L’évolution des ransomwares
Trente ans après le premier ransomware[1], ce type de logiciels malveillants chiffrant les données de leurs victimes jusqu’à l’obtention d’une rançon a toujours le vent en poupe. En 2017, les ransomwares avaient fait la une de l’actualité cyber. En effet, mai 2017 fut marqué par WannaCry qui bouscula le monde entier et causa des pertes consolidées qui s’élèveraient à 4 milliards de dollars. Les entreprises ne s’étaient pas encore remises de cette méga attaque qu’un nouveau ransomware, NotPetya, frappait un mois plus tard, causant 10 milliards[2] de dollars de dommages.
Depuis, il semble que la tendance a changé puisqu’on n’entend plus parler d’attaques mondiales mais plutôt de ransomwares ciblés. En effet, lebusiness model des rançonneurs a évolué.
Précédemment diffusés le plus largement possible pour affecter le maximum d’organisations, les ransomwares sont à présent plus sélectifs.
Dans la mesure où infecter un serveur cloud est bien plus dévastateur que de chiffrer des fichiers stockés sur des appareils individuels, la tendance en 2018 était de cibler les fournisseurs de services Cloud, qui se positionnent pourtant comme des solutions face à ce type de menaces.
En 2019, les rançonneurs ont diversifié leur portefeuille de victimes en s’attaquant aux collectivités. Depuis, plus de 174 villes et 3000[3] administrations municipales ont été ciblées dont la région Grand Est qui a été paralysée en février 2020 et la ville de Marseille en pleine crise du Covid19. Les PME demeurent quant à elles la catégorie la plus ciblée puisque 57% des attaques par ransomware visent les entreprises de moins de 250 salariés[4].
Parallèlement à ce changement d’orientation, notons également une évolution du mode opératoire. En effet, l’apparition des plateformes de Ransomware as a Service (RaaS) ouvre la porte à plus de rançonneurs, même aux novices en programmation. Ces plateformes démocratisent les ransomwares en mettant à disposition de leurs abonnés des exécutables développés par des cybercriminels expérimentés. Ces derniers touchent alors un pourcentage de la rançon récupérée auprès des victimes.
Outre les attaques opportunistes visant des systèmes d’informations faiblement sécurisés, les rançonneurs s’intéressent de plus en plus aux organisations financièrement robustes dans le cadre du Big Game Hunting. Ce type d’attaque met en œuvre des techniques sophistiquées qui sont rémunérées par des rançons conséquentes. De ce fait, le nombre d’attaques ne fait qu’augmenter, tout comme le montant des rançons demandées… et payées. En effet, nous distinguons deux manières de répondre à un ransomware :
Payer la rançon même s’il n’existe aucune garantie de récupération des fichiers chiffrés. Ainsi, après avoir comparé le coût apparent induit par une restauration des données avec le montant de la rançon, plusieurs victimes règlent les rançons réclamées en prenant également le risque de compromettre le moyen de paiement utilisé. Cette tendance à céder au chantage est par ailleurs en hausse puisqu’elle est passée de 14% à 39% en l’espace d’un an[5]. De plus, le montant moyen par rançon en passé de 6.733 $ en 2018[6] à 84,116 $ en 2019[7]. En moyenne, les organisations ayant payé la rançon reçoivent une clé de déchiffrement dans 96%[8] des cas. Cependant, 8%[8] de leurs données chiffrées sont perdues. En effet, les fichiers peuvent être endommagés pendant ou après le chiffrement ce qui affecte la qualité des fichiers récupérés. Par ailleurs, ces organisations ne sont pas à l’abri de récidives puisque 9% de celles ayant négocié avec les rançonneurs se retrouvent ciblées par de nouveaux ransomwares.
Ne pas céder au chantage, ce qui est le plus conseillé. Outre le fait d’encourager des cybercriminels à de futures compromissions, le paiement des rançons ne permet pas toujours de réaliser des économies. En effet, la compromission d’une organisation met en évidences les faiblesses de son système d’information. Ainsi, ceci doit être considéré comme une occasion d’analyser et comprendre ces vulnérabilités pour y remédier. Bien que le coût de cette remise à niveau puisse être important, il s’agit d’un réel investissement qui permettra de prémunir l’organisation de futures attaques.
L’appétence des victimes à payer la rançon est également liée à la criticité des données chiffrées. En effet, la prise en otage de données financières, de propriété intellectuelle ou celles relatives aux clients représente le cauchemar de tout dirigeant. Ces indisponibilités peuvent causer des pertes importantes qui, ajoutées aux montants de rançons, donnent des additions bien salées. Dans certains cas, le montant de la rançon demandée reste inférieur à la perte liée à une longue perturbation d’activité jusqu’à la récupération des potentielles sauvegardes.
Afin de faire davantage pression sur leurs victimes, certains cybercriminels ne se contentent pas de chiffrer les données. Ils les exfiltrent en vue d’en divulguer une partie ou la totalité en cas de manque de collaboration de la part des victimes. Dans ce cas de figure, payer la rançon est encore plus hasardeux car le pirate dispose toujours des données et pourrait, quand il le souhaite les publier ou demander une nouvelle rançon. De surcroit, certains groupes de rançonneurs proposent deux formules à leurs victimes, un montant pour la non-divulgation des données exfiltrées et un autre pour la communication d’une clé de déchiffrement[9].
Dans sa lutte contre ces cybercrimes, Europol a lancé la plateforme No more ransom qui œuvre pour le décryptage des ransomwares et propose des outils de déchiffrement de fichiers gratuitement. Ce projet soutenu par 151 partenaires aurait, depuis sa création en 2016, décrypté 109 ransomwares, permettant ainsi à plus de 200 000 victimes de récupérer leurs fichiers tout en réduisant le butin des rançonneurs de 108 millions de dollars[10].
Se prémunir et répondre correctement aux ransomwares
Les organisations ont également un rôle important à jouer pour se prémunir et répondre correctement à ce genre d’attaques. Voici quelques conseils permettant de minimiser la probabilité et les impacts d’une attaque par ransomware :
1) Sensibiliser les collaborateurs :
L’ingénierie sociale est un vecteur important dans l’infection par ransomwares (après l’utilisation d’accès RDP compromis). De ce fait, il est primordial que les utilisateurs puissent reconnaitre les mails frauduleux et avoir les bons réflexes en cas de ciblage.
2) Segmenter le réseau et limiter les droits d’accès des utilisateurs au strict nécessaire :
La définition de différentes zones de sécurité au sein du réseau empêcherait la propagation de l’infection d’une zone à l’autre. Par ailleurs, la mise en place de politiques de restriction des accès à privilèges permet de réduire la potentielle surface d’exploitation.
3) Évaluer de façon continue les vulnérabilités :
Ce sont ces mêmes vulnérabilités que les criminels tenteront d’exploiter afin de compromettre votre réseau. Ainsi, les reconnaître est important pour mettre en place des actions correctives. Ces vulnérabilités peuvent être relevées grâce à des outils de scans de vulnérabilités, des tests d’intrusion ou des audits.
4) Patcher et mettre à jour régulièrement les différents outils :
Qu’il s’agisse d’applications, de système d’exploitation ou même d’outils de sécurité, les différents logiciels doivent être régulièrement mis à jour et patchés dans les plus brefs délais.
5) S’exercer aux situations de crise :
Les exercices de crise permettent de mettre les dirigeants et les équipes des directions informatiques en situation afin de leur enseigner les réflexes qui les aideront à surmonter les crises.
6) Ne jamais payer de rançon :
Les ransomwares soumettent à rançon la disponibilité des données mais aussi leur confidentialité. Ainsi nous vous recommandons de ne jamais payer de rançon surtout si c’est pour préserver la confidentialité. Si cette dernière est perdue une fois, elle est perdue pour toujours. Ainsi, ne faites pas confiance aux criminels.
Somme toute, les menaces ne cessent d’évoluer et le nombre d’attaques par ransomwares n’est pas près de baisser dans les prochaines années. Bien au contraire, les technologies actuelles et celles à venir leurs ouvrent plusieurs moyens d’exploitation, notamment sur les téléphones portables et les équipements IoT. Soyez vigilants !
Par Chaimaa BAKKA, Consultante Sécurité chez Almond
Sources :
[1] Cheval de Troie du Sida ou (AIDS Trojan) créé en 1989 par Joseph Popp qui a profité de la conférence de la World Health Organization sur le Sida pour distribuer 20 000 disquettes contenant un virus informatique. Une fois la disquette lancée, le virus restait caché dans l’ordinateur de la victime. Au bout de 90 redémarrages, le virus prenait vie en chiffrant les fichiers. Un message s’affichait alors demandant à l’utilisateur d’envoyer 189$ dans une boîte postale au Panama afin de restaurer ses fichiers.
[2] https://www.cyber-cover.fr/cyber-documentation/cyber-criminalite/cybercriminalite-notpetya-le-premier-malware-a-10-milliards-de-dollars
[3] https://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-879648-174-villes-victimes-ransomwares-2019.html
[4] https://cdn2.hubspot.net/hubfs/5156294/SED%20SYMC/6819_SED_SYMC_ISTR_24_2019_April_en.pdf?__hssc=48173752.1.1582560811510&__hstc=48173752.c0dcc69b9fad6b077dfee183cc28a9b3.1582560811509.1582560811509.1582560811509.1&__hsfp=2247103966&hsCtaTracking=8dd7e875-68d0-4da7-8fd3-b7533926b804%7C5dc00af6-2fe0-408c-bb45-2b97baa8c97e
[5] https://www.zdnet.fr/actualites/ransomware-les-victimes-payent-de-plus-en-plus-la-rancon-39896549.htm
[6] https://www.zdnet.fr/actualites/le-cout-des-ransomware-augmente-pour-les-victimes-39883575.htm
[7] https://www.itpro.co.uk/security/cyber-security/354640/ransomware-costs-doubled-in-q4-2019
[8] https://blog.knowbe4.com/ransomware-attacks-costs-nearly-triple-in-2019-to-over-36k-per-attack
[9] https://www.bleepingcomputer.com/news/security/ransomware-now-demands-extra-payment-to-delete-stolen-files/
[10] https://www.silicon.fr/no-more-ransom-109-ransomware-decryptes-en-3-ans-257841.html