Les rançongiciels sont un type de logiciels malveillants qui verrouillent les fichiers informatiques jusqu'à ce que la victime paie une rançon.
Cet article s'articule autour des points suivants :
Contenu associé
Les défis de l'ingénierie sociale
Charges malveillantes
Attaque de l'homme du milieu
Qu'est-ce que le débordement de tampon (buffer overflow) ?
Tout savoir sur la SQL injection
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Les rançongiciels sont des logiciels malveillants qui verrouillent les fichiers et en demandent la rançon. Les rançongiciels peuvent rapidement se propager à l'ensemble d'un réseau et, dans certains cas, une infection s'est déplacée sur plusieurs réseaux appartenant à différentes organisations. La personne ou le groupe qui contrôle le rançongiciel ne débloque les fichiers que si la victime paie la rançon.
Imaginez que Chuck vole l'ordinateur portable d'Alice, l'enferme dans son coffre et lui dise qu'elle ne pourra le récupérer que si elle lui verse 200 dollars. C'est essentiellement de cette manière que les rançongiciels fonctionnent, mais au lieu de prendre physiquement les ordinateurs et de les verrouiller, ils le font numériquement.
Les stratégies visant à empêcherr les infections par rançongiciel comprennent l'analyse de tous les fichiers et du trafic réseau à la recherche de logiciels malveillants, le filtrage de requêtes DNS , l'utilisation de isolation du navigateur pour prévenir les attaques et la formation des utilisateurs aux meilleures pratiques en matière de sécurité des informations. Bien qu'aucune stratégie de prévention des rançongiciel s ne soit infaillible, le maintien de sauvegardes de toutes les données peut aider les entreprises à se remettre plus rapidement d'une attaque par rançongiciel .
Les attaques typiques de rançongiciel suivent ces étapes de base :
Le chiffrement est le processus qui consiste à brouiller des données de manière à ce qu'elles ne puissent être lues que par les parties qui possèdent la clé de chiffrement, qu'elles peuvent utiliser pour inverser le chiffrement. L'inversion du chiffrement est appelée déchiffrement.
Le chiffrement est utilisé en permanence à des fins légitimes et constitue un élément crucial de la sécurité et de la confidentialité sur Internet. Mais les groupes de rançongiciel utilisent le chiffrement de manière malveillante pour empêcher quiconque d'ouvrir et d'utiliser les fichiers chiffrés, y compris leurs propriétaires légitimes.
Imaginez que Chuck, au lieu de voler l'ordinateur portable d'Alice, traduise tous ses fichiers dans une langue qu'elle ne peut pas lire. Cela ressemble au chiffrement dans le contexte d'un rançongiciel : Alice a toujours accès aux fichiers, mais elle ne peut pas les lire ou les utiliser. En fait, les fichiers sont perdus jusqu'à ce qu'elle trouve un moyen de les traduire.
Mais contrairement à la traduction d'une langue, le déchiffrement des données est presque impossible sans la clé de chiffrement. La partie attaquante garde la clé pour elle, ce qui lui permet d'avoir le poids nécessaire pour exiger un paiement.
En général, la demande de rançon est assortie d'une limite de temps : il faut payer avant une certaine date limite, sinon les fichiers resteront définitivement chiffrés. Le prix peut augmenter au fur et à mesure que le temps passe.
Les groupes de rançongiciel veulent que le paiement de la victime soit difficile à retracer jusqu'à eux. C'est pourquoi ces groupes exigent souvent un paiement via des crypto-monnaies ou d'autres méthodes difficiles à suivre pour les forces de l'ordre.
Une fois la rançon payée, l'attaquant déchiffre les fichiers à distance ou envoie la clé de déchiffrement à la victime. L'attaquant déchiffre presque toujours les données chiffrées ou fournit la clé une fois la rançon payée. Il est dans l'intérêt de l'attaquant de tenir sa promesse de débloquer les données. Sans cette étape, les futures victimes de rançongiciel cesseront de payer la rançon, car elles savent que cela ne servira à rien et que les attaquants ne gagneront pas d'argent.
Le « scareware » est une forme connexe de logiciel malveillant. Le scareware affiche un message à l'utilisateur affirmant que son appareil est infecté par un malware et exigeant un paiement pour le supprimer. Une fois installé sur un appareil, le scareware peut être persistant et difficile à supprimer. Bien qu'il puisse verrouiller l'ordinateur de la victime, il ne demande généralement pas de rançon pour les fichiers et les données comme le fait un rançongiciel .
Les attaquants utilisent plusieurs méthodes pour diffuser les rançongiciel s, mais le plus souvent, ils ont recours à un type de logiciel malveillant appelé « cheval de Troie ». Un cheval de Troie est un fichier malveillant déguisé en quelque chose d'autre (tout comme le cheval de Troie de la mythologie déguisait l'armée grecque). Les utilisateurs doivent exécuter les chevaux de Troie pour qu'ils fonctionnent, et les groupes de rançongiciel peuvent les inciter à le faire de plusieurs manières :
Les attaquants sont également connus pour utiliser des vulnérabilités afin de créer des vers qui se propagent sur l'ensemble d'un réseau (et même sur plusieurs réseaux) sans que les utilisateurs ne prennent la moindre mesure. Après qu'un exploit de vulnérabilité développé par l'Agence nationale de sécurité américaine a été divulgué au public en 2017, un ver rançongiciel , WannaCry, a utilisé cet exploit pour infecter plus de 200 000 ordinateurs presque simultanément.
Quelle que soit la méthode utilisée, l'objectif est d'introduire le fichier malveillant, également appelé charge utile malveillante, sur le périphérique ou le réseau. Une fois exécutée, la charge utile malveillante chiffre les fichiers du système infecté.
Avant de le faire, il peut communiquer avec le serveur de commande et de contrôle (C&C) de l'attaquant afin de recevoir des instructions. Parfois, l'attaquant attendra le moment opportun pour envoyer une commande de chiffrement des fichiers. De cette façon, le rançongiciel peut rester inactif et non détecté sur un appareil ou un réseau pendant des jours, des semaines, voire des mois.
Un rapport a indiqué que le prix moyen payé par les victimes de rançongiciel était supérieur à 300 000 dollars. Un autre rapport a révélé que le coût total moyen d'une attaque par rançongiciel , en termes de perte d'activité et d'autres facteurs, en plus du coût de la rançon, était proche de 2 millions de dollars.
En 2020, une source a estimé que le préjudice financier causé par les rançongiciel s au cours des 12 mois précédents s'élevait à plus d'un milliard de dollars, bien que le coût réel soit probablement beaucoup plus élevé, si l'on tient compte des services perdus et des victimes qui ont pu payer une rançon sans l'annoncer publiquement.
Les criminels ayant tout intérêt à mener des attaques de type « rançongiciel », les rançongiciels devraient donc rester un problème de sécurité important.
On estime que 95 % des organisations qui paient la rançon récupèrent effectivement leurs données. Cependant, payer une rançon peut être une décision controversée. En effet, cela revient à donner de l'argent aux criminels, ce qui leur permet de financer davantage leurs entreprises criminelles.
Dans certains cas, il est possible de supprimer le rançongiciel d'un appareil sans payer la rançon. Les victimes peuvent tenter de suivre les étapes suivantes :
Cependant, ces mesures sont souvent difficiles à mettre en pratique, notamment lorsqu'un réseau ou un datacenter entier a été infecté et qu'il est trop tard pour isoler le dispositif infecté. De nombreux types de rançongiciel sont persistants et peuvent se dupliquer ou résister à la suppression. De plus, de nombreux groupes de rançongiciel utilisent aujourd'hui des formes avancées de chiffrement, rendant le déchiffrement pratiquement impossible sans la clé.
La suppression des rançongiciels étant extrêmement difficile, une meilleure approche consiste à essayer de prévenir les infections par rançongiciel en premier lieu. Voici quelques-unes des stratégies qui peuvent vous aider :
Même avec ces méthodes, une prévention à 100 % des rançongiciel s n'est pas possible, tout comme une prévention à 100 % de toute menace.
La mesure la plus importante qu'une entreprise puisse prendre est de sauvegarder ses données. Ainsi, en cas d'infection, elle pourra passer à la sauvegarde au lieu de devoir payer la rançon.
Semblable à une attaque par rançongiciel , une attaque DDoS avec rançon est essentiellement une tentative d'extorsion. L'attaquant menace de mener une attaque DDoS contre un site Web ou un réseau si le paiement n'est pas effectué. Dans certains cas, l'attaquant peut commencer l'attaque DDoS avant d'exiger le paiement. Les attaques DDoS avec rançon peuvent être stoppées par un fournisseur d'atténuation des attaques DDoS (comme Cloudflare).
Pour en savoir plus sur DDoS avec rançon.
Les produits Cloudflare bloquent plusieurs vecteurs de menace susceptibles de conduire à une infection par un rançongiciel. Le filtrage DNS de Cloudflare bloque les sites web non sécurisés. La solution d'isolation du navigateur de Cloudflare empêche les téléchargements invisibles et les autres attaques basées sur navigateur. Enfin, une architecture Zero Trust peut empêcher la propagation de rançongiciels sur un réseau.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité