Qu'est-ce qu'un rançongiciel ? | Signification de rançongiciel

Les rançongiciels sont un type de logiciels malveillants qui verrouillent les fichiers informatiques jusqu'à ce que la victime paie une rançon.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir un rançongiciel
  • Expliquer comment fonctionne un rançongiciel
  • Décrire les techniques de prévention des rançongiciels
  • Liste des attaques de rançongiciel célèbres

Copier le lien de l'article

Qu’est-ce qu’un rançongiciel ?

Les rançongiciels sont des logiciels malveillants qui verrouillent les fichiers et en demandent la rançon. Les rançongiciels peuvent rapidement se propager à l'ensemble d'un réseau et, dans certains cas, une infection s'est déplacée sur plusieurs réseaux appartenant à différentes organisations. La personne ou le groupe qui contrôle le rançongiciel ne débloque les fichiers que si la victime paie la rançon.

Imaginez que Chuck vole l'ordinateur portable d'Alice, l'enferme dans son coffre et lui dise qu'elle ne pourra le récupérer que si elle lui verse 200 dollars. C'est essentiellement de cette manière que les rançongiciels fonctionnent, mais au lieu de prendre physiquement les ordinateurs et de les verrouiller, ils le font numériquement.

Les stratégies visant à empêcherr les infections par rançongiciel comprennent l'analyse de tous les fichiers et du trafic réseau à la recherche de logiciels malveillants, le filtrage de requêtes DNS , l'utilisation de isolation du navigateur pour prévenir les attaques et la formation des utilisateurs aux meilleures pratiques en matière de sécurité des informations. Bien qu'aucune stratégie de prévention des rançongiciel s ne soit infaillible, le maintien de sauvegardes de toutes les données peut aider les entreprises à se remettre plus rapidement d'une attaque par rançongiciel .

Comment fonctionne un rançongiciel ?

Les attaques typiques de rançongiciel suivent ces étapes de base :

  1. Le rançongiciel s'implante sur un appareil ou un réseau.
  2. Il chiffre tous les fichiers qu'il trouve.
  3. Il affiche un message demandant un paiement pour déchiffrer les fichiers.

Le chiffrement est le processus qui consiste à brouiller des données de manière à ce qu'elles ne puissent être lues que par les parties qui possèdent la clé de chiffrement, qu'elles peuvent utiliser pour inverser le chiffrement. L'inversion du chiffrement est appelée déchiffrement.

Le chiffrement est utilisé en permanence à des fins légitimes et constitue un élément crucial de la sécurité et de la confidentialité sur Internet. Mais les groupes de rançongiciel utilisent le chiffrement de manière malveillante pour empêcher quiconque d'ouvrir et d'utiliser les fichiers chiffrés, y compris leurs propriétaires légitimes.

Imaginez que Chuck, au lieu de voler l'ordinateur portable d'Alice, traduise tous ses fichiers dans une langue qu'elle ne peut pas lire. Cela ressemble au chiffrement dans le contexte d'un rançongiciel : Alice a toujours accès aux fichiers, mais elle ne peut pas les lire ou les utiliser. En fait, les fichiers sont perdus jusqu'à ce qu'elle trouve un moyen de les traduire.

Mais contrairement à la traduction d'une langue, le déchiffrement des données est presque impossible sans la clé de chiffrement. La partie attaquante garde la clé pour elle, ce qui lui permet d'avoir le poids nécessaire pour exiger un paiement.

Caractéristiques communes des demandes de rançon

En général, la demande de rançon est assortie d'une limite de temps : il faut payer avant une certaine date limite, sinon les fichiers resteront définitivement chiffrés. Le prix peut augmenter au fur et à mesure que le temps passe.

Les groupes de rançongiciel veulent que le paiement de la victime soit difficile à retracer jusqu'à eux. C'est pourquoi ces groupes exigent souvent un paiement via des crypto-monnaies ou d'autres méthodes difficiles à suivre pour les forces de l'ordre.

Une fois la rançon payée, l'attaquant déchiffre les fichiers à distance ou envoie la clé de déchiffrement à la victime. L'attaquant déchiffre presque toujours les données chiffrées ou fournit la clé une fois la rançon payée. Il est dans l'intérêt de l'attaquant de tenir sa promesse de débloquer les données. Sans cette étape, les futures victimes de rançongiciel cesseront de payer la rançon, car elles savent que cela ne servira à rien et que les attaquants ne gagneront pas d'argent.

Quels sont les principaux types de rançongiciel ?

  • « Crypto » ou rançongiciel de chiffrement : C'est le type le plus courant. Il fonctionne comme décrit ci-dessus.
  • Locker rançongiciel : Au lieu de crypter les données, ce type de rançongiciel verrouille simplement les utilisateurs de leurs appareils.
  • Doxware : Doxware copie des données personnelles sensibles et menace de les exposer si la victime ne paie pas une taxe. Doxware ne chiffre généralement pas les données.

Le « scareware » est une forme connexe de logiciel malveillant. Le scareware affiche un message à l'utilisateur affirmant que son appareil est infecté par un malware et exigeant un paiement pour le supprimer. Une fois installé sur un appareil, le scareware peut être persistant et difficile à supprimer. Bien qu'il puisse verrouiller l'ordinateur de la victime, il ne demande généralement pas de rançon pour les fichiers et les données comme le fait un rançongiciel .

Comment un rançongiciel s'introduit-il dans un appareil ou un réseau ?

Les attaquants utilisent plusieurs méthodes pour diffuser les rançongiciel s, mais le plus souvent, ils ont recours à un type de logiciel malveillant appelé « cheval de Troie ». Un cheval de Troie est un fichier malveillant déguisé en quelque chose d'autre (tout comme le cheval de Troie de la mythologie déguisait l'armée grecque). Les utilisateurs doivent exécuter les chevaux de Troie pour qu'ils fonctionnent, et les groupes de rançongiciel peuvent les inciter à le faire de plusieurs manières :

  • Ingénierie sociale. Souvent, les fichiers malveillants sont déguisés en pièces jointes inoffensives et les gangs de rançongiciels envoient des courriels ciblés qui font croire aux destinataires qu'ils doivent ouvrir ou télécharger la pièce jointe malveillante.
  • Téléchargements par drive-by. On parle de téléchargement par drive-by lorsque l'ouverture d'une page web entraîne automatiquement le téléchargement d'un fichier. Les téléchargements par drive-by ont lieu sur des sites web infectés ou contrôlés par un attaquant.
  • Infection d'applications apparemment légitimes que les utilisateurs téléchargent et installent. Un attaquant peut compromettre une application à laquelle l'utilisateur fait confiance de sorte que l'ouverture de l'application installe également un logiciel malveillant.
  • Création de fausses applications qui sont en réalité malveillantes. Parfois, les attaquants déguisent même leurs logiciels malveillants en logiciels anti-malware.

Les attaquants sont également connus pour utiliser des vulnérabilités afin de créer des vers qui se propagent sur l'ensemble d'un réseau (et même sur plusieurs réseaux) sans que les utilisateurs ne prennent la moindre mesure. Après qu'un exploit de vulnérabilité développé par l'Agence nationale de sécurité américaine a été divulgué au public en 2017, un ver rançongiciel , WannaCry, a utilisé cet exploit pour infecter plus de 200 000 ordinateurs presque simultanément.

Quelle que soit la méthode utilisée, l'objectif est d'introduire le fichier malveillant, également appelé charge utile malveillante, sur le périphérique ou le réseau. Une fois exécutée, la charge utile malveillante chiffre les fichiers du système infecté.

Avant de le faire, il peut communiquer avec le serveur de commande et de contrôle (C&C) de l'attaquant afin de recevoir des instructions. Parfois, l'attaquant attendra le moment opportun pour envoyer une commande de chiffrement des fichiers. De cette façon, le rançongiciel peut rester inactif et non détecté sur un appareil ou un réseau pendant des jours, des semaines, voire des mois.

Le coût des attaques par rançongiciel

Un rapport a indiqué que le prix moyen payé par les victimes de rançongiciel était supérieur à 300 000 dollars. Un autre rapport a révélé que le coût total moyen d'une attaque par rançongiciel , en termes de perte d'activité et d'autres facteurs, en plus du coût de la rançon, était proche de 2 millions de dollars.

En 2020, une source a estimé que le préjudice financier causé par les rançongiciel s au cours des 12 mois précédents s'élevait à plus d'un milliard de dollars, bien que le coût réel soit probablement beaucoup plus élevé, si l'on tient compte des services perdus et des victimes qui ont pu payer une rançon sans l'annoncer publiquement.

Les criminels ayant tout intérêt à mener des attaques de type « rançongiciel », les rançongiciels devraient donc rester un problème de sécurité important.

On estime que 95 % des organisations qui paient la rançon récupèrent effectivement leurs données. Cependant, payer une rançon peut être une décision controversée. En effet, cela revient à donner de l'argent aux criminels, ce qui leur permet de financer davantage leurs entreprises criminelles.

Suppression des rançongiciels

Dans certains cas, il est possible de supprimer le rançongiciel d'un appareil sans payer la rançon. Les victimes peuvent tenter de suivre les étapes suivantes :

  1. Isolez la machine infectée en la déconnectant de tous les réseaux.
  2. Recherchez et supprimez les fichiers malveillants à l'aide d'un logiciel anti-malware.
  3. Restaurez les fichiers à partir d'une sauvegarde ou utilisez un outil de déchiffrement pour déchiffrer les fichiers.

Cependant, ces mesures sont souvent difficiles à mettre en pratique, notamment lorsqu'un réseau ou un datacenter entier a été infecté et qu'il est trop tard pour isoler le dispositif infecté. De nombreux types de rançongiciel sont persistants et peuvent se dupliquer ou résister à la suppression. De plus, de nombreux groupes de rançongiciel utilisent aujourd'hui des formes avancées de chiffrement, rendant le déchiffrement pratiquement impossible sans la clé.

Prévention des rançongiciels

La suppression des rançongiciels étant extrêmement difficile, une meilleure approche consiste à essayer de prévenir les infections par rançongiciel en premier lieu. Voici quelques-unes des stratégies qui peuvent vous aider :

  • Un anti-malware peut analyser tous les fichiers pour s'assurer qu'ils ne sont pas malveillants et ne contiennent pas de rançongiciel (cela ne détectera pas toutes les souches de rançongiciel ).
  • Le filtrage DNS peut empêcher les utilisateurs de charger des sites dangereux, et éventuellement empêcher la charge utile malveillante de communiquer avec le serveur C&C de l'attaquant.
  • L'isolation du navigateur peut fermer plusieurs vecteurs d'attaque possibles, y compris les téléchargements à la dérobée.
  • Les filtres de sécurité des e-mails peuvent signaler les e-mails et les pièces jointes suspects.
  • Les équipes informatiques peuvent restreindre les types d'applications pouvant être installées sur un appareil afin d'empêcher les utilisateurs d'installer accidentellement des logiciels malveillants.
  • Les équipes de sécurité peuvent former les utilisateurs à identifier les courriels suspects, à éviter de cliquer sur des liens non fiables et de charger des sites non sécurisés, et à n'installer que des applications sûres et fiables.

Même avec ces méthodes, une prévention à 100 % des rançongiciel s n'est pas possible, tout comme une prévention à 100 % de toute menace.

La mesure la plus importante qu'une entreprise puisse prendre est de sauvegarder ses données. Ainsi, en cas d'infection, elle pourra passer à la sauvegarde au lieu de devoir payer la rançon.

Quelles sont les attaques de rançongiciel les plus connues ?

  • CryptoLocker (2013) : Des attaques de rançongiciel utilisant le cheval de Troie CryptoLocker ont eu lieu de septembre 2013 à mai 2014 et ont infecté des centaines de milliers de systèmes. CryptoLocker s'est propagé principalement par le biais de pièces jointes d'e-mails malveillants. On estime que les attaquants ont gagné environ 3 millions de dollars avant de mettre fin à leurs attaques.
  • WannaCry (2017) : WannaCry était un ver rançongiciel qui utilisait un exploit de vulnérabilité appelé EternalBlue pour se propager d'ordinateur en ordinateur ; à l'origine, cet exploit avait été développé par la NSA. WannaCry a infecté plus de 200 000 ordinateurs dans 150 pays le 12 mai 2017, jusqu'à ce qu'un chercheur en sécurité découvre comment désactiver le logiciel malveillant. Les États-Unis et le Royaume-Uni ont ensuite déterminé que l'attaque provenait de la Corée du Nord.
  • NotPetya (2017) : NotPetya était une variante d'une souche antérieure d'un logiciel malveillant appelée Petya. NotPetya a infecté des organisations dans toute l'Europe et aux États-Unis, mais surtout en Russie et en Ukraine.
  • Ryuk (2018) : le rançongiciel Ryuk a été largement utilisé pour cibler les grandes entreprises. Ses opérateurs demandent de lourdes rançons aux victimes. Le FBI a estimé que les attaquants à l'origine de Ryuk ont gagné plus de 61 millions de dollars en paiements de rançons en 2018 et 2019. Ryuk est toujours utilisé à partir de 2021.
  • Attaque du Colonial Pipeline (2021) : Le plus grand pipeline de carburant des États-Unis a été fermé par une attaque de rançongiciel en mai 2021. Le FBI a déclaré qu'un groupe de rançongiciel appelé DarkSide était à l'origine de l'attaque.

Qu'est-ce qu'une attaque DDoS avec demande de rançon ?

Semblable à une attaque par rançongiciel , une attaque DDoS avec rançon est essentiellement une tentative d'extorsion. L'attaquant menace de mener une attaque DDoS contre un site Web ou un réseau si le paiement n'est pas effectué. Dans certains cas, l'attaquant peut commencer l'attaque DDoS avant d'exiger le paiement. Les attaques DDoS avec rançon peuvent être stoppées par un fournisseur d'atténuation des attaques DDoS (comme Cloudflare).

Pour en savoir plus sur DDoS avec rançon.

Cloudflare aide-t-il à prévenir les attaques de rançongiciel ?

Les produits Cloudflare bloquent plusieurs vecteurs de menace susceptibles de conduire à une infection par un rançongiciel. Le filtrage DNS de Cloudflare bloque les sites web non sécurisés. La solution d'isolation du navigateur de Cloudflare empêche les téléchargements invisibles et les autres attaques basées sur navigateur. Enfin, une architecture Zero Trust peut empêcher la propagation de rançongiciels sur un réseau.

Service commercial