Épidémie de ransomwares : pourquoi faut-il s’en soucier plus?

15 Juil 2015

Le problème posé par les ransomwares ne s’améliore pas. Les attaques de ransomwares menées récemment à grande échelle, telles que CoinVault ou CryptoLocker, montrent que les cybercriminels utilisent de plus en plus ce genre d’attaques.

Andrey Pozhogin, expert en sécurité cybernétique chez Kaspersky Lab, partage son savoir sur l’évolution croissante des attaques de ransomwares, sur le déroulement de ces attaques, sur les conséquences du paiement des rançons et sur les moyens dont disposent les utilisateurs et les entreprises pour se protéger.

1. Qu’est-ce qu’un ransomware ?

Un ransomware est un malware qui vise à extorquer de l’argent. Il s’agit d’un type de software qui bloque l’accès à un système informatique jusqu’à ce qu’un utilisateur ou une entreprise, ou les deux, versent une rançon pour récupérer leurs données. Voici quelques exemples de ransomwares : CryptoLocker, CryptoWall, TorLocker, CoinVault, TeslaCrypt et CTB-Locker.

2. Qui sont les victimes des ransomwares ?

Les consommateurs ordinaires, ainsi que les petites et les grandes entreprises, peuvent tous être victimes d’un ransomware. Les cybercriminels ne font pas de discrimination. La plupart du temps, ils essaient d’atteindre autant d’utilisateurs que possible afin d’empocher les plus gros bénéfices.

3. Comment se déroule une attaque de ransomware ?

En général, une attaque de ransomware commence par l’envoi d’un e-mail contenant une pièce jointe (fichier exécutable, document ou image). Ensuite, dès que la pièce jointe est ouverte, le malware se déploie dans le système de l’utilisateur. Par ailleurs, si un utilisateur visite un site Web qui contient un malware, il risque de voir sa machine infectée par un ransomware. Une fois sur le site, l’utilisateur exécute sans le savoir un script non sécurisé (parfois, en cliquant sur un lien ou en téléchargeant un fichier), ce qui permet au malware de se déployer dans le système.

Lorsque la machine d’un utilisateur est infectée, rien de visible n’apparaît dans l’immédiat. Le malware agit silencieusement jusqu’à ce que le système ou le mécanisme de blocage de données soit installé et lancé. Les cybercriminels sont de plus en plus forts pour développer des ransomwares qui agissent sans se faire remarquer. En outre, ils disposent de nombreux outils et techniques pour garantir que le ransomware ne soit pas découvert par la victime. Enfin, une boîte de dialogue apparaît, informant l’utilisateur que ses données sont bloquées et qu’il doit verser une rançon pour pouvoir les récupérer.

A partir du moment où l’utilisateur voit apparaître la boîte de dialogue, il est trop tard pour essayer de sauver les données par des contremesures de sécurité. La somme exigée par les cybercriminels dans ces attaques varie selon les cas. Cependant, nous avons vu des demandes de rançon à hauteur de plusieurs centaines, voire plusieurs milliers de dollars, exigées pour déchiffrer les données des victimes.

4. Pourriez-vous nous donner un exemple d’attaque de ransomware ?

Prenons l’exemple de TorLocker. Tout d’abord, ce ransomware commence par chiffrer ses propres données au moyen d’une clé AES de 256 bits (mécanisme de chiffrement presque impossible à cracker), puis il se déploie dans le système de l’utilisateur. Les quatre premiers bytes de cette clé sont utilisés comme une ID d’échantillon unique et sont ajoutés à la fin des fichiers encodés. Ensuite, le malware se copie dans un dossier temporaire et une clé d’enregistrement pour le lancement automatique de cette copie est créée. Voici ce que fait le malware par la suite :

  • Il recherche et arrête les processus essentiels du système.
  • Il efface tous les points de restauration du système.
  • Il chiffre les documents Office, les vidéos, les fichiers audio, les images, les dossiers, les bases de données, les copies de sauvegarde, les clés de chiffrement d’une machine virtuelle, les certificats et d’autres fichiers, à la fois sur le disque dur et sur le réseau.
  • Il lance une boîte de dialogue avec une demande de rançon qui doit être versée par l’utilisateur s’il veut récupérer ses données.

Chose troublante : TorLocker infecte chaque système de manière unique. En d’autres termes, même si on parvient, d’une manière ou d’une autre, à trouver la clé permettant de déchiffrer les données, on ne pourra pas la réutiliser pour faire de même sur d’autres systèmes. Les cybercriminels fixent un délai aux utilisateurs (72 heures, en général) pour qu’ils versent une rançon. S’ils ne paient pas pour obtenir la clé de déchiffrement, ils perdront toutes leurs données. Les escrocs proposent souvent diverses méthodes de paiement, y compris des Bitcoins et des paiements à travers des sites tiers.

5. Que cherchent à obtenir les cybercriminels en réalisant des attaques de ransomwares ?

Les cybercriminels qui créent des attaques de ransomwares ont pour principale motivation celle d’extorquer de l’argent à leurs victimes. Toutefois, nous avons observé que les attaques de ransomwares menées contre les commerces causent en général beaucoup de dommages, car elles visent souvent la propriété intellectuelle des entreprises.

6. Quelle est la fréquence des attaques de ransomwares mobiles ?

Les attaques de ransomwares mobiles se font de plus en plus fréquentes. Elles évoluent vers la monétisation, les cybercriminels étant plus nombreux à créer des malwares capables de voler ou d’extorquer de l’argent. En réalité, d’après le rapport sur les menaces détectées au 1er trimestre 2015 par Kaspersky Lab, 23 % des nouvelles menaces de malwares ont été créées dans le but de voler ou d’extorquer de l’argent. En outre, les chevaux de Troie enregistrent la croissance la plus importante de toutes les menaces mobiles. Le nombre des nouveaux échantillons détectés au cours du 1er trimestre était de 1 113, ce qui représente une augmentation de 65 % dans notre recueil de données. Il s’agit d’une évolution inquiétante car les ransomwares sont conçus pour extorquer de l’argent, ils peuvent endommager les données personnelles et bloquer les appareils infectés.

7. Que doivent faire les utilisateurs si leur système est déjà infecté ?

Malheureusement, une fois que le ransomware a été lancé, les utilisateurs ne peuvent souvent pas faire grand-chose, à moins qu’ils aient mis en place une technologie de restauration ou de prévention. Cependant, il est parfois possible d’aider les utilisateurs à déchiffrer leurs données qui ont été bloquées par le ransomware sans qu’ils aient à payer de rançon. Récemment, Kaspersky Lab est devenu partenaire du Service national d’investigation informatique des Pays-Bas pour créer un référentiel des clés de déchiffrement et une application de déchiffrement pour les victimes du ransomware CoinVault.

De plus, je tiens à mettre en garde les victimes de ransomwares contre l’utilisation de logiciels non accrédités qu’ils trouvent sur Internet et qui sont censés les aider à déchiffrer leurs données. Dans le meilleur des cas, le software est une solution inutile, mais dans le pire des scénarios, il installe un autre malware sur leur machine.

8. Une victime doit-elle payer la rançon ?

Beaucoup de victimes sont prêtes à payer pour récupérer leurs fichiers. Selon une enquête menée en février 2014 par le Centre de recherche interdisciplinaire en sécurité cybernétique de l’Université du Kent, plus de 40% des victimes de CryptoLocker acceptent de payer. Ce ransomware a infecté des dizaines de milliers de machines, ce qui a généré des millions de dollars de gains pour les cybercriminels qui se cachaient derrière ce malware. En outre, un rapport de Dell SecureWorks montre que ce même logiciel malveillant a permis d’engranger 30 millions de dollars chaque 100 jours.

Toutefois, il est déconseillé de payer la rançon car, d’une part, il n’y a aucune garantie que les données corrompues soient déchiffrées en contrepartie et, d’autre part, il y a de forts risques que les choses tournent mal même en cas de versement de la rançon, notamment que des bugs du malware lui-même rendent les données chiffrées irrécupérables.

En outre, le versement des rançons prouvent aux cybercriminels que leur ransomware est efficace. Par conséquent, il est probable qu’ils continuent de chercher de nouveaux moyens d’exploiter les systèmes, ce qui pourrait conduire à d’autres infections visant les utilisateurs individuels ou les entreprises.

9. Comment les utilisateurs peuvent-ils prévenir une attaque de ransomware ? Les sauvegardes sont-elles suffisantes pour protéger leurs données contre les cybercriminels ?

Les fichiers chiffrés par une technologie complexe et bien exécutée de cryptographie sont impossibles à décoder. Par conséquent, une pratique importante consiste à utiliser une solution de sécurité complète et un système de sauvegarde dans le cadre d’une bonne stratégie de cybersécurité.

En outre, certaines variantes de ransomwares sont suffisamment intelligentes pour chiffrer toutes les sauvegardes qu’elles trouvent, mais celles stockées sur des partages de réseaux. C’est pourquoi il est important de faire des sauvegardes dites « à froid » (lecture et écriture seules, pas d’effacement ni de prise de contrôle total) qui ne peuvent pas être effacées par des ransomwares.

En tant que contremesure, Kaspersky Lab a également développé le module System Watcher, capable de protéger les copies locales des fichiers et d’inverser les changements produits par un cryptoware. Il offre ainsi une résolution automatisée, ce qui permet aux administrateurs de s’épargner la peine d’effectuer une restauration à partir d’une sauvegarde et tout ce qui est lié au temps d’immobilisation. Il est important d’installer une solution de protection, et les utilisateurs doivent s’assurer qu’un tel module soit activé.

10. Comment les solutions de Kaspersky Lab protègent-elles les utilisateurs des menaces inconnues ?

Parmi les solutions de sécurité que nous proposons se trouve le réseau Kaspersky Security Network (KSN), lequel propose une réponse aux menaces suspectes, de manière beaucoup plus rapide que les méthodes traditionnelles de protection. Ce réseau compte plus de 60 millions de volontaires dans le monde. Ce cloud de sécurité traite environ 600 000 demandes à chaque seconde.

Les utilisateurs de Kaspersky Lab du monde entier donnent des informations en temps réel sur les menaces détectées et détruites. Ces données et ces recherches sont analysées par un groupe d’élites composé d’experts en sécurité : l’équipe internationale de recherche et d’analyse (« Global Research and Analysis Team », GReAT). La principale occupation de cette équipe consiste à découvrir et à analyser les nouvelles menaces cybernétiques, ainsi qu’à prévoir les prochains types de menaces.

Alors que les menaces d’aujourd’hui sont de plus en plus sophistiquées, nous avons remarqué que de nombreux utilisateurs (aussi bien des particuliers que des entreprises) pourraient améliorer leurs performances en matière de sécurité cybernétique. Dans le pire des cas, certains utilisateurs possèdent une solution de sécurité obsolète ou peu fiable, qui ne les protègent pas correctement.

Par conséquent, il est important de choisir la solution disponible la plus efficace. A ce propos, l’année dernière, les produits Kaspersky Lab ont pris part à 93 tests indépendants et, parmi tous les vendeurs de solutions de protection qui ont subi les tests, Kaspersky Lab est celui qui a obtenu les meilleurs résultats. Kaspersky Lab était dans le top 3 à 66 reprises, occupant la 1ère place dans 51 des cas. La sécurité informatique est inscrite dans l’ADN de Kaspersky Lab. Nous travaillons constamment pour améliorer l’efficacité de nos technologies et proposer ainsi à nos utilisateurs les solutions de protection les meilleures.