Que nous réserve les prochains ransomwares ?
Une nouvelle forme de cyberattaque pour un impact planétaire.Il en existe de toutes sortes et ils sont de plus en plus nombreux, nous devons nous attendre à voir de plus en plus de ransomwares dans les prochaines années. L’étude 2016 de Verizon sur les attaques entrainant des pertes de données précise qu’il y a eu une augmentation de 16% cette année au niveau mondial. Ce qui bien entendu inquiète les professionnels du secteur.
Mais que se cache derrière cette évolution du ransomware et que nous réserve t-il ?
Pour préciser un peu les choses, le ransomware rentre dans le cadre des cyberattaques, il réclame un paiement à la victime en échange de l’accès aux données chiffrées. Le ransomware a commencé à réellement utiliser le chiffrement en 2011 sous la forme d’un logiciel malveillant qui empêche d’accéder au système informatique. Bien entendu les défenses informatiques des entreprises augmentant, les ransomwares ont aussi évolué. Le plus répandu aujourd’hui est le ransomware cryptographique.
Les 3 principaux qui existent sont :
Cryptowall : le plus ancien et le plus courant avec 83,45% des infections mondiales. Il installe plusieurs copies de lui-même, afin de se donner plus de chance de réussir, en utilisant pour ce faire les endroits classiques où les malwares s’installent en général (dossier Application Data, dossier de démarrage et un dossier à la racine de l’ordinateur).
Locky : le dernier en date mais aussi celui qui s’est répandu le plus rapidement. Il se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir « ATTN: Invoice J-XXXXXXX ». Le corps du message contient un message correctement rédigé, parfois en français, qui demande de payer rapidement une facture, et la pièce jointe est au format « invoice_J-XXXXXX.doc ».
TeslaCrypt : il a ciblé en préférence les sites Joomla et WordPress. Précisons cependant, que la clé de déchiffrement a été donné au grand public par son développeur, rendant celui ci inoffensif.
Pourquoi cette croissance ?
Plusieurs éléments expliquent pourquoi les ransomwares se sont développés ces dernières années.
Tout d’abord d’un point de vue technique, il est aisé de développer un ransomware performant et nous pouvons même faire l’acquisition d’un « ransomware as a service ».
Viens ensuite l’important changement culturel que nous vivons depuis quelques années maintenant : la transformation numérique. Celle-ci touche également les organisations criminelles qui se développent en tant que professionnel du cybercrime dont le seul but est de collecter des rançons et de blanchir de l’argent. Les monnaies virtuelles facilitent également leur fonctionnement, en effet le Bitcoin leur permet de faciliter les transferts d’argent anonymes.
Les erreurs à éviter
La méthode la plus connue et la plus classique reste l’email tourné de façon à endormir la méfiance de la cible avec un fichier joint attaché.
Ensuite, c’est principalement le comportement de l’utilisateur qui permet l’infection. La plupart du temps, l’utilisateur ouvre un fichier joint dans un mail de phishing qui l’a convaincu. Ou encore une redirection vers un site qui semble légitime ou plus simplement la personne clique sur un mauvais lien sur un site sensible.
La pièce jointe infectée devient une méthode un peu trop connue du grand public, aujourd’hui les hackers s’adaptent. Ils préfèrent envoyer les utilisateurs vers un faux site comprenant un script déclenchant l’infection. Les outils de sécurité informatique incluent dans les services de messagerie utilisent l’authentification des sites à risque, vérifient la validité des certificats… Mais le problème vient au final de l’utilisateur. En effet, malgré toutes les protections possibles, seule des règles de bonnes conduites en matière d’utilisation des outils informatiques et du web sont réellement efficaces.
Les moyens efficaces pour se protéger
Les 3 points essentiels d’une sécurité informatique efficace contre ce type d’attaques sont : des pare-feux récents, la sécurité intégrée aux différents logiciels de messagerie et enfin la mise en place de sauvegardes de vos données.
Le filtrage internet reste une très bonne base pour empêcher les téléchargements non souhaités et empêche le logiciel malveillant de toucher directement le serveur.
Les protections de messagerie sur site et dans le cloud assurent l’identification et l’arrêt des messages électroniques comportant des ransomwares avant l’arrivée dans la boite mail.
Les politiques de sécurité internes qui permettent de désactiver certaines fonctionnalités propres de logiciels ayant une forte probabilité de laisser passer un logiciel malveillant.
Et le moyen le plus efficace : la sauvegarde des données. Une majorité des entreprises font des sauvegardes de leur base de données mais il existe encore de nombreuses organisations qui ne se soucient pas assez de cet aspect. Avec une simple sauvegarde, il devient très facile de rétablir son activité, en limitant les conséquences économiques négatives d’une restauration longue suite à une attaque de ransomware.
Source :