Veille technologique

 

 
 

Thème de ma veille technologique:

 

Les rançongiciels – Ransomware

 
 

MAJ Ransomware 2019 :

Ransomware_2019_ensimag

 


Sommaire:

1. Introduction

2. Qu’est ce qu’un Rançongiciel – Ransomware

3. Types de rançongiciels

4. Les chiffres

5. Les ransomwares les plus actifs en France

6. Les préventions

7. Conclusion

8. Sources


1. Introduction

Durant mes deux ans de formation, j’ai découvert que de nombreuses cyberattaques ont eu lieu dans les entreprises, mais aussi chez les particuliers. En effet au cours de mes deux stages en entreprises, de nombreux clients (particuliers et professionnel) ont été victimes de cyberattaques.

Aujourd’hui les virus traditionnels ont tendance à être remplacés par des nouvelles techniques d’attaque visant à bloquer l’utilisateur et lui demander une rançon…

Pour une entreprise, la sécurité informatique est essentielle afin de contrer ses nouvelles technique d’attaque.

J’ai donc choisi comme veille technologique “Les ransomwares”.

Pour cela j’ai suivi plusieurs sources d’informations auxquelles je me suis abonné durant ces deux ans.

                                              


2. Qu’est ce qu’un Rançongiciel – Ransomware

Un ransomware, rançongiciel ou logiciel de rançon est un logiciel malveillant qui crypte des données (sur un ordinateur, un serveur, ou même le réseau) de particuliers ou d’entreprises. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

Les modèles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d’attaques de ce type a grandement augmenté dans d’autres pays, entre autres l’Australie, l’Allemagne, les États-Unis.

Le ransomware existe depuis 2005, cependant il est en grand développement depuis quelques années grâce aux crypto-monnaies qui rendent l’argent virtuel intraçable. De plus de nombreuses victimes payent leur rançons pour retrouver leurs données… C’est pour cela que l’année 2016 à été l’année tendance des ransomwares pour les particuliers et les PME.

En général ce sont des pirates qui générent des ransomwares et les envoient à leurs victimes.

Mais aujourd’hui, même un novice en informatique peut se procurer un ransomware sur mesure grâce au service “Ransomware As a Service” sur le réseau TOR.  Ce service permet de générer gratuitement un ransomware, capable de chiffrer les données de la victime et de lui bloquer l’accès à ses fichiers tout en exigeant le paiement d’une rançon pour déchiffrer les données.


3. Types de rançongiciels

Les rançongiciels dits « policiers » ou « Gendarmerie » utilisent les logos des services d’enquête pour exiger le paiement d’une amende. Soit ils bloquent entièrement l’ordinateur, soit uniquement le navigateur web.

Les chiffreurs ou « crypto-ransomwares » cryptent quant à eux les fichiers. Leur usage s’est multiplié récemment. La victime doit alors payer pour obtenir une clé de chiffrement et accéder de nouveau à ses fichiers.

Ce type de rançongiciel se diffuse principalement via des courriels infectés, des factures déguisées.

Une fois activé, le cryptovirus chiffre les données personnelles de l’utilisateur via une clé RSA secrète et unique qui est stockée sur des serveurs pirates. Ensuite il demande une rançon (payable en bitcoins) pour les rendre à nouveau accessibles.

Le message d’alerte s’accompagne d’un compte à rebours de 72 ou 100 heures qui menace de supprimer les données si la rançon n’est pas payée.

Les ordinateurs (PC, MAC, LINUX), mais aussi les téléphones, et les téléviseurs connectés peuvent être victimes de ransomware.


4. Les chiffres

Durant le FIC 2017 (Forum International de la Cybersécurité) le ransomware a été le sujet le plus répandu et discuté sur les deux jours.

Les victimes favorites des hackers sont les PME. Les grandes entreprises ont en général une sécurité informatique aboutie et des moyens pour contrer ce type d’attaque.

En 2017, on comptabilise plus de 7 PME sur 10 qui ont été victimes de ransomwares.

250 000 attaques par ransomware en France en 2016 selon Avast, pour des sommes situées entre 500 et 1000 euros.

Environ 30% des attaqués finissent par payer la rançon.

2016 et 2017 sont véritablement les deux années des ransomwares avec de nouvelles variantes chaque semaine.

En janvier 2017, la région de Bordeaux cumule près de 40 écoles  infectées par le rançongiciel Locky Ransomware sur les 101 de la ville. Il semblerait que la protection de l’éditeur TrendMicro n’ait pas été suffisante ou installée sur tous les PC.

Début 2017, un ransomware est capable de chiffrer les données des machines sous MacOS. Il se nomme OSX / Filecoder. Il se camoufle dans des outils permettant d’installer sans licence des logiciels commerciaux tel qu’Adobe Premier Pro CC et Microsoft Office pour Mac proposés sur des sites de téléchargement Bittorent. Ce programme a été écrit dans le langage de programmation Swift d’Apple.


5. Les ransomwares les plus actifs en France

  • Cryptowall : diffusé par des campagnes d’e-mails et des campagnes de Web Exploit.
  • TeslaCrypt: diffusé par des campagnes de courriels malicieux ainsi que l’utilisation de Web Exploit. TeslaCrypt a été abandonné fin mai 2016 par le développeur qui a publié la clé privée pour récupérer les documents chiffrés par toutes les versions de ce ransomware.
  • Locky Ransomware : diffusé par des campagnes de courriels malicieux. Sa distribution est en grande partie faite via des campagnes d’emails malicieux souvent en français et visant les entreprises (fausses factures, free mobile, etc).
  • Cerber Ransomware : Apparu en 2016, ce dernier est distribué par des campagnes Web Exploit et emails malicieux.
  • CTB-Locker : actif en 2014 avec des campagnes de courriels malicieux, en février 2016 une nouvelle version est apparue visant les serveurs web sous Linux.

L’infection des machines utilisateurs est réalisée par l’intermédiaire de fichiers java-scripts archivés ou des macros intégrées à l’intérieur du document Word ou Excel, qui téléchargera ensuite le fichier exécutable principal pour crypter la machine de l’utilisateur.

Le Web exploit permet l’installation d’une infection de manière automatique et à l’insu de l’utilisateur lors de la visite d’un site WEB (sites de téléchargements illégaux ou de streaming illégaux, WordPress…).

Pour fonctionner, il faut que des logiciels non à jour et ayant des vulnérabilités soient présents sur l’ordinateur. En général, ce sont les plugins du navigateurs WEB qui sont visés notamment Java ou Adobe Reader/Flash.

En tirant parti des plugins non à jour sur le navigateur Web, un malware va pouvoir être téléchargé et installé sur l’ordinateur.


6. Préventions

Voici quelques conseils pour éviter de se faire infecter par un ransomware:

  • Mettre à jour régulièrement les logiciels, plugins (Java, à Flash…) et systèmes d’exploitations.
  • Effectuer des sauvegardes régulièrement (en ligne ou sur un support amovible externe)

Les disques durs externes de sauvegarde doivent être déconnectés ! Le ransomware crypte tout périphérique de stockage.

  • Utiliser un logiciel antivirus (pour optimiser la protection)
  • Utiliser un logiciel anti-ransomware (Malwarebytes, Acronis True Image 2017 NG)
  • Être vigilant sur internet
  • Ne pas cliquer sur des liens non sûrs (email suspect, Téléchargement inconnu… )
  • Mettre en place une restriction de droits pour les utilisateurs (GPO…)
  • Faire de la sensibilisation auprès des utilisateurs

Si un ordinateur est infecté par un ransomware, la seule solution consiste à restaurer une sauvegarde antérieure  (si elle n’a pas été compromise par le ransomware).


7. Conclusion

Pour conclure, 2016 et 2017 sont vraiment les années des attaques de type ransomware.

Les entreprises doivent pouvoir anticiper une attaque de type ransomware grâce aux préventions que nous avons vu précédemment.

Les utilisateurs doivent être informés de ce type d’attaques pour pouvoir anticiper une infection au sein d’un réseau informatique.

Il est fortement déconseillé de payer la moindre rançon pour récupérer ses données.


8. Sources

www.wikipedia.com, www.stopransomware.fr, www.lemondeinformatique.fr, www.phonandroid.com, fr.norton.com, www.hightech.bfmtv.com/, www.forum-fic.com, www.01nettv.com

Vidéo réalisée au FIC (Forum International de la Cybersécurité) portant sur les ransomwares:

Présentation des ransomwares: