{"id":17524,"date":"2021-08-27T10:28:34","date_gmt":"2021-08-27T08:28:34","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17524"},"modified":"2021-08-27T13:40:47","modified_gmt":"2021-08-27T11:40:47","slug":"please-install-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/please-install-ransomware\/17524\/","title":{"rendered":"Chiffrez votre serveur : une proposition ind\u00e9cente"},"content":{"rendered":"

Lorsqu\u2019un serveur est infect\u00e9 par un ransomware, ce dernier provient g\u00e9n\u00e9ralement d\u2019un e-mail, de vuln\u00e9rabilit\u00e9s logicielles ou de connexions \u00e0 distance non s\u00e9curis\u00e9es. Un employ\u00e9 qui t\u00e9l\u00e9charge de son plein gr\u00e9 un malware semble tr\u00e8s peu plausible. Cependant, comme nous avons pu le constater<\/a>, certains cybercriminels pensent que cette m\u00e9thode d\u2019infection fonctionne bien et recrutent aujourd\u2019hui des employ\u00e9s en leur proposant une part de la ran\u00e7on.<\/p>\n

Une m\u00e9thode de distribution cr\u00e9ative<\/h2>\n

Aussi absurde que cela puisse para\u00eetre, certains cybercriminels cherchent des complices via les spams. Par exemple, il y en a un qui offre directement \u00ab\u00a040 %, soit 1 million de dollars en bitcoin\u00a0\u00bb \u00e0 ceux qui sont pr\u00eats \u00e0 installer et ex\u00e9cuter le ransomware DemonWare sur le serveur principal de leur entreprise.<\/p>\n

Des chercheurs se sont fait passer pour des complices et ont re\u00e7u un lien qui redirige vers un fichier avec des instructions qui expliquent comment ex\u00e9cuter le malware. Cependant, il semble que le cybercriminel derri\u00e8re l\u2019e-mail manque d\u2019exp\u00e9rience : les chercheurs ont vite pu le faire parler. Le cybercriminel en question \u00e9tait un homme d\u2019origine nig\u00e9rienne qui cherchait sur LinkedIn des cadres sup\u00e9rieurs \u00e0 contacter. Il laissa tomber son plan d\u2019origine apr\u00e8s s\u2019\u00eatre rendu compte que le syst\u00e8me de cybers\u00e9curit\u00e9 de l\u2019entreprise \u00e9tait trop compliqu\u00e9 \u00e0 pirater.<\/p>\n

Cette m\u00e9thode a une faille<\/h2>\n

Afin de prouver \u00e0 la cible choisie que sa participation sera sans risque, le cybercriminel affirme que le ransomware effacera toutes les preuves du crime,\u00a0dont les vid\u00e9os de surveillance s\u2019il y en a. Il recommande \u00e9galement de supprimer le fichier ex\u00e9cutable pour ne laisser aucune trace. On pourrait penser que le criminel pi\u00e9gerait ses complices\u00a0car une fois le serveur chiffr\u00e9, leur sort lui est \u00e9gal. Cependant, il ne semble pas savoir comment sont men\u00e9es les enqu\u00eates criminelles informatiques.<\/p>\n

Le fait d\u2019avoir choisi DemonWare prouve \u00e9galement qu\u2019il manque d\u2019exp\u00e9rience. Bien que les cybercriminels utilisent encore DemonWare, il s\u2019agit en r\u00e9alit\u00e9 d\u2019un ransomware peu complexe dont le code source est disponible sur GitHub. Le cr\u00e9ateur de ce malware l\u2019a fait dans le but de prouver \u00e0 quel point il est facile d\u2019\u00e9crire un ransomware.<\/p>\n

Comment se prot\u00e9ger<\/h2>\n

Bien que ce ne soit qu\u2019un exemple (mais un exemple pr\u00e9cis), c\u2019est une r\u00e9alit\u00e9\u00a0: les employ\u00e9s peuvent participer aux attaques par ransomware. Il existe une m\u00e9thode bien plus cr\u00e9dible que celle qui consiste \u00e0 trouver une personne pr\u00eate \u00e0 installer le malware sur le r\u00e9seau\u00a0: un employ\u00e9 dispos\u00e9 \u00e0 vendre l\u2019acc\u00e8s au syst\u00e8me informatique de l\u2019entreprise.<\/p>\n

Le march\u00e9 de la vente d\u2019acc\u00e8s aux r\u00e9seaux d\u2019une entreprise existe depuis longtemps sur le dark Web, et les ran\u00e7onneurs ach\u00e8tent<\/a> fr\u00e9quemment des acc\u00e8s \u00e0 d\u2019autres cybercriminels, ceux qu\u2019on appelle les courtiers d\u2019acc\u00e8s. Ces derniers sont particuli\u00e8rement int\u00e9ress\u00e9s par l\u2019achat d\u2019un acc\u00e8s \u00e0 distance au r\u00e9seau d\u2019une entreprise ou \u00e0 ses serveurs Cloud. On trouve ce genre d\u2019annonces dirig\u00e9es aux employ\u00e9s m\u00e9contents ou \u00e0 ceux qui ont \u00e9t\u00e9 renvoy\u00e9s partout sur le dark Web.<\/p>\n

Afin de s\u2019assurer que personne ne menace la s\u00e9curit\u00e9 de votre entreprise en infectant ses r\u00e9seaux par un ransomware, nous vous recommandons de\u00a0:<\/p>\n