La saga des ransomwares

Si vous suivez les actualités sur la sécurité, vous avez sûrement beaucoup entendu parler de ransomwares ces dernières années. Vous avez peut-être même eu la malchance d’avoir été la cible d’une de ces attaques. Ce n’est certainement pas une exagération d’affirmer que les ransomwares sont les logiciels les plus malveillants de notre temps.

Mais saviez-vous que ces programmes malveillants existent depuis plus de 30 ans et que les chercheurs avaient prédit au milieu des années 1990 que de nombreuses attaques auraient lieu en ces temps modernes ? Voulez-vous savoir pourquoi les chiffrements ont remplacé les bloqueurs, quelle a été la plus grande rançon de l’histoire et qu’est-ce que le SIDA a à voir avec tout ceci ?

Alors continuez de lire car nous avons recueilli tous les ransomwares de l’histoire avec les réponses à ces questions et beaucoup d’autres. Ensemble, suivons le développement des bloqueurs, des outils de chiffrement, des wipers et d’autres ransomwares de ces dix dernières années.

Dictionnaire des ransomwares

Les termes suivants apparaîtront fréquemment dans le texte.

Cryptographie — science qui empêche que les données confidentielles puissent être lues. Le chiffrement est un des aspects de la cryptographie.

Chiffrement symétrique — méthode de chiffrement de données qui utilise la même clé pour chiffrer et déchiffrer l’information.

Chiffrement asymétrique — méthode de chiffrement de données qui implique l’utilisation de deux clés : une clé publique pour chiffrer l’information, et l’autre privée pour la déchiffrer. Le fait de connaître la clé publique n’aide pas le déchiffrement car il faut avoir la clé privée pour cela.

RSA— algorithme de chiffrement asymétrique couramment utilisé.

Ransomware — tout programme malveillant qui force la victime à payer une rançon au cybercriminel. Les bloqueurs, les outils de chiffrement, et les wipers font partie des ransomwares déguisés en chiffrement.

Bloqueurs — type de ransomware qui verrouille l’ordinateur ou le téléphone mobile, ou bien le simule. Ces malwares affichent généralement un message persistant qui exige un paiement par-dessus les autres fenêtres.

Crypto-malware (chiffrement) — type de ransomware qui chiffre les fichiers pour qu’ils ne puissent plus être utilisés.

Wiper — type de malware conçu pour effacer (de l’anglais « to wipe« ) les données sur l’appareil de la victime. Il arrive parfois que les ransomwares qui simulent un chiffrement s’avèrent être un wiper, ce qui cause des dégâts irréparables sur les fichiers. Donc même si la rançon est payée, les données resteront irrécupérables.

RaaS (Ransomware-as-a-Service) — un stratagème criminel par lequel les créateurs louent les ransomwares à tous ceux qui veulent les utiliser afin de gagner de l’argent. C’est un genre de franchise cybercriminelle.

1989 : la première attaque de ransomware

Le Dr. Joseph L. Popp, chercheur en biologie, a créé le premier outil de chiffrement connu. Popp a profité de l’intérêt grandissant pour le SIDA et c’est pour cela que son cheval de Troie est connu sous le nom de AIDS Trojan (SIDA).

En ces temps-là, c’étaient les débuts d’Internet, alors Popp a utilisé une méthode de diffusion plutôt originale (selon les standards modernes). S’étant procuré la liste des e-mails des personnes inscrites à la conférence organisée par l’Organisation Mondiale de la Santé sur le SIDA et du journal PC Business World, il a envoyé aux victimes une disquette avec un autocollant sur lequel on peut lire « Renseignements introductifs sur le SIDA » ainsi que des instructions détaillées pour installer le programme. Le contrat de licence stipule qu’en installant le programme, l’utilisateur accepte de payer 378 dollars à l’entreprise. Mais qui prend ce genre de choses à la lettre ?

En fait, l’installateur a permis d’envoyer le malware jusqu’au disque dur. Après un certain nombre de redémarrages de l’ordinateur, le cheval de Troie nommé AIDS s’active et chiffre les noms des fichiers (y compris les extensions) sur le lecteur C: de l’ordinateur infecté. Les noms se sont transformés en un fouillis de caractères aléatoires ce qui empêche de travailler normalement avec les fichiers. Par exemple, pour ouvrir ou exécuter un fichier, il fallait d’abord trouver quelle extension il avait et le changer soi-même.

En même temps, le malware affiche un message sur l’écran, disant que la période d’essai du logiciel est terminée et que l’utilisateur doit payer un abonnement de 189 dollars pour un an ou de 378 dollars pour un accès à vie. L’argent devait être transféré sur un compte au Panama.

Le logiciel malveillant utilisait un chiffrement symétrique, ce qui fait que la clé pour récupérer les fichiers se trouvait à l’intérieur du code. Par conséquent, le problème était facile à résoudre : il fallait récupérer la clé, supprimer le logiciel malveillant et utiliser cette dernière pour retrouver les noms des fichiers. En janvier 1990, le conseiller éditorial de Virus Bulletin Jim Bates a créé les programmes AIDSOUT et CLEARAID uniquement dans ce but.

Joseph Popp a été arrêté, mais le juge l’a considéré mentalement inapte à subir un procès. Il a, cependant, dix ans plus tard, publié le livre : Popular Evolution: Life-Lessons from Anthropology.

1995 – 2004 : Young, Yung, et le ransomware du futur

Sûrement parce que le cheval de Troie sous le nom de AIDS Trojan n’a pas rendu riche celui qui l’a créé, l’idée de chiffrer des données dans le but de demander une rançon n’a pas attiré l’intérêt de beaucoup d’escrocs à cette époque-là. Les choses ont changé en 1995, en même temps que l’intérêt grandissait pour le monde scientifique.

Les cryptographes Adam L.Young et Moti Yung ont décidé de voir à quoi ressemblerait le virus informatique le plus puissant. Ils ont inventé le concept de ransomware qui utilise un chiffrement asymétrique.

Au lieu d’utiliser une seule clé afin de chiffrer les fichiers – qui aurait été ajoutée au code du programme – leur prototype en utilise deux : une publique et une privée, ce qui permettait de garder la clé de déchiffrement secrète. En outre, Young et Yung ont émis l’hypothèse que la victime devrait payer en utilisant une monnaie électronique, qui n’existait pas encore à ce moment-là.

Les prophètes en cybersécurité ont présenté leur idée lors de la conférence sur la Sécurité et la Vie privée tenue par l’IEEE en 1996, mais ce ne fut pas un succès. Ce fut plus tard, en 2004,  lors de la publication de Malicious Cryptography: Exposing Cryptovirology dans lequel Young et Yung ont systématisés les résultats de leur recherche.

2007 – 2010 : l’âge d’or des bloqueurs

Tandis que les crypto-malwares attendaient leur heure, le monde a connu la naissance d’un nouveau type de ransomware : les bloqueurs. Ce genre de malware quelque peu primitif altérait le fonctionnement du système d’exploitation en s’ajoutant à la routine de démarrage de Windows. De plus, pour déjouer la suppression, beaucoup d’entre eux bloquent l’éditeur d’enregistrement et le gestionnaire des tâches.

Ce type de malware utilisait différentes méthodes pour empêcher les victimes d’accéder à leur ordinateur : d’une fenêtre qui ne se fermait pas à un changement de fond d’écran du bureau. Une des méthodes de paiement consistait à envoyer un message à un numéro surtaxé.

Pour neutraliser les bloqueurs des ransomwares, il ne fallait pas nécessairement avoir un logiciel antivirus, mais plutôt certaines connaissances de la part de l’utilisateur. Pour éliminer le malware soi-même, il fallait, par exemple, démarrer le système en mode sans échec à partir d’un Live CD ou d’un CD de secours, ou bien se connecter à Windows sous un compte différent.

Cependant, la facilité d’écriture de ces chevaux de Troie contrebalance le risque faible qu’ils engendrent. Presque tout le monde est capable de les envoyer, et il y avait même des générateurs automatiques.

Il arrivait que le malware affiche une image pornographique sur le bureau et accusait la victime d’avoir regardé des contenus interdits (une technique encore utilisée aujourd’hui).

Comme la demande de rançon n’était pas énorme, beaucoup ont préféré ne pas demander de l’aide et simplement payer.

2010 : crypto-malwares avec cryptographie asymétrique

En 2011, les développeurs de malware ne rigolaient plus, et comme l’avaient prédit Yung et Young, ils ont commencé à utiliser la cryptographie asymétrique. Une modification de l’outil de chiffrement GpCode, par exemple, était basée sur l’algorithme RSA.

2013 : CryptoLocker, le ransomware hybride

La fin de l’année 2013 a vu l’apparition d’un ransomware hybride alliant un bloqueur et un crypto-malware. Avec ce concept, les cybercriminels avaient tendance à recevoir plus de paiements car même en supprimant le malware et donc en débloquant l’ordinateur, les victimes ne pouvaient toujours pas accéder à leurs fichiers. CryptoLocker est sûrement l’un des malwares hybrides les plus notoires. Ce dernier était distribué comme spam et les cybercriminels qui l’envoyaient acceptaient une rançon en Bitcoin.

2015 : les ransomwares à chiffrement remplacent les bloqueurs

En 2015, Kaspersky a noté un nombre incroyable de tentatives d’infections de crypto-malware et les attaques ont été multipliées par 5,5. Les ransomwares à chiffrement ont commencé à remplacer les bloqueurs.

Ces derniers étaient prédominants pour plusieurs raisons. La première est que les données d’utilisateur ont plus de valeur que les fichiers du système et les applications, qui peuvent être réinstallés. Grâce au chiffrement, les cybercriminels pouvaient exiger une rançon bien plus élevée et avoir plus de chance d’être payés.

La deuxième est qu’en 2015, les cryptomonnaies étaient couramment utilisées pour faire des transferts anonymes d’argent, c’est-à-dire que les hackers n’avaient plus peur d’être tracés. Les Bitcoins et autres cryptomonnaies leur ont permis de recevoir des rançons plus importantes sans être repérés.

2016 : diffusion de ransomwares en masse

Les ransomwares ont continué de se propager grandement dans le domaine de la cybersécurité et en 2016, le nombre de modifications de ransomwares a été multiplié par 11, avec une rançon allant de 0,5 bitcoins à des centaines (qui ne représentaient qu’une fraction du prix actuel). Les attaques qui ciblaient les utilisateurs individuellement ciblent désormais les entreprises ; c’est l’émergence d’une nouvelle industrie criminelle.

Les cybercriminels n’avaient dès lors plus besoin de développer des malwares eux-mêmes, ils pouvaient juste en acheter facilement. À titre d’exemple, une « licence à vie » pour le ransomware Stampado a été commercialisée. Le malware menaçait de supprimer aléatoirement des fichiers après un certain temps afin d’inciter les victimes à payer la rançon.

Le ransomware était également disponible sous le modèle RaaS (Ransomware-as-a-Service), un terme qui a fait son apparition avec Encryptor RaaS. Avec ce modèle, les ransomwares se sont encore plus répandus.

Les extorqueurs ont commencé à cibler le gouvernement et les organismes municipaux en plus des entreprises et des utilisateurs indépendants. À titre d’exemple, le ransomware HDDCryptor a infecté plus de 2 000 ordinateurs de la SFMTA (San Francisco Municipal Transportation Agency). Les cybercriminels exigeaient 100 BTC (environ 60 000 euros) pour restaurer les systèmes, mais le service informatique de l’entreprise a réussi à régler le problème lui-même.

2016 – 2017 : Petya, NotPetya, et WannaCry

En avril 2016, un nouveau malware, Petya,  fait son apparition. Tandis que les outils de chiffrement précédents laissaient les systèmes d’exploitation intacts afin que les victimes paient la rançon, Petya a complètement emmuraillé les ordinateurs infectés, ciblant les MFT (Master File Table), une base de données qui stocke l’ensemble de la structure des fichiers et des dossiers sur le disque dur.

Bien que destructrice, l’intrusion de Petya et son mécanisme de diffusion ont été réalisés grossièrement. Pour l’activer, la victime devait télécharger et exécuter elle-même le fichier, ce qui diminuait le risque d’infection. En réalité, Petya n’aurait pas eu beaucoup d’effets s’il n’y avait pas eu le fameux ransomware WannaCry.

En mai 2017, WannaCry a infecté plus de 500 000 appareils dans le monde, causant plus de 4 milliards de dollars de dégâts. Comment ? En intégrant un exploit nommé EternalBlue qui profite de certaines vulnérabilités très dangereuses dans Windows. Le cheval de Troie a infiltré les réseaux et a installé WannaCry sur les ordinateurs des victimes. Le malware s’est ensuite propagé sur d’autres dispositifs connectés au réseau local. À l’intérieur du système infecté, WannaCry a procédé normalement, chiffrant les fichiers et demandant une rançon.

À peine deux mois après l’apparition de WannaCry, un autre outil de chiffrement également modifié par EternalBlue a fait son apparition : NotPetya alias ExPetr. NotPetya s’emparait de tout le disque dur.

De plus, ce malware chiffrait la table des fichiers de telle sorte que le déchiffrement soit impossible même après le paiement de la rançon. Par conséquent, les experts en ont conclu qu’il s’agissait en réalité d’un wiper déguisé en chiffrement. NotPetya a causé plus de 10 milliards de dollars de dégâts.

L’attaque du ransomware WannaCry a été si dévastatrice que Microsoft a déployé un correctif en urgence pour les systèmes d’exploitation qui n’étaient plus pris en charge. Les mises à jour pour les systèmes pris en charge étaient disponibles bien avant ces deux épidémies, mais seulement quelques-uns les avaient installées, et c’est ce qui a permis à ces deux ransomwares de rester présents encore pendant un long moment.

2017 : Un million de dollars pour le décryptage

En plus des dégâts énoncés précédemment, un autre record a été relevé en 2017 pour la rançon la plus importante venant d’une seule organisation. L’hébergeur sud-coréen Nayana a accepté de payer 1 million de dollars (négocié à 4,5 fois moins) pour débloquer les ordinateurs infectés par le ransomware Erebus.

Mais ce qui a le plus surpris les experts, c’est que l’entreprise avait annoncé publiquement qu’elle allait payer. La plupart des victimes s’abstiennent d’annoncer ce genre de choses.

2018 – 2019 : une menace pour la société

Ces dernières années se caractérisent par des attaques massives de ransomwares contre les services publics et les équipements collectifs. Les secteurs du transport, de l’eau, de l’énergie et les établissements de la santé se sont retrouvés en première ligne. Les cybercriminels comptaient également sur eux pour payer, même en demandant une forte rançon, puisque laisser couler signifierait laisser des milliers ou des millions de personnes dans le pétrin.

En 2018 par exemple, une attaque de crypto-malware contre l’aéroport de Bristol au Royaume-Uni a perturbé les écrans d’affichage des vols pendant deux jours entiers. Les employés ont dû avoir recours à des panneaux blancs et quant à la réponse de l’aéroport à l’attaque qu’il a subi, elle a été brève et efficace. Pour autant que nous le sachions, aucun vol n’a été annulé et aucune rançon n’a été payée.

Hancock Health, une clinique de santé nord-américaine, s’en est moins bien sortie : elle a payé 4 BTC (environ 46 000 €) suite à une attaque du ransomware SamSam qui a touché ses systèmes. En expliquant les raisons qui ont poussé l’entreprise à payer la rançon, le PDG Steve Long a mentionné une tempête de neige en approche associée à la pire grippe hivernale qu’il ait connu. La clinique n’avait tout simplement pas le temps de restaurer chacun des ordinateurs soi-même.

Au total, plus de 170 organismes municipaux aux États-Unis ont été victimes d’un ransomware en 2019, avec des rançons allant jusqu’à 5 millions de dollars. Mettre à jour les systèmes d’exploitation dans ces organismes peut être difficile, et par conséquent, les cybercriminels utilisent généralement des exploits anciens et donc plus accessibles.

2020 : nombre en hausse et extorsion des données fuitées

En plus du nombre d’infections qui ne cesse de grandir ainsi que les conséquences des rançons et leur montant, on se souviendra de 2020 comme de l’année qui a vu l’apparition d’une nouvelle approche hybride des ransomwares : avant de chiffrer les données, elles sont envoyées aux cybercriminels. Les menaces de divulgation des données aux concurrents ou la publication de ces dernières s’ensuivirent. Étant donné l’hypersensibilité concernant les données personnelles ces derniers temps, cela pourrait être fatal pour une entreprise. La technique était d’abord utilisée par le groupe Maze en 2019, mais en 2020 elle est devenue une véritable tendance.

La chaîne de chirurgie esthétique Transform Hospital Group a été victime d’un des incidents les plus médiatisés de l’année 2020. Le groupe de hackers REvil a chiffré et volé 900 GB de données appartenant à Transform, y compris des photographies pré et post-opératoires des patients que les hackers ont menacé de publier.

De plus, les opérateurs de crypto-malwares ont adopté une série de nouvelles tactiques en 2020. Par exemple, le groupe REvil a commencé à mettre aux enchères les informations volées. Les cybercriminels ont également rejoint des organisations de type cartel. Le premier était le groupe Maze, qui a commencé à publier les données volées via le ransomware LockBit. Selon les cybercriminels, ils travaillent maintenant étroitement avec LockBit, leur fournissant leur plateforme pour les données volées et partageant leurs connaissances.

Ils se sont aussi vantés qu’un autre groupe rejoindrait bientôt le cartel : RagnarLocker, un pionner dans l’organisation des attaques DDoS sur les ressources des victimes, un levier de pression additionnel pour les entreprises extorquées.

Conclusion

En l’espace de trente ans, les ransomwares sont passés d’un jouet relativement inoffensif à une menace grave pour les utilisateurs de toutes les plateformes et en particulier pour les entreprises. Pour se protéger contre d’éventuelles attaques, assurez-vous de connaître quelques règles de sécurité ; et si par malheur vous êtes attaqué, il est primordial de demander de l’aider à des experts et ne pas simplement obéir aux ordres des cybercriminels.