Ressources

News

Ransomware et TPME : la nouvelle tendance inquiétante

Qui a peur du méchant ransomware (ou rançongiciel) ?

Le rançongiciel ou ransomware semble être à la mode, ces derniers temps. Multiplication des attaques, et donc multiplication des gros titres et des articles consacrés à cette plaie du XXIe siècle.

Les chefs d’entreprise ne s’y trompent pas : selon une étude flash réalisée lors de l’OptivCon Virtual Event de novembre 2020, 60 % des sondés avaient indiqué que le risque d’attaque par ransomware était plus menaçant pour leur business que le Covid-19.

La faute aux ravages faits par les célèbres WannaCry et NotPetya, ou plus récemment Ryuk (150 millions de dollars empochés depuis le début de son activité en septembre 2018), ou encore Netwalker (25 millions de dollars entre mars et août 2020). Des gros noms du cyber banditisme, qui ne doivent cependant pas nous faire oublier les centaines d’attaques plus confidentielles, mais non moins destructrices. Le MagIt recensait ainsi plus de 270 attaques de ransomware dans le monde pour le mois de septembre 2020, une conséquence directe de la transformation digitale accélérée par le Covid.

Un peu d’histoire du ransomware

Cette partie est librement inspirée d’un article de vpnmentor.com ; si vous souhaitez aller plus loin et avoir plus de détails sur l’histoire du ransomware, rendez-vous ici.

2017, avec WannaCry, est un point d’inflexion dans la médiatisation des types de ransomwares. Mais ces derniers n’ont pas attendu le XXIe siècle pour faire des ravages.

On doit le premier type de ransomware à Joseph Popp, un biologiste, anthropologiste et académicien d’Harvard, connu pour ses travaux sur le SIDA.

En 1989, Joseph Popp créa un cheval de Troie qui, une fois infiltré dans l’ordinateur de sa victime, lançait un compteur de redémarrages de la machine. Après 90 redémarrages atteints, le cheval de Troie s’activait, cachait les répertoires et chiffrait le nom des fichiers, rendant le système et les logiciels inutilisables. La victime devait alors envoyer une rançon de 189 $ dans une boîte aux lettres au Panama pour espérer récupérer ses fichiers.

La méthode de distribution du virus était plutôt originale : dans le cadre de ses travaux sur le SIDA, Joseph Popp avait préparé 20 000 disquettes censées contenir des fichiers relatifs à ses recherches et qui servaient en réalité de véhicule au cheval de Troie. Ces disquettes avaient été envoyées par la poste à une liste de scientifiques et de contributeurs aux recherches sur le SIDA.

Joseph Popp finit par être arrêté par la police britannique, mais son comportement étrange lui valut d’être jugé mentalement instable ; il échappa ainsi à la condamnation. Interrogé sur ses motivations, il se défendit… en prétendant que l’argent récolté était utilisé pour financer ses recherches !

Les premiers vrais ransomwares firent leur apparition 16 ans plus tard, en 2005 : Archievus, qui chiffrait tous les documents contenus dans le dossier Mes documents (dossier dans lequel la plupart des utilisateurs stockent leurs fichiers importants) ; et GPCoder, un cheval de Troie visant les fichiers contenant plusieurs extensions. Ces chevaux de Troie, pour gênants qu’ils fussent, étaient facilement repérés par les anti-virus et supprimés rapidement. Leur rentabilité était donc basse et le ransomware, un type de virus encore confidentiel.

Le temps passant, les attaques de ransomwares se sont complexifiées ; ils sont devenus plus discrets, plus efficaces. La multiplication des plateformes de paiement en ligne a rendu le versement de rançons plus facile ; la numérisation de l’économie et l’accès accru des particuliers aux ordinateurs ont permis au virus de se propager plus facilement. Les attaques par ransomware s’est fait rentable : fin 2012, Symantec estimait que le marché du ransomware valait 5 millions de dollars.

À cette période, les ransomwares se sont aussi diversifiés : les lockers comme WinLock, qui empêchaient purement et simplement l’utilisation de la machine ; les ransomwares polices, qui, se faisant passer pour un organisme gouvernemental, prétendaient que du contenu illicite avait été trouvé sur l’ordinateur et que l’utilisateur devait payer une amende pour débloquer son appareil.

Suivant les évolutions de la technologie, les ransomwares ont continué leur complexification : méthodes de chiffrement plus solides, techniques de distribution innovantes (phishing massif, utilisation de réseaux d’ordinateurs robots), paiement en crypto-monnaie (permettant d’éviter le recours au blanchiment), versions ciblant Android, Mac, Linux, …

Mais la première attaque de ransomware d’ampleur mondiale, qui a attiré l’attention des médias, du gouvernement et du grand public sur le problème des ransomwares, est du fait du tristement célèbre WannaCry. Ce dernier a touché plus de 300 000 machines dans 150 pays, un record. Capable de se reproduire rapidement et de se distribuer automatiquement via des vulnérabilités connues une fois l’infection initiale, il se répandait dans les réseaux sans action de l’utilisateur. À ce jour, WannaCry reste encore la plus grande attaque de ransomware de l’histoire d’internet.

Aujourd’hui, le ransomware est devenu l’une des activités les plus rentables pour les cybercriminels. Et puisque les profits sont au rendez-vous, les méthodes s’industrialisent : les experts parlent désormais de Ransomware as a Service pour décrire l’offre que hackers chevronnés font à ceux et celles qui ne veulent pas s’embarrasser de technique. Moyennant une souscription ou un partage des bénéfices, ces pirates mettent leurs outils, ainsi que des conseils et des astuces, à disposition de script kiddies appâtés par les gains alléchants : le rapport Global Security 2015 de Trustwave estimait que le retour sur investissement d’une attaque par ransomware atteignait les 1400 %. Programmes d’affiliation, outils clef en main, boutique en ligne sur le Darknet : toutes les pratiques habituelles de l’économie du numérique sont mises au service de ces activités illicites fort lucratives.

Une nouvelle tendance préoccupante pour les TPME

Une attaque de ransomware est extrêmement douloureuse pour une organisation. Non seulement elle bloque durablement l’activité en empêchant l’accès aux données ou au système d’information de l’entreprise, ce qui engendre des pertes d’exploitation, mais elle peut résulter en la perte de données cruciales si l’entreprise choisit de ne pas payer la rançon, ou si ces données ont été corrompues ou effacées (au lieu de les chiffrer, les pirates les détruisent purement et simplement et les remplacent par des fichiers vides ; ce qui ne les empêche pas de demander une rançon !) ; le coût augmente encore si l’entreprise choisit de payer la rançon. À cela s’ajoutent les risques juridiques encourus.

Et, évidemment, le risque réputationnel. Comment faire confiance à une entreprise qui perd nos précieuses données ? Qui est incapable de traiter notre dossier à temps parce que son système d’information est paralysé ? D’autant plus qu’une nouvelle tendance a vu le jour chez les pirates : menacer l’entreprise ou l’organisme de divulguer le fruit du larcin si la rançon n’est pas payée. Cette tendance, plus qu’une simple manière de monétiser les données des entreprises n’ayant pas cédé au chantage, permet aussi aux pirates d’augmenter la propension des victimes à payer la rançon. C’est la technique utilisée par le groupe REvil.

REvil : augmenter la pression en menaçant de publier les données

En mai 2020, le cabinet d’avocats new-yorkais Grubman Shire Meiselas & Sacks recevait une demande de rançon de 42 millions de dollars venant des cybercriminels à l’origine du ransomware REvil. Ces pirates avaient chiffré les données du cabinet et prétendaient en outre être en possession de 765 Go de données de célébrités : Lady Gaga, Bruce Springsteen, … Non contents d’engendrer des pertes d’exploitation et de paralyser le cabinet, les criminels menaçaient en plus de publier les fichiers détenus si Grubman Shire Meiselas & Sacks ne payait pas la rançon.

Le fondateur du cabinet, M. Grubman, a refusé de payer, arguant que les pirates publieraient probablement les données quoiqu’il arrive, et que le paiement de la rançon était une violation des lois fédérales, ainsi que le lui avait rappelé le FBI. En réponse, le groupe derrière REvil a mis ses menaces à exécution : il a commencé par publier un fichier de 2,4 Go contenant des fichiers sur Lady Gaga ; ainsi qu’une liste de 169 mails faisant référence à Donald Trump.

Puis, dans un post repéré par l’éditeur de logiciel Emisoft, les pirates sont passés aux choses sérieuses : après avoir « audité les fichiers recueillis sur les serveurs de M. Grubman », le groupe a indiqué être « maintenant prêts à vendre les données au public ». Avant de fournir des précisions alléchantes :

« Nous avons tellement de fichiers de valeur et les chanceux qui vont acheter ces données seront satisfaits sur la durée. […] Le Show business n’est pas que concerts et amour des fans ; c’est aussi beaucoup d’argent et de manipulation sociale, des saletés en coulisse et des scandales sexuels, des drogues et de la traîtrise. »

Les criminels ont ensuite mis en vente aux enchères un certain nombre de lots d’information volés, pour des prix de départ allant de 600 000 à 1 million de dollars.

Si des informations font penser à un bluff de REvil (personne ne se présentant lors de la vente aux enchères des lots, le groupe a prétendu que les fichiers seraient publiés gratuitement, sans toutefois fournir de lien vers les fichiers en question), nul doute que REvil, en médiatisant à ce point son modus operandi, a mis en lumière tout l’intérêt qu’un pirate derrière une attaque par ransomware pouvait tirer de données volées.

Mais REvil ne s’est pas arrêté là. Le 6 juin, soit peu de temps après la tentative d’extorsion, le gang a publié sur le darknet une mise aux enchères concernant 50 Go de données de Fraser Wheeler & Courtney LLP et 1,2 To de données de la base de données de Vierra Magen Marcus LLP. Le cabinet Vierra Magen Marcus LLP étant spécialisé en propriété intellectuelle, les fichiers volés étaient particulièrement sensibles : plans d’affaires, accords de brevet, projets de technologies non brevetées, etc.

Bret Callow, un expert de la société Emisoft soulignait que ces nouvelles enchères avaient lieu juste après le refus du paiement de la rançon par le cabinet Grubman Shire Meiselas & Sacks. Il précisait :

« Je pense que le but premier de ces enchères n’est pas de créer un revenu, mais d’augmenter la mise pour les futures victimes. La perspective de voir ses données aux enchères et achetées par des concurrents ou des cybercriminels peut inquiéter bien plus les entreprises que l’idée qu’elles seront postées sur un obscur forum du darknet ; cela fournit une nouvelle incitation à payer. »

Avant de conseiller aux victimes de ne surtout pas céder, afin de « couper le flux de trésorerie ».

Conclusion

Résumons : les attaques par ransomwares deviennent de plus en plus sophistiqués, de plus en plus discrètes, de plus en plus rentables ; la numérisation de l’économie augmente la surface d’attaque de ces virus ; les pirates se perfectionnent, industrialisent leurs outils et changent leurs méthodes ; les victimes ne sont plus seulement privées de leurs données et sommées de payer une rançon, elles sont aussi menacées de fuites de données et pressées de payer sous peine de voir leurs concurrents ou d’autres cybercriminels utiliser ces précieuses informations.

Cela fait du ransomware une menace polycéphale, qui touche à la fois au portefeuille, à l’activité, à la réputation et aux données clients des victimes. Malheureusement, les pirates l’ont bien compris et les attaques par ransomwares ne feront probablement qu’augmenter à l’avenir.

Puisque c’est notre métier, voici quelques conseils pour vous protéger du risque d’attaque par ransomware :

  • Sauvegardez, sauvegardez, sauvegardez ! Si, ainsi qu’on l’a vu, cela ne vous permet pas de vous prémunir d’une fuite de données, cela vous permet en revanche de repartir du bon pied le plus rapidement possible. Attention, toutes les sauvegardes ne se valent pas car les ransomwares ont la mauvaise habitude d’aller à la recherche de ces fichiers de sauvegarde pour les chiffrer aussi. Pour que la sauvegarde soit efficace, il faut qu’elle soit régulière et isolée de votre machine si possible (dans un service cloud ou sur un disque dur externe).
  • Nous aurions envie de rajouter : mettez à jour, mettez à jour, mettez à jour ! Tous vos logiciels et systèmes d’exploitation (Windows, Mac) doivent être mis à jour régulièrement, c’est indispensable ! Pourquoi ? Par ce que périodiquement, les concepteurs de logiciels mettent à disposition de leurs utilisateurs des patchs qui corrigent des bugs ou des failles de sécurité. Les pirates sont à l’affût de ces failles ; une fois publiées, sur le site des concepteurs ou par des chercheurs en sécurité informatique, vous pouvez être sûrs que les criminels les utiliseront ! Pour information, les ransomwares WannaCry et NotPetya reposaient sur une faille qui avait DÉJÀ fait l’objet d’un correctif.
  • Ayez un anti-virus et un pare-feu d’installés et à jour sur chacune de vos machines pour protéger vos logiciels.
  • Formez-vous et formez vos collaborateurs. La plupart des attaques par rançongiciel ou ransomware passent encore aujourd’hui par des emails de phishing, des liens compromis sur des sites frauduleux, autant de vecteurs qui pourraient être réduits par un apprentissage des bonnes pratiques.

Article rédigé par : Louise de Mauroy, CEO de Coralium

Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : L’essentiel de la cybersécurité pour les dirigeants