Accueil Les pièges du ransomware

Les pièges du ransomware

Locky, le nom était sur toutes les lèvres des RSSI lors des Assises de la Sécurité 2016. Quelle entreprise n’a pas été attaquée par le ransomware et ses dérivés ?

 

Les attaques informatiques surviennent généralement par grandes vagues successives. Après les attaques au président, les vagues du phishing et du cheval de Troie Dridex en 2015, les entreprises connaissent cette année une succession d’attaques par ransomware sans précédent. “Nous avons connu une explosion des attaques Dridex en fin d’année 2015 et, depuis 2016, les cryptolockers ont laissé la place aux ransomwares” expliquait Charles Rami, responsable commercial de Proofpoint lors des Assises de la Sécurité. “C’est vraiment à partir de l’année dernière que les entreprises ont pris conscience que l’antivirus n’est plus du tout suffisant et l’année 2016 est vraiment l’année du ransomware, avec des méthodes qui ont changé.” Ces malwares qui bloquent l’accès à un poste ou chiffrent les fichiers puis demandent une rançon à l’utilisateur pour lui restaurer (ou pas) ses ressources, ont explosé en 2016. Selon une étude de Bitdefender menée en novembre 2015, ces derniers représentaient déjà 350 millions de dollars de dommages, un chiffre probablement inférieur à la réalité quant on sait que bien des entreprises préfèrent gérer ce type de crise en toute discrétion. Hervé Doreau, directeur technique France de Symantec explique : “Nous observons une augmentation du nombre d’attaques par ransomware, mais aussi du montant des rançons avec une moyenne qui est passée de 300 $ à 600 $, un chiffre qui agrège les rançons grand public et entreprises.”

Locky à l'œuvre. Après avoir chiffré tous les fichiers de l'utilisateur accessibles sur le poste et ses partages réseaux, le ransomware affiche en fond d'écran sa demande de rançon. Source : F-Secure
Locky à l’œuvre. Après avoir chiffré tous les fichiers de l’utilisateur accessibles sur le poste et ses partages réseaux, le ransomware affiche en fond d’écran sa demande de rançon.
Source : F-Secure

La France n’y échappe pas…

L’ANSSI, vers qui les entreprises françaises se tournent en cas d’attaque, a publié une alerte officielle le 5 septembre dernier devant la recrudescence d’attaques par le ransomware Zepto/Odin, signalant une vague d’attaques à l’échelle nationale. Dans ce contexte, le témoignage d’Alcino Pereira, RSSI de l’AFP est révélateur. Le 1er mars 2016, plus de 2 000 collaborateurs de l’agence de presse recevaient simultanément un message envoyé par un cabinet d’avocat, une campagne qui frappe au même moment d’autres entreprises françaises. Le message est porteur du ransomware Locky. Plusieurs utilisateurs cliquent sur le fichier infecté et commencent à voir les données de leur disque dur chiffrées. La rançon demandée par le ransomware est fixée à 4 Bitcoins par clé. De l’ordre de 1 500 euros pour chaque poste client infecté (au cours du Bitcoin au moment de l’attaque). Il faudra une heure de travail à l’équipe informatique pour enrayer l’attaque, effacer les pièces jointes infectées, bloquer l’expéditeur, mettre à jour les antivirus de la signature du virus et avertir tous les utilisateurs de l’AFP. Quelques jours plus tard, le 19 mars, une seconde vague d’envoi de Locky est lancée contre l’AFP avec 400 destinataires en 30 minutes. Cette fois, l’antivirus a reconnu le ransomware et l’attaque a été tuée dans l’œuf.

Les ransomwares sur mobile arrivent

Pour contrer ce type d’attaques, outre des procédures de stockage des données renforcées, des systèmes à jour de leurs patches de sécurité, les experts de Bitdefender préconisent de protéger les serveurs avec des solutions anti-spam et de filtrage de contenu, de limiter au maximum les accès aux disques réseaux et empêcher toute exécution de fichiers dans certains endroits critiques des systèmes. Les éditeurs de protection “endpoint” ont bien évidemment mis à jour leurs solutions afin de contrer les ransomwares connus mais déjà se profile à l’horizon l’arrivée de ransomwares mobiles sous Android. Simples “device locker” qui changent le code PIN du téléphone et n’en restitue l’accès que contre une rançon ou encore SLocker, un ransomware qui crypte les fichiers personnels trouvés sur le smartphone… l’industrie du ransomware a encore de beaux jours devant elle.

La multiplication des attaques de ransomwares est manifeste depuis 2015 et atteint des sommets depuis le début de l'année 2016. Source : Symantec
La multiplication des attaques de ransomwares est manifeste depuis 2015 et atteint des sommets depuis le début de l’année 2016.
Source : Symantec