Qu'est-ce qu'un Ransomware ?
Ce type spécifique de logiciel malveillant est utilisé pour l’extorsion. Lorsqu'un périphérique est attaqué, un logiciel malveillant bloque l'écran ou crypte les données stockées sur le disque, la victime voit alors s’afficher une demande de rançon avec les détails du paiement.
Comment reconnaître un rançongiciel ?
Si vous êtes victime de rançongiciel, vous serez informé(e) par l’apparition -dans la plupart des cas- d’un message de rançon sur votre écran, ou par l’ajout de fichier texte (message) aux dossiers affectés. De nombreuses familles de rançongiciels modifient également l'extension des fichiers cryptés.
Comment fonctionne un rançongiciel ?
Il existe plusieurs techniques utilisées par les opérateurs ransomware :
- Le ransomware diskcoder « bloqueur de disque » crypte le disque entier et empêche l'utilisateur d'accéder au système d'exploitation.
- Le « verrouilleur d'écran » bloque l'accès à l'écran de l'appareil.
- Le ransomware « crypteur » (crypto-ransomware) crypte les données stockées sur le disque de la victime.
- Le bloqueur PIN cible les appareils Android et modifie leurs codes d'accès pour verrouiller l’accès à leurs utilisateurs.
Lire la suite
Tous les types de ransomwares mentionnés ci-dessus exigent un paiement, le plus souvent sous forme de bitcoin ou toute autre crypto-monnaie difficile à tracer. En échange, ses opérateurs promettent de déchiffrer les données ou de restaurer l'accès au périphérique concerné.
Il est à signaler qu'il n'y a aucune garantie que les cybercriminels honorent leur engagement, et sont parfois incapables de le faire, soit intentionnellement, soit à cause d'un codage incompétent. Par conséquent, ESET recommande de ne pas payer la somme demandée, du moins avant de contacter le support technique d'ESET pour voir quelles possibilités existent pour le décryptage.
Comment rester protégé ?
Règles de base à suivre pour éviter la perte de vos données :
- Sauvegardez vos données régulièrement et gardez au moins une sauvegarde complète hors ligne
- Gardez tous vos logiciels, y compris les systèmes d'exploitation, sur les dernières versions disponibles, via les patches et les mises à jour proposées régulièrement
Une solution de sécurité fiable et multicouche reste toutefois l'option la plus efficace pour aider les utilisateurs / organisations à reconnaître, prévenir et supprimer les rançongiciels.
Règles avancées plus spécifiques aux entreprises :
- Réduire la surface d'attaque en désactivant ou en désinstallant les services et logiciels inutiles
- Analyser les réseaux pour les comptes à risques utilisant des mots de passe faibles
- Limiter ou interdire l'utilisation du protocole RDP (Remote Desktop Protocol) depuis l'extérieur du réseau ou activer l'authentification au niveau du réseau
- Utiliser un réseau privé virtuel (VPN)
- Vérifier les paramètres du pare-feu
- Examiner les politiques de trafic entre le réseau interne et externe (internet)
- Configurer un mot de passe dans le paramétrage de vos solutions de sécurité pour les protéger contre les attaques
- Sécuriser vos sauvegardes avec une authentification à deux ou plusieurs facteurs
- Entraîner régulièrement votre personnel à reconnaître et gérer les attaques de phishing
Historique du ransomware / rançonlogiciel
Le premier cas documenté de ransomware a été en 1989. Nommé le AIDS Trojan, il a été physiquement distribué par courrier via des milliers de disquettes qui prétendaient contenir une base de données interactive sur le sida et les facteurs de risque associés à la maladie. Lorsqu'il s’est déclenché, le logiciel malveillant a effectivement désactivé l'accès de l'utilisateur à la majeure partie du contenu du disque.
AIDS Trojan exigeait une rançon (ou comme la note de la rançon nommée, "paiement de la licence") de 189 $ US à envoyer à une boîte postale au Panama permettant à l'utilisateur d'exécuter le programme 365 fois. Dr. Joseph Popp en a été identifié comme l’auteur; cependant, les autorités l'ont déclaré mentalement inapte à assister à son procès.
Exemples récents
En mai 2017, un ver ransomware détecté par ESET comme WannaCryptor connu aussi sous le nom WannaCry s'est propagé rapidement, en utilisant l'exploit EternalBlue divulgué par l’Agence Nationale de Sécurité NSA qui exploitait une vulnérabilité dans les versions les plus populaires des systèmes d'exploitation Windows. Malgré le fait que, deux mois avant l'attaque, Microsoft a publié des correctifs pour de nombreux systèmes d'exploitation vulnérables, les fichiers et les systèmes de milliers d'organisations à travers le monde ont été victimes du malware. Les dommages causés ont été estimés à des milliards de dollars.
En Juin 2017, les logiciels malveillants détectés par ESET comme « bloqueur de disque » Diskcoder.C connu aussi sous le nom Petya ont commencé à se propager en Ukraine puis vite suivre leur chemin hors du pays. Il s'est avéré plus tard qu’il s'agissait d'une attaque bien orchestrée de la chaîne d'approvisionnement qui ciblait des logiciels comptables populaires pour attaquer et nuire aux organisations Ukrainiennes.
Cependant, il a ensuite dépassé ce cadre et infecté de nombreuses entreprises mondiales, notamment Maersk, Merck, Rosneft et FedEx; et a causé des centaines de millions de dollars de pertes.