Qu'est-ce que le logiciel rançonneur ?

Le logiciel rançonneur est un logiciel malveillant conçu pour empêcher un utilisateur ou une organisation d'accéder aux fichiers de son ordinateur. En chiffrant ces fichiers et en exigeant le paiement d'une rançon pour obtenir la clé de déchiffrement, les cyberattaquants placent les organisations dans une position où le paiement de la rançon est le moyen le plus simple et le moins coûteux de retrouver l'accès à leurs fichiers. Certaines variantes ont ajouté des fonctionnalités supplémentaires - telles que le vol de données - pour inciter davantage les victimes du logiciel rançonneur à payer la rançon.

Le logiciel rançonneur est rapidement devenu le logiciel le plus important et le type de logiciel malveillant visible. Les récentes attaques du logiciel rançonneur ont affecté la capacité des hôpitaux à fournir des services cruciaux, paralysé les services publics dans les villes et causé des dommages importants à diverses organisations.

Ransomware Prevention CISO Guide Parlez à un expert

logiciel rançonneur Attack - Qu'est-ce que c'est et comment ça marche ?

Pourquoi les attaques du logiciel rançonneur émergent-elles ?

L'engouement pour le logiciel rançonneur moderne a commencé avec l'épidémie de WannaCry en 2017. Cette attaque à grande échelle et très médiatisée a démontré que les attaques par logiciel rançonneur étaient possibles et potentiellement rentables. Depuis lors, des dizaines de variantes du logiciel rançonneur ont été développées et utilisées dans diverses attaques.

The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.

In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.

In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.

Comment fonctionne le logiciel rançonneur

Pour réussir, le logiciel rançonneur doit accéder à un système cible, crypter les fichiers qui s'y trouvent et demander une rançon à la victime.
Si les détails de la mise en œuvre varient d'une variante du logiciel rançonneur à l'autre, toutes partagent les mêmes trois étapes fondamentales

  • Étape 1. Vecteurs d'infection et de distribution

Le logiciel rançonneur, comme tout logiciel malveillant, peut accéder aux systèmes d'une organisation de différentes manières. Cependant, les opérateurs du logiciel rançonneur ont tendance à privilégier quelques vecteurs d'infection spécifiques.

L'un d'entre eux est l'hameçonnage (phishing). Un courriel malveillant peut contenir un lien vers un site web hébergeant un téléchargement malveillant ou une pièce jointe intégrant une fonctionnalité de téléchargement. Si le destinataire du courrier électronique tombe dans le panneau, le logiciel rançonneur est téléchargé et exécuté sur son ordinateur.

Un autre vecteur d'infection populaire du logiciel rançonneur tire parti de services tels que le protocole de bureau à distance (RDP). Avec RDP, un pirate qui a volé ou deviné les identifiants de connexion d'un employé peut les utiliser pour s'authentifier et accéder à distance à un ordinateur au sein du réseau de l'entreprise. Avec cet accès, l'attaquant peut directement télécharger le logiciel malveillant et l'exécuter sur la machine qu'il contrôle.

D'autres peuvent tenter d'infecter directement les systèmes, comme WannaCry qui a exploité la vulnérabilité EternalBlue. La plupart des variantes du logiciel rançonneur ont plusieurs vecteurs d'infection.

  • Étape 2. Chiffrement des données

 Une fois que le logiciel rançonneur a accédé à un système, il peut commencer à crypter ses fichiers. La fonctionnalité de chiffrement étant intégrée dans un système d'exploitation, il s'agit simplement d'accéder aux fichiers, de les chiffrer à l'aide d'une clé contrôlée par l'attaquant et de remplacer les originaux par les versions chiffrées. La plupart des variantes du logiciel rançonneur sont prudentes dans leur sélection de fichiers à crypter afin de garantir la stabilité du système. Certaines variantes prennent également des mesures pour supprimer les copies de sauvegarde et les copies d'ombre des fichiers afin de rendre plus difficile la récupération sans la clé de décryptage.

  • Étape 3. Demande de rançon

Une fois le chiffrement du fichier terminé, le logiciel rançonneur est prêt à demander une rançon. Les différentes variantes du logiciel rançonneur mettent cela en œuvre de différentes manières, mais il n'est pas rare que l'arrière-plan de l'écran soit remplacé par une note de rançon ou que des fichiers texte soient placés dans chaque répertoire crypté contenant la note de rançon. Généralement, ces billets exigent un montant déterminé de crypto-monnaie en échange de l'accès aux fichiers de la victime. Si la rançon est payée, l'opérateur du logiciel rançonneur fournira soit une copie de la clé privée utilisée pour protéger la clé de chiffrement symétrique, soit une copie de la clé de chiffrement symétrique elle-même. Ces informations peuvent être saisies dans un programme de décryptage (également fourni par le cybercriminel) qui peut les utiliser pour inverser le chiffrement et restaurer l'accès aux fichiers de l'utilisateur.

Bien que ces trois étapes fondamentales existent dans toutes les variantes du logiciel rançonneur, les différents logiciels rançonneur peuvent inclure des implémentations différentes ou des étapes supplémentaires. Par exemple, des variantes du logiciel rançonneur comme Maze analysent les fichiers, les informations du registre et le vol de données avant le chiffrement des données, et le logiciel rançonneur WannaCry recherche d'autres appareils vulnérables à infecter et à chiffrer.

Types of Ransomware Attacks

Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:

  • Double Extortion: Double-extortion ransomware like Maze combines data encryption with data theft. This technique was developed in response to organizations refusing to pay ransoms and restoring from backups instead. By stealing an organization’s data as well, the cybercriminals could threaten to leak it if the victim doesn’t pay up.
  • Triple Extortion: Triple extortion ransomware adds a third extortion technique to double extortion. Often, this includes demanding a ransom from the victim’s customers or partners or performing a distributed denial-of-service (DDoS) attack against the company as well.
  • Locker Ransomware: Locker ransomware is ransomware that doesn’t encrypt the files on the victim’s machine. Instead, it locks the computer — rendering it unusable to the victim — until the ransom has been paid.
  • Crypto Ransomware: Crypto ransomware is another name for ransomware that underscores the fact that ransomware payments are commonly paid in cryptocurrency. The reason for this is that cryptocurrencies are digital currencies that are more difficult to track since they’re not managed by the traditional financial system.
  • Wiper: Wipers are a form of malware that is related to but distinct from ransomware. While they may use the same encryption techniques, the goal is to permanently deny access to the encrypted files, which may include deleting the only copy of the encryption key.
  • Ransomware as a Service (RaaS): RaaS is a malware distribution model in which ransomware gangs provide “affiliates” with access to their malware. These affiliates infect targets with the malware and split any ransom payments with the ransomware developers.
  • Data-Stealing Ransomware: Some ransomware variants have focused on data theft, abandoning data encryption entirely. One reason for this is that encryption can be time-consuming and easily detectable, providing an organization with an opportunity to terminate the infection and protect some files from encryption.

Logiciel rançonneur populaire Variantes

Il existe des dizaines de variantes du logiciel rançonneur, chacune ayant ses propres caractéristiques. Cependant, certains groupes de logiciel rançonneur ont été plus prolifiques et ont connu plus de succès que d'autres, ce qui les a fait sortir du lot.

1. Ryuk

Ryuk est un exemple de variante très ciblée du logiciel rançonneur. Il est généralement diffusé par le biais de courriels de hameçonnage ou en utilisant des informations d'identification compromises pour se connecter à des systèmes d'entreprise à l'aide du protocole de bureau à distance (RDP). Une fois le système infecté, Ryuk crypte certains types de fichiers (en évitant ceux qui sont essentiels au fonctionnement de l'ordinateur), puis présente une demande de rançon.

Ryuk est réputé pour être l'un des logiciels rançonneur les plus chers qui soient. Ryuk exige des rançons qui moyenne supérieure à 1 million de dollars. Par conséquent, les cybercriminels qui se cachent derrière Ryuk se concentrent principalement sur les entreprises qui disposent des ressources nécessaires pour répondre à leurs demandes.

2. Labyrinthe

Les Labyrinthe logiciel rançonneur est célèbre pour avoir été la première variante de logiciel rançonneur à combinez le chiffrement des fichiers et le vol de données. Lorsque les cibles ont commencé à refuser de payer les rançons, Maze a commencé à collecter des données sensibles sur les ordinateurs des victimes avant de les crypter. Si la demande de rançon n'est pas satisfaite, ces données sont exposées publiquement ou vendues au plus offrant. La possibilité d'une violation coûteuse des données a été utilisée comme une incitation supplémentaire à payer.

Le groupe à l'origine du logiciel rançonneur Maze a a officiellement mis fin à ses activités. Cela ne signifie pas pour autant que la menace du logiciel rançonneur a été réduite. Certains affiliés de Maze sont passés à l'utilisation du logiciel rançonneur Egregor, et les variantes Egregor, Maze et Sekhmet auraient une source commune.

3.REvil (Sodinokibi)

Le groupe REvil (également connu sous le nom de Sodinokibi ) est une autre variante du logiciel rançonneur qui cible les grandes entreprises.

REvil est l'une des familles de logiciels rançonneur les plus connues sur le net. Le groupe logiciel rançonneur, exploité par le groupe russophone REvil depuis 2019, est à l'origine de nombreuses brèches importantes telles que "Kaseya" et "JBS

Il est en concurrence avec Ryuk depuis plusieurs années pour le titre de variante la plus chère du logiciel rançonneur. REvil est connu pour avoir exigeait le paiement d'une rançon de 800 000 dollars.

Si REvil a commencé comme une variante traditionnelle du logiciel rançonneur, il a évolué au fil du temps.
Il utilise la technique de la double extorsion pour voler les données des entreprises tout en chiffrant les fichiers. Cela signifie qu'en plus d'exiger une rançon pour décrypter les données, les attaquants peuvent menacer de divulguer les données volées si un second paiement n'est pas effectué.

4. Lockbit

LockBit est un logiciel malveillant de chiffrement de données en activité depuis septembre 2019 et un récent logiciel rançonneur-as-a-Service (RaaS). Ce logiciel rançonneur a été développé pour crypter rapidement les grandes organisations afin d'empêcher sa détection rapide par les dispositifs de sécurité et les équipes IT/SOC. 

5. CherCry

En mars 2021, Microsoft a publié des correctifs pour quatre vulnérabilités au sein des serveurs Microsoft Exchange. DearCry est une nouvelle variante du logiciel rançonneur conçue pour tirer parti de quatre vulnérabilités récemment révélées dans Microsoft Exchange.

Le logiciel DearCry rançonneur crypte certains types de fichiers. Une fois le cryptage terminé, DearCry affiche un message de rançon demandant aux utilisateurs d'envoyer un courrier électronique aux opérateurs du logiciel rançonneur afin d'apprendre comment décrypter leurs fichiers.

6. Lapsus$

Lapsus$ est un gang sud-américain de logiciels rançonneur qui a été associé à des cyberattaques visant des cibles de premier plan. Ce cyber-gang est connu pour ses pratiques d'extorsion, menaçant de divulguer des informations sensibles si ses victimes ne se plient pas à ses exigences. Le groupe s'est vanté d'avoir pénétré chez Nvidia, Samsung, Ubisoft et d'autres. Le groupe utilise un code source volé pour déguiser des fichiers logiciels malveillants en fichiers dignes de confiance.

How Does Ransomware Affect Businesses?

A successful ransomware attack can have various impacts on a business. Some of the most common risks include:

  • Financial Losses: Ransomware attacks are designed to force their victims to pay a ransom. Additionally, companies can lose money due to the costs of remediating the infection, lost business, and potential legal fees.
  • Data Loss: Some ransomware attacks encrypt data as part of their extortion efforts. Often, this can result in data loss, even if the company pays the ransom and receives a decryptor.
  • Data Breach: Ransomware groups are increasingly pivoting to double or triple extortion attacks. These attacks incorporate data theft and potential exposure alongside data encryption.
  • Downtime: Ransomware encrypts critical data, and triple extortion attacks may incorporate DDoS attacks. Both of these have the potential to cause operational downtime for an organization.
  • Brand Damage: Ransomware attacks can harm an organization’s reputation with customers and partners. This is especially true if customer data is breached or they receive ransom demands as well.
  • Legal and Regulatory Penalties: Ransomware attacks may be enabled by security negligence and may include the breach of sensitive data. This may open up a company to lawsuits or penalties being levied by regulators.

Common Ransomware Target Industries

Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:

  • Education/Research: The Education/Research sector experienced 2046 ransomware attacks in 2023, a 12% drop from the previous year.
  • Government/Military: Government and military organizations were the second most targeted industry with 1598 attacks and a 4% decrease from 2022.
  • Healthcare: Healthcare experienced 1500 attacks and a 3% increase, which is particularly concerning due to the sensitive data and critical services that it provides.
  • Communications: Communications organizations experienced an 8% growth in 2023, totaling 1493 known attacks.
  • ISP/MSPs: ISPs and MSPs — a common ransomware target due to their potential for supply chain attacks — experienced 1286 ransomware attacks in 2023, a 6% decrease.

Comment se protéger contre le logiciel rançonneur

  • Utiliser les meilleures pratiques

Une préparation adéquate peut réduire considérablement le coût et l'impact d'une attaque par logiciel rançonneur. L'adoption des meilleures pratiques suivantes peut réduire l'exposition d'une organisation au logiciel rançonneur et en minimiser l'impact :

  1. Cyber Awareness Training and Education : le logiciel rançonneur est souvent diffusé par le biais d'e-mails de phishing. Il est essentiel de former les utilisateurs à la manière d'identifier et d'éviter les attaques potentielles du logiciel rançonneur. Étant donné qu'un grand nombre des attaques cybernétiques actuelles commencent par un courriel ciblé qui ne contient même pas de logiciel malveillant, mais seulement un message socialement élaboré qui encourage l'utilisateur à cliquer sur un lien malveillant, l'éducation des utilisateurs est souvent considérée comme l'une des défenses les plus importantes qu'une organisation puisse déployer.
  2. Sauvegardes continues des données :  la définition du logiciel rançonneur indique qu'il s'agit d'un logiciel malveillant conçu pour que le paiement d'une rançon soit le seul moyen de restaurer l'accès aux données cryptées. Les sauvegardes de données automatisées et protégées permettent à une organisation de se remettre d'une attaque avec un minimum de perte de données et sans avoir à payer de rançon. Il est très important d'effectuer des sauvegardes régulières des données afin d'éviter de les perdre et de pouvoir les récupérer en cas de corruption ou de dysfonctionnement du matériel de disque. Les sauvegardes fonctionnelles peuvent également aider les organisations à se remettre des attaques du logiciel rançonneur.
  3. Patching : le patch est un élément essentiel de la défense contre les attaques du logiciel rançonneur, car les cybercriminels recherchent souvent les derniers exploits découverts dans les patchs mis à disposition et ciblent ensuite les systèmes qui n'ont pas encore été patchés. Il est donc essentiel que les organisations veillent à ce que tous les systèmes soient dotés des derniers correctifs, car cela réduit le nombre de vulnérabilités potentielles au sein de l'entreprise qu'un pirate peut exploiter.
  4. Authentification de l'utilisateur : L'accès à des services tels que RDP à l'aide d'informations d'identification volées est une des techniques préférées des attaquants du logiciel rançonneur. L'utilisation d'une authentification forte de l'utilisateur peut rendre plus difficile l'utilisation par un pirate d'un mot de passe deviné ou volé.
  • Réduire la surface d'attaque

Compte tenu du coût potentiel élevé d'une infection logiciel rançonneur, la prévention est la meilleure stratégie d'atténuation logiciel rançonneur. On peut y parvenir en réduisant la surface d'attaque :

  1. Messages d'hameçonnage
  2. Vulnérabilité non corrigée
  3. Solutions d'accès à distance
  4. Mobile logiciel malveillant
  • Déployer la solutionAnti-logiciel rançonneur

La nécessité de crypter tous les fichiers d'un utilisateur signifie que le logiciel rançonneur a une empreinte digitale unique lorsqu'il s'exécute sur un système. Les solutions anti-logiciel rançonneur sont conçues pour identifier ces empreintes. Les caractéristiques communes d'une bonne solution anti-logiciel rançonneur sont les suivantes :

  • Détection de variantes à grande échelle
  • Détection rapide
  • Restauration automatique
  • Mécanisme de restauration ne reposant pas sur des outils intégrés courants (tels que "Shadow Copy", qui est la cible de certaines variantes du logiciel rançonneur).

Comment supprimer le logiciel rançonneur ?

Un message de rançon n'est pas quelque chose que l'on souhaite voir sur son ordinateur, car il indique que l'infection par le logiciel rançonneur a réussi. À ce stade, certaines mesures peuvent être prises pour répondre à une infection par un logiciel rançonneur actif, et une organisation doit faire le choix de payer ou non la rançon.

  • Comment atténuer une infection par un logiciel rançonneur actif ?

De nombreuses attaques réussies du logiciel rançonneur ne sont détectées qu'après le chiffrement des données et l'affichage d'une note de rançon sur l'écran de l'ordinateur infecté. À ce stade, les fichiers cryptés sont probablement irrécupérables, mais certaines mesures doivent être prises immédiatement :

  1. Mettez la machine en quarantaine : Certaines variantes du logiciel rançonneur tentent de se propager aux lecteurs connectés et à d'autres machines. Limitez la propagation du logiciel malveillant en supprimant l'accès à d'autres cibles potentielles.
  2. Laissez l'ordinateur allumé : le chiffrement des fichiers peut rendre l'ordinateur instable et la mise hors tension de l'ordinateur peut entraîner la perte de la mémoire volatile. Laissez l'ordinateur allumé pour maximiser les chances de récupération.
  3. Créez une sauvegarde : Le décryptage des fichiers de certaines variantes du logiciel rançonneur est possible sans payer la rançon. Faites une copie des fichiers cryptés sur un support amovible au cas où une solution serait disponible à l'avenir ou si une tentative de décryptage échouée endommageait les fichiers.
  4. Vérifiez s'il existe des décrypteurs : Consultez le projet No More Ransom pour voir si un décrypteur gratuit est disponible. Si c'est le cas, exécutez-le sur une copie des données cryptées pour voir s'il peut restaurer les fichiers.
  5. Demandez de l'aide : Les ordinateurs stockent parfois des copies de sauvegarde des fichiers qu'ils contiennent. Un expert en criminalistique numérique peut être en mesure de récupérer ces copies si elles n'ont pas été supprimées par le logiciel malveillant.
  6. Effacer et restaurer : Restaurez la machine à partir d'une sauvegarde propre ou d'une installation du système d'exploitation. Cela permet de s'assurer que le logiciel malveillant est complètement supprimé de l'appareil.

Comment Check Point peut-il vous aider ?

La technologie Anti-logiciel rançonneur de Check Point utilise un moteur spécialement conçu pour se défendre contre les variantes zero-day les plus sophistiquées et les plus évasives du logiciel rançonneur et récupérer en toute sécurité les données cryptées, garantissant ainsi la continuité des activités et la productivité. L'efficacité de cette technologie est vérifiée chaque jour par notre équipe de recherche, qui obtient régulièrement d'excellents résultats en matière d'identification et d'atténuation des attaques.

Harmony poste, le produit leader de Check Point en matière de prévention et de réponse au poste, inclut la technologie Anti-logiciel rançonneur et fournit une protection aux navigateurs web et au poste, en s'appuyant sur les protections réseau de Check Point, leaders sur le marché. Harmony poste offre une prévention des menaces et une remédiation complètes et en temps réel pour tous les vecteurs de menaces du logiciel malveillant, permettant aux employés de travailler en toute sécurité, où qu'ils soient, sans compromettre leur productivité.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK