Lorsqu’un cybercriminel veut gagner rapidement de l’argent, il utilise un logiciel rançonneur pour infecter un ordinateur et crypter toutes les données du disque dur. Le logiciel malveillant envoie une alerte à l'utilisateur lui indiquant qu'il doit payer une rançon sous peine de perdre ses fichiers définitivement.
Par le passé, des criminels exigeaient que des rançons soient envoyées en espèces ou par mandat-poste à des boîtes postales. Cependant, cela n'a pas toujours duré, car les boîtes postales peuvent être retracées jusqu'à un individu. Aujourd'hui, la rançon est presque toujours demandée dans la monnaie anonyme et introuvable qu'est le Bitcoin. Maintenant que les rançons peuvent être payées de manière intraçable, la fréquence des attaques de logiciels rançonneurs a explosé.
La première attaque documentée de logiciel rançonneur a été perpétrée en décembre 1989 par un biologiste évolutionniste nommé Joseph L. Popp. En 1989, Internet existait mais il n'était plus ce qu'il est aujourd'hui. L'attaque a donc été exécutée via un disque informatique infecté.
Popp a envoyé 20 000 disques infectés aux participants à la conférence internationale sur le sida. Les disques étaient étiquetés « Informations sur le sida — Disquettes d'introduction ». Sous couvert d’être un questionnaire destiné à aider les utilisateurs à déterminer leur risque de contracter le sida, les disques ont été secrètement infectés par un logiciel rançonneur surnommé le « cheval de Troie du sida », également connu sous le nom de « PC Cyborg ».
Après 90 redémarrages, les victimes peu méfiantes ont reçu une demande de rançon de 189 dollars. Popp voulait que les paiements soient envoyés dans sa boîte postale au Panama, qui a finalement été retracée. Étonnamment, il a été arrêté mais il n'a jamais été poursuivi en justice.
Depuis lors, des milliers d’attaques de logiciels rançonneur ont été perpétrées contre des particuliers, des petites entreprises et même des entreprises géantes. Bien que les attaques de logiciels rançonneur aient commencé de manière plutôt basique, elles sont devenues complexes et pratiquement intraçables. Malheureusement, en raison de la rentabilité, les attaques de logiciels rançonneur sont là pour rester.
Bien que la plupart des gens comprennent le concept de logiciel rançonneur, il devrait être appelé pour ce qu’il est vraiment : de l’extorsion. L’extorsion est un crime aux États-Unis et c’est pourquoi les criminels modernes sont assez courageux pour lancer des attaques de logiciels rançonneurs tout en s’appuyant sur l’anonymat des crypto-monnaies.
Les attaques de logiciels rançonneur s’appuient sur la technologie de chiffrement pour empêcher l’accès aux fichiers. Tout au long des années 1990, alors que les méthodes de chiffrement continuaient de progresser, les attaques de logiciels rançonneurs sont également devenues plus sophistiquées et impossibles à pirater. Vers 2006, des groupes de cybercriminels ont commencé à tirer parti du chiffrement RSA asymétrique pour rendre leurs attaques encore plus impossibles à contrecarrer.
Par exemple, le cheval de Troie Archiveus utilisait le chiffrement RSA pour chiffrer le contenu du dossier « Mes documents » d’un utilisateur. La rançon exigeait que les victimes achètent des produits par le biais d'une pharmacie en ligne en échange d'un mot de passe à 30 chiffres qui déverrouillerait les fichiers.
Une autre attaque de logiciel rançonneur à cette époque était l’attaque GPcode. GPcode était un cheval de Troie distribué sous la forme d’une pièce jointe à un e-mail se faisant passer pour un applicationde travail. Cette attaque a utilisé une clé RSA 660 bits pour le chiffrement. Plusieurs années plus tard, Gpcode.AK – son prédécesseur – est passé à l’utilisation d’un chiffrement RSA 1024 bits. Cette variante ciblait plus de 35 extensions de fichiers.
Les attaques de logiciels rançonneur ont peut-être commencé de manière simpliste et audacieuse, mais aujourd’hui, elles sont devenues le pire cauchemar d’une entreprise et la vache à lait d’un criminel.
Les cybercriminels savent qu’ils peuvent gagner de l’argent avec le logiciel rançonneur et c’est devenu une industrie largement rentable.
Selon une étude de Google intitulée Tracking logiciel rançonneur End-to-End, les cybercriminels gagnent plus d’un million de dollars par mois avec le logiciel rançonneur. « C'est devenu un marché très, très rentable et il est là pour durer », explique un chercheur. L'étude a recensé plus de 16 millions de dollars, apparemment des paiements de rançons effectués par 19 750 personnes en deux ans.
La BBC a rendu compte de cette étude de Google et a expliqué qu’il existe plusieurs « souches » de logiciel rançonneur et que certaines souches gagnent plus d’argent que d’autres. Par exemple, une analyse de la blockchain Bitcoin a montré que les deux variétés les plus populaires, Locky et Cerber, ont engrangé 14,7 millions de dollars combinés en un an seulement.
Selon l’étude, plus de 95 % des attaquants de logiciels rançonneurs ont encaissé leurs paiements en bitcoins via la défunte plateforme d’échange russe BTC-e. Ils ne seront probablement jamais capturés.
Les propriétaires d’entreprise qui ne sont pas préparés à une attaque de logiciel rançonneur ne rebondiront pas sans conséquence, s’ils rebondissent. Soit ils paient la rançon (ce qui n’aboutit pas toujours à la restauration des fichiers), soit ils passeront du temps et de l’argent à essayer sans succès de déchiffrer le chiffrement.
Quand rien ne fonctionne, ils se procurent une ancienne version de leurs fichiers auprès d'employés, de sous-traitants et d'autres personnes susceptibles d'en avoir des copies. Bien qu'ils puissent trouver la plupart de leurs fichiers, il ne s'agira pas de versions récentes et toute l'équipe devra faire des heures supplémentaires juste pour reprendre ses activités normales.
La seule façon de prévenir une attaque de logiciel ransomware est d’être préparé avant qu’elle ne se produise. Cela nécessite de créer des sauvegardes hors ligne régulières sur un appareil qui ne reste pas connecté à Internet. Les logiciels malveillants, y compris les logiciels rançonneurs, peuvent infecter les disques de sauvegarde et les clés USB de la même manière. Il est crucial de vous assurer de maintenir à jour vos sauvegardes hors ligne.
Si vous ne l’avez pas encore fait, c’est le moment de sécuriser tous les postes avec le logiciel anti-logiciel rançonneur. Chez Check Point Software, nous offrons cette solution à tous nos clients de la suite Sécurité des postes. Notre suite Sécurité des postes – Harmony endpoint – offre une prévention des menaces en temps réel à l’ensemble des postes de votre organisation.
Avec autant d’appareils accédant au réseau de votre entreprise, vous ne pouvez pas vous permettre de faire l’impasse sur la protection postale et la prévention des menaces. Le réseau sans frontières d’aujourd’hui nécessite des logiciels puissants pour se protéger contre les attaques cybernétiques de toutes sortes, y compris les logiciels rançonneurs.
Avec Harmony Endpoint, votre réseau sera protégé dynamiquement 24 heures sur 24 contre les logiciels rançonneur et autres menaces.
Pour en savoir plus sur la façon dont Check Point peut protéger votre réseau, planifiez une démo gratuite pour Harmony Endpoint ou contactez-nous pour plus d’informations. Si vous n'êtes pas sûre des services dont vous avez besoin, nos experts en protection des données vous aideront à trouver celui qui vous convient le mieux.