Qu'est-ce qu'un Ransomware ?

Partager
Copied to clipboard!
Ecoutez cet article
00:00 / 00:00

Un ransomware (ou rançongiciel) est un type de logiciel malveillant qui peut se présenter sous différentes formes, affectant des systèmes individuels ainsi que des réseaux d'entreprises, d'hôpitaux, d'aéroports et d'agences gouvernementales.

Les ransomwares sont en constante amélioration et de plus en plus sophistiqués depuis le premier événement enregistré, en 1989. Alors que les formats simples sont généralement des ransomwares sans chiffrement, les plus modernes utilisent des méthodes de cryptographie pour chiffrer des fichiers, les rendant ainsi inaccessibles. Le cryptage ransomware peut également être utilisé sur les disques durs pour verrouiller complètement le système d’exploitation de l’ordinateur, empêchant ainsi la victime d’y accéder. L'objectif final est de convaincre les victimes de payer pour une rançon de décryptage, généralement demandée dans des monnaies numériques difficiles à retracer (telles que Bitcoin ou d'autres crypto-monnaies). Cependant, rien ne garantit que les paiements soient honorés par les attaquants. 

La popularité des ransomwares a considérablement augmenté au cours de la dernière décennie (en particulier en 2017) et, en tant que cyber-attaque à motivation financière, il s'agit actuellement de la principale menace liée aux logiciels malveillants au monde, comme l'a signalé Europol (IOCTA 2018).


Comment les victimes sont piégées ?

  • Phishing/Hameçonnage : une forme récurrente d'ingénierie sociale. Dans le contexte des ransomwares, les courriels de phishing constituent l’une des formes les plus courantes de diffusion de logiciels malveillants. Les victimes sont généralement infectées par des pièces jointes compromises ou des liens déguisés comme étant légitimes. Dans un réseau d'ordinateurs, une seule victime peut suffire à compromettre toute une organisation.

  • Kits d'exploits : ensemble constitué de divers outils malveillants et de code d'exploitation pré-écrit. Ces kits sont conçus pour exploiter les problèmes et les vulnérabilités des applications logicielles et des systèmes d’exploitation comme un moyen de propager des logiciels malveillants (les systèmes non sécurisés exécutant des logiciels obsolètes sont les cibles les plus courantes).

  • Malvertising : les attaquants utilisent les réseaux de publicité pour diffuser le logiciel de ransomware.


Comment se protéger des attaques de ransomware ?

  • Utilisez des sources externes pour sauvegarder régulièrement vos fichiers afin de pouvoir les restaurer après la suppression d'une infection potentielle ;

  • Soyez prudent avec les pièces jointes et les liens. Évitez de cliquer sur les annonces et les sites Web de sources inconnues ;

  • Installez un antivirus de confiance et maintenez vos applications logicielles et votre système d'exploitation à jour ;

  • Activez l'option "Afficher les extensions de fichier" dans les paramètres Windows afin de pouvoir facilement vérifier les extensions de vos fichiers. Évitez les extensions de fichier telles que .exe, .vbs et .scr ;

  • Évitez de visiter des sites Web non sécurisés par le protocole HTTPS (c.-à-d. Les URL commençant par « https:// »). Gardez toutefois à l'esprit que de nombreux sites Web malveillants implémentent le protocole HTTPS afin de semer la confusion parmi les victimes et que le protocole à lui seul ne garantit pas que le site Web est légitime ou sûr.

  • Visitez NoMoreRansom.org, un site Web créé par des sociétés de sécurité en informatique et les autorités de police, dans le but d’interrompre les ransomwares. Le site internet propose des outils gratuits de décryptage pour les utilisateurs infectés, ainsi que des conseils de prévention.


Exemples de ransomware

GrandCrab (2018)

Lancé pour la première fois en janvier 2018, le logiciel de ransomware a fait plus de 50 000 victimes en moins d'un mois, avant d'être perturbé par le travail des autorités roumaines aux côtés de Bitdefender et Europol (un kit de récupération de données gratuit est disponible). GrandCrab s'est propagé par le biais de courriels de publicité malveillants et de phishing et a été le premier ransomware connu à exiger un paiement d'une rançon en crypto-monnaie DASH. La rançon initiale variait de 300 à 1500 dollars américains.


WannaCry (2017)

Une cyber-attaque mondiale qui a infecté plus de 300 000 ordinateurs en 4 jours. WannaCry s'est propagé via un exploit connu sous le nom de EternalBlue et ciblait des systèmes d'exploitation Microsoft Windows (les ordinateurs les plus affectés utilisaient Windows 7). L'attaque a été stoppée en raison de correctifs d'urgence publiés par Microsoft. Les experts américains en matière de sécurité ont affirmé que la Corée du Nord était responsable de l'attaque, bien qu'aucune preuve n'ait été fournie.


Bad Rabbit (2017)

Un ransomware diffusé sous la forme d'une fausse mise à jour Adobe Flash téléchargée à partir de sites internet compromis. La plupart des ordinateurs infectés étaient situés en Russie et l’infection était dépendante de l’installation manuelle du fichier .exe. Le prix pour le décryptage était d'environ 280 dollars américains à l'époque (0,05 BTC).


Locky (2016)

Généralement propagé par courrier électronique sous forme de facture nécessitant un paiement contenant des pièces jointes infectées. En 2016, le centre médical presbytérien de Hollywood a été infecté par Locky et a payé une rançon de 40 BTC (17 000 dollars à l'époque) pour retrouver l'accès aux systèmes informatiques de l'hôpital.

Loading