Le logiciel rançonneur, qui permet à un cybercriminel d'empêcher une victime d'accéder à ses fichiers jusqu'au paiement d'une rançon, est l'une des variantes de logiciel malveillant les plus connues à l'heure actuelle et est devenu l'une des principales préoccupations des cybercriminels et des cyberdéfenseurs.
Le logiciel rançonneur utilise des algorithmes de cryptage conçus pour garantir que seule une personne ayant accès à la clé de décryptage peut inverser la transformation appliquée aux données cryptées et restaurer la version originale utilisable. La victime est incitée à payer une rançon parce qu'elle a perdu l'accès à des données précieuses et, une fois la rançon payée, il suffit à l'opérateur du logiciel rançonneur de fournir une courte clé de décryptage pour rétablir l'accès à toutes les données cryptées.
La théorie du logiciel rançonneur est assez simple et ne varie pas beaucoup d'une variante du logiciel rançonneur à l'autre. Cependant, la manière dont le logiciel rançonneur est utilisé par les cybercriminels peut être très différente selon les groupes et les campagnes d'attaque, et a évolué de manière significative au cours des dernières années.
Selon Checkpoint Research, le nombre d'organisations impactées par le logiciel rançonneur au niveau mondial a plus que doublé au premier semestre 2021 par rapport à 2020, et les secteurs de la santé et des services publics sont les plus ciblés depuis le début du mois d'avril 2021.
Le succès de la double extorsion en 2020 est évident, en particulier depuis l'apparition de la pandémie de Covid-19. Bien que tous les cas - et leurs conséquences - ne soient pas signalés et rendus publics, les statistiques recueillies entre 2020 et 2021 illustrent l'importance du vecteur d'agression. Le prix moyen d'une rançon a augmenté de 171 % au cours de l'année écoulée, pour atteindre près de 310 000 dollars.
Les attaques du logiciel rançonneur qui ont eu lieu à la fin de 2020 et au début de 2021 indiquent une nouvelle chaîne d'attaque - essentiellement un élargissement de l'approche de la double extorsion du logiciel rançonneur, incorporant une menace supplémentaire et unique au processus - une triple attaque d'extorsion.
Attaques célèbres en 2021- Microsoft Exchange hack, Colonial Pipeline réseau, City of Tulsa, JBS Meat Company, Fujifilm
Fin 2019 et début 2020, une nouvelle tendance est apparue dans les attaques du logiciel rançonneur. Au lieu de se limiter à chiffrer les fichiers des victimes, les auteurs du logiciel rançonneur ont commencé à voler les données sensibles de leurs cibles. Les variantes du logiciel rançonneur qui volent les données des utilisateurs comprennent Ako, CL0P, DoppelPaymer, Maze, Pysa, Nefilim, Nemty, Netwalker, Ragnarlocker, REvil, Sekhmet et Snatch.
Cette décision fait suite au refus d'organisations de payer des rançons après avoir été victimes d'une infection par un logiciel rançonneur. Bien que le coût de la remédiation d'une attaque par logiciel rançonneur soit souvent plus élevé que la rançon demandée, les bonnes pratiques veulent que les rançons ne soient pas payées, car elles permettent aux cybercriminels de poursuivre leurs opérations et de mener d'autres attaques.
En volant les données des ordinateurs infectés avant de les crypter, les opérateurs du logiciel rançonneur pouvaient menacer d'exposer ces données si la victime refusait de payer la rançon. Selon le type de données collectées et divulguées, une organisation pourrait perdre un avantage concurrentiel sur le marché ou se trouver en infraction avec les lois sur la protection des données, telles que le règlement général sur la protection des données (RGPD), en raison de son incapacité à protéger les données des clients qui lui ont été confiées.
L'année 2019 est connue pour être celle où les opérateurs de logiciels rançonneurs se sont concentrés sur les institutions critiques. Rien qu'au cours des trois premiers trimestres de 2019, plus de 621 hôpitaux, écoles et villes des États-Unis ont été victimes d'attaques de logiciel rançonneur par Ryuk et d'autres variantes de logiciel rançonneur. Ces attaques ont coûté des centaines de millions de dollars et ont eu pour conséquence que des villes ont été incapables de fournir des services à leurs habitants et que des hôpitaux ont été contraints d'annuler des procédures non essentielles afin de fournir des soins critiques à leurs patients.
Cette nouvelle approche du logiciel rançonneur tire parti de l'importance des services fournis par ces organisations. Contrairement à certaines entreprises, qui pouvaient supporter une dégradation de leurs activités pendant qu'elles se remettaient d'une attaque, les villes, les écoles et les hôpitaux devaient rétablir leurs activités le plus rapidement possible et avaient souvent accès à des fonds d'urgence. Par conséquent, les attaques du logiciel rançonneur contre ces organisations ont souvent été couronnées de succès et continuent de se produire.
Contrairement à la plupart des attaques par logiciel rançonneur qui visent des personnes et des entreprises au hasard, Ryuk logiciel rançonneur était une attaque très ciblée. Les cybercriminels à l'origine de cette opération ont ciblé des victimes dont les activités seraient fortement perturbées, même par un temps d'arrêt minime.
Ryuk a été conçu pour crypter les serveurs des entreprises et perturber les activités jusqu'au paiement de la rançon, plutôt que de voler ou de compromettre les données d'un individu.
Les cibles de Ryuk
Les victimes visées étaient des journaux, notamment tous les journaux de la Tribune, et une société de distribution d'eau en Caroline du Nord. Les journaux concernés ont dû produire une version réduite du journal quotidien qui ne comportait pas de petites annonces payantes.
Les détails
Ryuk a infecté les systèmes par le biais d'un logiciel malveillant appelé TrickBot et d'un logiciel de bureau à distance. Après avoir bloqué l'accès aux serveurs, Ryuk a exigé entre 15 et 50 bitcoins, soit environ 100 000 à 500 000 dollars.
En plus de désactiver les serveurs, d'infecter les postes et de crypter les sauvegardes, Ryuk a désactivé l'option de restauration du système d'exploitation Windows pour empêcher les victimes de se remettre de l'attaque.
Lorsque le logiciel malveillant a été découvert, des correctifs ont été créés pour contrecarrer l'attaque, mais ils n'ont pas tenu. Dès que les serveurs ont été remis en ligne, Ryuk a commencé à réinfecter l'ensemble du réseau de serveurs.
Les experts de McAfee soupçonnent que Ryuk a été construit à l'aide d'un code provenant d'un groupe de pirates nord-coréens qui se font appeler le Lazarus Group. Cependant, le logiciel rançonneur exigeait que la langue de l'ordinateur soit réglée sur le russe, le biélorusse ou l'ukrainien pour pouvoir être exécuté.
Comme Ryuk, PureLocker a été conçu pour crypter des serveurs entiers et exiger une rançon pour rétablir l'accès. Le logiciel malveillant a été spécialement conçu pour passer inaperçu en dissimulant son comportement malveillant dans des environnements de type "bac à sable" et en imitant des fonctions normales. Il se supprime également après l'exécution du code malveillant.
Les cibles de PureLocker
PureLocker visait les serveurs de grandes entreprises dont les attaquants pensaient qu'elles paieraient une forte rançon.
Les détails
Après une analyse approfondie, les chercheurs en cryptographie d'Intezer et d'IBM X-Force ont baptisé ce logiciel rançonneur PureLocker parce qu'il est écrit dans le langage de programmation PureBasic.
L'écriture de logiciels malveillants en PureBasic est inhabituelle, mais elle a donné aux attaquants un sérieux avantage : il est difficile de détecter les logiciels malveillants écrits en PureBasic. Les programmes PureBasic sont également faciles à utiliser sur diverses plates-formes.
PureLocker est toujours exécuté par de grandes organisations cybercriminelles. Les experts estiment que PureLocker est vendu en tant que service à des organisations cybercriminelles qui disposent des connaissances nécessaires pour cibler les grandes entreprises. Étrangement, le logiciel rançonneur-as-a-service (RaaS) est aujourd'hui une "chose".
Les experts en cybersécurité ne savent pas exactement comment PureLocker s'introduit dans les serveurs ; l'adoption d'une approche de confiance zéro en matière de sécurité des réseaux est le meilleur moyen de se protéger contre les menaces inconnues.
REvil est un logiciel malveillant issu d'une souche appelée GandCrab qui ne s'exécute pas en Russie, en Syrie ou dans d'autres pays voisins. Cela indique qu'il est originaire de cette région.
Comme PureLocker, REvil serait un logiciel rançonneur-as-a-service et les experts en sécurité ont déclaré qu'il s'agissait de l'un des pires cas de logiciel rançonneur observés en 2019.
Pourquoi REvil est-il si mauvais ? Dans la plupart des cas d'attaques par logiciel rançonneur, les gens peuvent ignorer la demande de rançon et limiter leurs pertes. Cependant, les auteurs de l'attaque ont menacé de publier et de vendre les données confidentielles qu'ils ont cryptées si la rançon n'était pas payée.
Les cibles de REvil
En septembre 2019, REvil a fermé au moins 22 petites villes du Texas. Trois mois plus tard, à la veille du Nouvel An, REvil a fermé Travelex, un fournisseur britannique de services de change.
Lorsque Travelex a fait faillite, les bourses d'aéroport ont dû recourir à la vieille école et créer des registres papier pour documenter les échanges. Les cybercriminels ont demandé une rançon de 6 millions de dollars, mais Travelex n'a pas voulu confirmer ou infirmer le paiement de cette somme.
Les détails
REvil exploite une vulnérabilité dans les serveurs Oracle WebLogic et l'outil pulse Connect Secure RVP.
Le 1er mars 2019, le logiciel rançonneur a attaqué le centre de répartition 911 du comté de Jefferson et l'a mis hors ligne. Le personnel de la prison du comté a également perdu la possibilité d'ouvrir les portes des cellules à distance, et les policiers ne peuvent plus récupérer les données des plaques d'immatriculation à partir de leurs ordinateurs portables.
En l'absence d'un système 911 opérationnel, la ville entière était vulnérable aux effets secondaires de cette attaque du logiciel rançonneur. Les répartiteurs n'ont pas eu accès aux ordinateurs pendant deux semaines.
Le système de vidéoconférence qui permettait aux détenus de communiquer avec les membres de leur famille est également tombé en panne. Les gardiens devaient accompagner les détenus en personne lors des visites familiales, ce qui augmentait les risques pour leur sécurité.
La ville a payé la rançon de 400 000 dollars et a pu restaurer ses systèmes.
Le 10 avril 2019, la ville de Greenville, NC, a été attaquée par un logiciel rançonneur nommé RobinHood. Lorsque la plupart des serveurs de la ville sont tombés en panne, l'équipe informatique de la ville a mis les autres serveurs hors ligne pour limiter les dégâts.
Ce n'était pas la première fois que RobinHood faisait parler de lui. En mai 2019, la ville de Baltimore a été durement touchée. La ville a dû dépenser plus de 10 millions de dollars pour se remettre d'une attaque de RobinHood. Bien que la rançon n'ait été que de 76 000 dollars, la récupération des données a coûté à la ville 4,6 millions de dollars et tous les systèmes de la ville sont restés hors service pendant un mois. La ville a subi 18 millions de dollars de dommages.
En 2018, le logiciel rançonneur a perdu en popularité alors que l'augmentation de la valeur des crypto-monnaies a entraîné une recrudescence du cryptojacking. Le Cryptojacking logiciel malveillant est conçu pour infecter un ordinateur cible et l'utiliser pour effectuer les étapes de calcul lourdes requises pour "miner" le Bitcoin et d'autres crypto-monnaies à preuve de travail (PoW) et recevoir les récompenses associées à la découverte d'un bloc valide.
Toutefois, cela ne signifie pas que le logiciel rançonneur a été complètement inactif en 2018. En août 2018, le logiciel rançonneur Ryuk (l'une des principales menaces du logiciel rançonneur aujourd'hui) a été découvert pour la première fois "dans la nature". L'émergence de Ryuk s'inscrit dans le cadre d'une évolution de la manière dont les opérateurs de logiciels rançonneur gagnent de l'argent. Les attaques comme WannaCry ont privilégié la quantité sur la qualité, en s'attaquant au plus grand nombre de victimes possible et en exigeant une petite rançon de chacune d'entre elles. Cependant, cette approche n'a pas toujours été rentable, car le commun des mortels n'a pas les connaissances nécessaires pour payer une rançon en crypto-monnaie. En conséquence, les opérateurs de logiciels rançonneur ont dû fournir un nombre important de "services à la clientèle" pour obtenir leurs paiements.
En 2018 et au-delà, les opérateurs du logiciel rançonneur sont devenus plus sélectifs dans le choix de leurs cibles. En s'attaquant à des entreprises spécifiques, les cybercriminels pouvaient augmenter la probabilité que les données cryptées par leur logiciel malveillant soient précieuses et que leur cible soit capable de payer la rançon. Cela a permis aux opérateurs de logiciels rançonneur d'exiger un prix plus élevé par victime en espérant raisonnablement être payés.
2017 a été l'année où le logiciel rançonneur est véritablement entré dans les mœurs. Si le logiciel rançonneur existe depuis des décennies, les attaques WannaCry et NotPetya de 2017 ont fait connaître ce type de logiciel malveillant. Ces variantes de logiciel rançonneur ont également incité d'autres cybercriminels et auteurs de logiciels malveillants à se lancer dans le domaine du logiciel rançonneur.
WannaCry est un ver logiciel rançonneur qui utilise l'exploit EternalBlue, développé par la NSA, pour se propager d'un ordinateur à l'autre. En l'espace de trois jours, WannaCry a réussi à infecter plus de 200 000 ordinateurs et à causer des milliards de dollars de dégâts avant qu'un chercheur en sécurité ne mette fin à l'attaque en ciblant son "kill switch" intégré.
NotPetya est un exemple de variante célèbre qui n'est en fait pas du tout un logiciel rançonneur, mais plutôt un logiciel malveillant d'essuie-glace qui se fait passer pour un logiciel rançonneur. Bien qu'il demande à ses victimes de payer une rançon, le code du logiciel malveillant n'a aucun moyen de fournir aux opérateurs du logiciel malveillant une clé de décryptage. Comme ils n'avaient pas la clé, ils ne pouvaient pas la fournir à leurs victimes, ce qui rendait impossible la récupération des fichiers cryptés.
Le logiciel rançonneur s'est révélé être un outil extrêmement efficace pour les cybercriminels. La perte d'accès à leurs données a incité de nombreuses organisations à payer d'importantes rançons pour les récupérer. Le succès du logiciel rançonneur signifie qu'il est peu probable qu'il disparaisse en tant que menace pour la cybersécurité des organisations. La protection contre ce logiciel malveillant nécessite le déploiement d'une solution anti-logiciel rançonneur spécialisée.