Le logiciel rançonneur est un logiciel malveillant conçu pour empêcher un utilisateur ou une organisation d'accéder aux fichiers de son ordinateur. En chiffrant ces fichiers et en exigeant le paiement d'une rançon pour obtenir la clé de déchiffrement, les cyberattaquants placent les organisations dans une position où le paiement de la rançon est le moyen le plus simple et le moins coûteux de retrouver l'accès à leurs fichiers. Certaines variantes ont ajouté des fonctionnalités supplémentaires - telles que le vol de données - pour inciter davantage les victimes du logiciel rançonneur à payer la rançon.
Le logiciel rançonneur est rapidement devenu le logiciel le plus important et le type de logiciel malveillant visible. Les récentes attaques du logiciel rançonneur ont affecté la capacité des hôpitaux à fournir des services cruciaux, paralysé les services publics dans les villes et causé des dommages importants à diverses organisations.
L'engouement pour le logiciel rançonneur moderne a commencé avec l'épidémie de WannaCry en 2017. Cette attaque à grande échelle et très médiatisée a démontré que les attaques par logiciel rançonneur étaient possibles et potentiellement rentables. Depuis lors, des dizaines de variantes du logiciel rançonneur ont été développées et utilisées dans diverses attaques.
The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.
In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.
In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.
Pour réussir, le logiciel rançonneur doit accéder à un système cible, crypter les fichiers qui s'y trouvent et demander une rançon à la victime.
Si les détails de la mise en œuvre varient d'une variante du logiciel rançonneur à l'autre, toutes partagent les mêmes trois étapes fondamentales
Le logiciel rançonneur, comme tout logiciel malveillant, peut accéder aux systèmes d'une organisation de différentes manières. Cependant, les opérateurs du logiciel rançonneur ont tendance à privilégier quelques vecteurs d'infection spécifiques.
L'un d'entre eux est l'hameçonnage (phishing). Un courriel malveillant peut contenir un lien vers un site web hébergeant un téléchargement malveillant ou une pièce jointe intégrant une fonctionnalité de téléchargement. Si le destinataire du courrier électronique tombe dans le panneau, le logiciel rançonneur est téléchargé et exécuté sur son ordinateur.
Un autre vecteur d'infection populaire du logiciel rançonneur tire parti de services tels que le protocole de bureau à distance (RDP). Avec RDP, un pirate qui a volé ou deviné les identifiants de connexion d'un employé peut les utiliser pour s'authentifier et accéder à distance à un ordinateur au sein du réseau de l'entreprise. Avec cet accès, l'attaquant peut directement télécharger le logiciel malveillant et l'exécuter sur la machine qu'il contrôle.
D'autres peuvent tenter d'infecter directement les systèmes, comme WannaCry qui a exploité la vulnérabilité EternalBlue. La plupart des variantes du logiciel rançonneur ont plusieurs vecteurs d'infection.
Une fois que le logiciel rançonneur a accédé à un système, il peut commencer à crypter ses fichiers. La fonctionnalité de chiffrement étant intégrée dans un système d'exploitation, il s'agit simplement d'accéder aux fichiers, de les chiffrer à l'aide d'une clé contrôlée par l'attaquant et de remplacer les originaux par les versions chiffrées. La plupart des variantes du logiciel rançonneur sont prudentes dans leur sélection de fichiers à crypter afin de garantir la stabilité du système. Certaines variantes prennent également des mesures pour supprimer les copies de sauvegarde et les copies d'ombre des fichiers afin de rendre plus difficile la récupération sans la clé de décryptage.
Une fois le chiffrement du fichier terminé, le logiciel rançonneur est prêt à demander une rançon. Les différentes variantes du logiciel rançonneur mettent cela en œuvre de différentes manières, mais il n'est pas rare que l'arrière-plan de l'écran soit remplacé par une note de rançon ou que des fichiers texte soient placés dans chaque répertoire crypté contenant la note de rançon. Généralement, ces billets exigent un montant déterminé de crypto-monnaie en échange de l'accès aux fichiers de la victime. Si la rançon est payée, l'opérateur du logiciel rançonneur fournira soit une copie de la clé privée utilisée pour protéger la clé de chiffrement symétrique, soit une copie de la clé de chiffrement symétrique elle-même. Ces informations peuvent être saisies dans un programme de décryptage (également fourni par le cybercriminel) qui peut les utiliser pour inverser le chiffrement et restaurer l'accès aux fichiers de l'utilisateur.
Bien que ces trois étapes fondamentales existent dans toutes les variantes du logiciel rançonneur, les différents logiciels rançonneur peuvent inclure des implémentations différentes ou des étapes supplémentaires. Par exemple, des variantes du logiciel rançonneur comme Maze analysent les fichiers, les informations du registre et le vol de données avant le chiffrement des données, et le logiciel rançonneur WannaCry recherche d'autres appareils vulnérables à infecter et à chiffrer.
Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:
Il existe des dizaines de variantes du logiciel rançonneur, chacune ayant ses propres caractéristiques. Cependant, certains groupes de logiciel rançonneur ont été plus prolifiques et ont connu plus de succès que d'autres, ce qui les a fait sortir du lot.
Ryuk est un exemple de variante très ciblée du logiciel rançonneur. Il est généralement diffusé par le biais de courriels de hameçonnage ou en utilisant des informations d'identification compromises pour se connecter à des systèmes d'entreprise à l'aide du protocole de bureau à distance (RDP). Une fois le système infecté, Ryuk crypte certains types de fichiers (en évitant ceux qui sont essentiels au fonctionnement de l'ordinateur), puis présente une demande de rançon.
Ryuk est réputé pour être l'un des logiciels rançonneur les plus chers qui soient. Ryuk exige des rançons qui moyenne supérieure à 1 million de dollars. Par conséquent, les cybercriminels qui se cachent derrière Ryuk se concentrent principalement sur les entreprises qui disposent des ressources nécessaires pour répondre à leurs demandes.
Les Labyrinthe logiciel rançonneur est célèbre pour avoir été la première variante de logiciel rançonneur à combinez le chiffrement des fichiers et le vol de données. Lorsque les cibles ont commencé à refuser de payer les rançons, Maze a commencé à collecter des données sensibles sur les ordinateurs des victimes avant de les crypter. Si la demande de rançon n'est pas satisfaite, ces données sont exposées publiquement ou vendues au plus offrant. La possibilité d'une violation coûteuse des données a été utilisée comme une incitation supplémentaire à payer.
Le groupe à l'origine du logiciel rançonneur Maze a a officiellement mis fin à ses activités. Cela ne signifie pas pour autant que la menace du logiciel rançonneur a été réduite. Certains affiliés de Maze sont passés à l'utilisation du logiciel rançonneur Egregor, et les variantes Egregor, Maze et Sekhmet auraient une source commune.
Le groupe REvil (également connu sous le nom de Sodinokibi ) est une autre variante du logiciel rançonneur qui cible les grandes entreprises.
REvil est l'une des familles de logiciels rançonneur les plus connues sur le net. Le groupe logiciel rançonneur, exploité par le groupe russophone REvil depuis 2019, est à l'origine de nombreuses brèches importantes telles que "Kaseya" et "JBS
Il est en concurrence avec Ryuk depuis plusieurs années pour le titre de variante la plus chère du logiciel rançonneur. REvil est connu pour avoir exigeait le paiement d'une rançon de 800 000 dollars.
Si REvil a commencé comme une variante traditionnelle du logiciel rançonneur, il a évolué au fil du temps.
Il utilise la technique de la double extorsion pour voler les données des entreprises tout en chiffrant les fichiers. Cela signifie qu'en plus d'exiger une rançon pour décrypter les données, les attaquants peuvent menacer de divulguer les données volées si un second paiement n'est pas effectué.
LockBit est un logiciel malveillant de chiffrement de données en activité depuis septembre 2019 et un récent logiciel rançonneur-as-a-Service (RaaS). Ce logiciel rançonneur a été développé pour crypter rapidement les grandes organisations afin d'empêcher sa détection rapide par les dispositifs de sécurité et les équipes IT/SOC.
En mars 2021, Microsoft a publié des correctifs pour quatre vulnérabilités au sein des serveurs Microsoft Exchange. DearCry est une nouvelle variante du logiciel rançonneur conçue pour tirer parti de quatre vulnérabilités récemment révélées dans Microsoft Exchange.
Le logiciel DearCry rançonneur crypte certains types de fichiers. Une fois le cryptage terminé, DearCry affiche un message de rançon demandant aux utilisateurs d'envoyer un courrier électronique aux opérateurs du logiciel rançonneur afin d'apprendre comment décrypter leurs fichiers.
Lapsus$ est un gang sud-américain de logiciels rançonneur qui a été associé à des cyberattaques visant des cibles de premier plan. Ce cyber-gang est connu pour ses pratiques d'extorsion, menaçant de divulguer des informations sensibles si ses victimes ne se plient pas à ses exigences. Le groupe s'est vanté d'avoir pénétré chez Nvidia, Samsung, Ubisoft et d'autres. Le groupe utilise un code source volé pour déguiser des fichiers logiciels malveillants en fichiers dignes de confiance.
A successful ransomware attack can have various impacts on a business. Some of the most common risks include:
Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:
Une préparation adéquate peut réduire considérablement le coût et l'impact d'une attaque par logiciel rançonneur. L'adoption des meilleures pratiques suivantes peut réduire l'exposition d'une organisation au logiciel rançonneur et en minimiser l'impact :
Compte tenu du coût potentiel élevé d'une infection logiciel rançonneur, la prévention est la meilleure stratégie d'atténuation logiciel rançonneur. On peut y parvenir en réduisant la surface d'attaque :
La nécessité de crypter tous les fichiers d'un utilisateur signifie que le logiciel rançonneur a une empreinte digitale unique lorsqu'il s'exécute sur un système. Les solutions anti-logiciel rançonneur sont conçues pour identifier ces empreintes. Les caractéristiques communes d'une bonne solution anti-logiciel rançonneur sont les suivantes :
Un message de rançon n'est pas quelque chose que l'on souhaite voir sur son ordinateur, car il indique que l'infection par le logiciel rançonneur a réussi. À ce stade, certaines mesures peuvent être prises pour répondre à une infection par un logiciel rançonneur actif, et une organisation doit faire le choix de payer ou non la rançon.
De nombreuses attaques réussies du logiciel rançonneur ne sont détectées qu'après le chiffrement des données et l'affichage d'une note de rançon sur l'écran de l'ordinateur infecté. À ce stade, les fichiers cryptés sont probablement irrécupérables, mais certaines mesures doivent être prises immédiatement :
La technologie Anti-logiciel rançonneur de Check Point utilise un moteur spécialement conçu pour se défendre contre les variantes zero-day les plus sophistiquées et les plus évasives du logiciel rançonneur et récupérer en toute sécurité les données cryptées, garantissant ainsi la continuité des activités et la productivité. L'efficacité de cette technologie est vérifiée chaque jour par notre équipe de recherche, qui obtient régulièrement d'excellents résultats en matière d'identification et d'atténuation des attaques.
Harmony poste, le produit leader de Check Point en matière de prévention et de réponse au poste, inclut la technologie Anti-logiciel rançonneur et fournit une protection aux navigateurs web et au poste, en s'appuyant sur les protections réseau de Check Point, leaders sur le marché. Harmony poste offre une prévention des menaces et une remédiation complètes et en temps réel pour tous les vecteurs de menaces du logiciel malveillant, permettant aux employés de travailler en toute sécurité, où qu'ils soient, sans compromettre leur productivité.