locaux, il s'est répandu dans le monde entier, infectant plus de 45 millions d'appareils et devenant le premier malware à avoir réellement « déconnecté » les entreprises. Et pas le dernier. LoveBug a révolutionné la conception des logiciels malveillants, ouvrant la voie au fléau que nous combattons aujourd’hui : le ransomware.

L’héritage d’une menace sous-estimée

Une dizaine d’années avant que quiconque n'ait entendu parler de LoveBug, l'industrie informatique a été témoin du premier cas réel de ransomware, sous la forme du cheval de Troie appelé SIDA. Ce dernier s'est propagé par le biais de disquettes - échangées initialement dans un but de partage de connaissances entre des chercheurs travaillant sur le VIH – qui, une fois infectées, cryptaient les noms de fichiers.  Le potentiel du cheval de Troie SIDA était cependant limité, notamment de par son mode de transmission - les victimes devaient recevoir et installer le fichier par disquette puis devaient payer par chèque. Même si cette histoire fut notable, peu de gens ont compris l’ampleur de la menace et l’importance de la protection vis-à-vis de ce type d’attaques.

Pourtant, c'est ainsi qu’a commencé le jeu du chat et de la souris, le secteur de la protection des données essayant toujours de garder une longueur d'avance sur les hackers, sans y parvenir pleinement. Au final, le passage d’un ciblage restreint, via l’utilisation de certains logiciels malveillants, à une destruction massive (via notamment la demande de rançon), initiée par LoveBug a changé la donne : 45 millions d'appareils ont été compromis par jour et autant de rançons auraient pu être payées.

Les professionnels de la cyber-sécurité ont réagi à de nombreuses reprises, dès lors qu’une nouvelle menace faisait son apparition. A chaque fois, l’objectif a été de contrer la menace mais aussi d’apporter des solutions et de l’aide aux victimes pour leur éviter de payer les rançons. A mesure que les pirates ont inventés de nouveaux procédés et de nouvelles stratégies, de nouvelles défenses ont été érigées. GPCoder, Archivevus, CryptoLocker, CryptoDefense, la liste des ransomwares est longue. Mais un des ransomwares ayant marqué la décennie, WannaCry, fait état de l’ampleur de la menace : ce ransomware a été capable d’infecter 230 000 appareils, dans plus de 150 pays, en demandant des rançons dans 20 langues différentes et en recevant des paiements en crypto monnaie. WannaCry a causé, selon les estimations, près de 4 milliards de dollars de perte.

Qu'avons-nous appris ?

Les ransomwares sont devenus plus sophistiqués et plus répandus au cours des dernières années, de par l’évolution du business model des rançonneurs. Aujourd'hui, les cibles sont moins souvent des particuliers que des entreprises, notamment en raison du potentiel financier qu’elles représentent. Selon le rapport international The State of Cloud Security 2020 rédigé par Sophos, près de trois quarts (70 %) des entreprises ont subi un incident de sécurité dans le Cloud public l’an passé dont 50% par ransomware (50%).

Côté rançon, l’étude Veritas Technologies donne la tendance : selon les consommateurs, les entreprises devraient en moyenne accepter de payer 1167$ de rançon par personne, lors d’une attaque par ransomware, afin de récupérer les données personnelles. De plus, le coût moyen de la rançon atteindrait les 110 000$ selon Coveware, coût ne représentant qu'une petite fraction de l'impact des attaques. Travelex aurait versé 2,3 millions de dollars pour tenter de se remettre d'une attaque survenue en janvier. Autre exemple, l’attaque subie par Norsk Hydro leur aurait coûter environ 75 millions de dollars, cela inclut les conséquences financières des temps d'arrêt, de la perte d'activité et de la production réduite.

Pour faire face à cette menace, les stratégies de protection des données évoluent vers une approche plus sophistiquée incluant désormais 4 étapes indispensables : protéger, détecter, répondre et récupérer.

  •  Protéger :  La formation des utilisateurs et le déploiement de logiciels de protection sont essentiels, mais disposer d'une copie de sauvegarde des données de l'entreprise complète, stockée hors site et protégée l’est encore plus.
     
  •  Détecter : Plus vite l’entreprise répond à une attaque par ransomware, plus facile il est pour elle de s’en remettre. La détection des intrusions, des logiciels malveillants et des anomalies de fichiers participe à la sécurité d'une entreprise.
     
  •  Répondre : Une fois l’attaque détectée, l’entreprise est rapidement capable de prendre les mesures nécessaires (arrêt des activités des systèmes critiques par exemple) pour prévenir toute nouvelle infection. Identifier les données touchées et le moment précis de l’attaque permet de mieux y répondre.
     
  •  Récupérer : Les entreprises doivent être capables de récupérer rapidement l’accès au serveur et d’assurer la restauration des sauvegardes en un minimum de temps, afin d’éviter des temps d’arrêts délétères aux performances commerciales.

Et après ?

Les hackers continueront à concentrer la majorité de leurs attaques sur les organisations critiques appartenant au gouvernement ou au secteur public ainsi qu’à la finance ou encore à la santé, qui évoluent toutes sur des secteurs où la dépendance aux données critiques est intrinsèquement forte. Pour garder une longueur d'avance, ces organisations doivent améliorer la visibilité sur leurs données et automatiser davantage leurs sauvegardes.

Comme cela a déjà été le cas ces dernières années, les attaques continueront à se diversifier. Les hackers menacent de plus en plus les entreprises d’exfiltrer les données pour ensuite les diffuser largement sur internet, pensant que cela les motivera à payer les rançons. Afin de réagir, il est essentiel de disposer de copies de sauvegarde des données mais aussi d’identifier rapidement les données compromises ou volées afin d’en comprendre la nature et la valeur.

Enfin, l'ingénierie sociale et l'hameçonnage sont encore les fers de lance d’une attaque réussie. Le malware LoveBug a d’ailleurs connu son succès foudroyant en s’appuyant sur ces deux méthodes. Si les gens avaient été moins enclins à ouvrir un courrier électronique ayant pour objet "Je t'aime", la propagation du logiciel malveillant aurait été beaucoup plus limitée.  C’est pourquoi il faut former les collaborateurs afin qu’ils restent vigilants, tout en misant sur une meilleure protection et sauvegarde des données pour pouvoir réagir vite en cas de contamination.

Que ce soit du côté des hackers ou bien celui des entreprises, tout est amené à évoluer. L’histoire du ransomware ne s’arrête pas là, il est devenu en 20 ans la menace la plus crainte par les entreprises mais de nouvelles attaques seront sans nul doute créées. Il faudra donc de nouveaux systèmes de défenses pour venir les contrer. Une chose est sûre : il n'a jamais été aussi important de disposer de copies de sauvegarde des données.