Ransomware : le cybercrime aussi sait se reinventer
Difficile de dire quand tout à commencé. Si les grandes epidemies de Locky se sont principalement declarée dans le courant de l’année 2016, certains font remonter l’histoire du ransomware à la disquette AIDS en 1989, qui fait figure de precurseur low tech de ce qui allait s’impose 25 ans plus tard comme l’une des menaces les plus inquietantes pour les entreprises. C’est en effet aux alentours de 2015/2016 que le ransomware a connu son age d’or porté par l’essor des cryptomonnaies.
publicité
Un mal qui dure
« C’est la montée en puissance des cryptomonnaies qui a permis aux ransomwares tel qu’on les connaît de prendre une telle ampleur » nous expliquait Alex Balan, Chief Security Researcher chez BitDefender. Si des attaques similaires existaient auparavant, c’est en effet l’arrivée des cryptomonnaies qui a permis l’explosion du phenomene, en proposant aux cybercriminels un outil de transfert d’argent qui echappe aux institutions fnancieres traditionelles.
Rappelons rapidement le principe : le terme ransomware (ou rançongiciel, voire cryptolocker) désigne un logiciel malveillant qui vise à chiffrer les données de la machine qu’il infecte afin de les rendre inaccessible à l’utilisateur. Les operateurs de ce type de logiciels malveillants proposent generalement à la victime de payer une rançon afin de recuperer la clef de dechiffrement nécésssaire au dechiffrement des fichiers. Si tout se passe bien : les autorités conseillent generalement de ne jamais payer la rançon afin de ne pas encourager le developpement du phenomene. Rien ne garantir en effet que l’attaquant vous livrer bien les clefs, ou qu’il ne laissera pas une porte derobée dans le systeme afin de revenir un peu plus tard.
Les conseils de preventions sont bien connus : ne pas cliquer sur des liens suspect, garder ses logiciels à jour et multiplier les sauvegardes, afin d’être en mesure de restaurer le systeme sur des bases saines au cas où une infection se declarerait. Certaines plateformes, comme No More Ransom, peuvent d’ailleurs vous permettre de recuperer un decrypteur quand celui ci est disponible. Mais si ca n’est pas le cas, les sauvegardes restent vos seuls espoirs.
Locky, c’est fini
Alors c’est simple les ransomwares ? Si il suffisait d’appliquer quelques conseils et d’un peu de bon sens, on imagine que l’industrie se serait debarassé du probleme depuis longtemps.
Malheureusement il n’en est rien comme l’explique Igor Zdobnov, analyste chez Dr Web : « Le ransomware est rentable, voire très rentable. Et particulierement difficile à eradiquer, ce qui le rend d’autant plus interessant pour les cybercriminels. C’est comparable aux malwares bancaires:nous avons observé une premiere vague de popularité en 2006/2007 et ca fait maintenant 13 ans que nous continuons de voir apparaître ce type de malware. » Le ransomware semble donc parti pour rester : certaines societés de cybersécurité estimaient que le declin de fin d’année 2018 annonçait un ralentissement du phenomene, mais la menace a simplement evolué.
Comme le souligne le rapport annuel des menaces publié par Europol, les operateurs de ransomware abandonnent aujourd’hui les grandes campagnes au profit d’attaques ciblées contre les entreprises : « Les autorités des différents pays européens et les partenaires du secteur privé d’Europol confirment la diminution du nombre d’attaques de type ransomware visant des citoyens individuels et la multiplication d’attaques spécifiquement conçues pour des entités des secteurs privé et public. »
Évolution des méthodes
Et cette evolution change la donne : face à un groupe organisé, qui ne touche pas ses victimes au hasard, le risque se revele bien plus grand. Dans un document recent faisant le point sur les infections du ransomware BitPaymer, l’Anssi releve ainsi que face à ces attaques ciblées les strategies de sauvegardes des fichiers doivent prendre en compte ces nouvelles menaces : « Il est important de noter que les architectures « backup-less » qui protègent efficacement contre la destruction de données isolées ne protègent pas contre les attaques ciblées par rançongiciel, les attaquants s’employant à chiffrer les données sur l’ensemble des serveurs de réplication. Ainsi, il est important de continuer à considérer les systèmes de sauvegardes déconnectées (« à froid ») pour les données les plus critiques. »
Autrement dit : si les premiers ransomwares etaient encore balbutiants, ces logiciels malveillants ont aujourd’hui été integrés et apprivoisés par des cybercriminels organisés et efficaces.
Pour les entreprises d’aujourd’hui, faire face à la menace des ransomwares ne consiste plus uniquement à faire appliquer l’hygiene numerique de base : il s’agit de se preparer à faire face des crises importantes, comprendre les motivations et le fonctionnement des attaquants ainsi que la façon dont les ransomwares s’integrent au sein de nouveaux scenarios d’attaques.
