Sommaire
A propos de l'auteur
Kelvin Murray est chercheur principal sur les menaces chez Webroot.
Ransomware est un logiciel malveillant qui contient votre rançon de données. De nos jours, il s’agit généralement de chiffrer les données d’une victime avant de demander de l’argent (généralement une crypto-monnaie) à déchiffrer. Ransomware a gouverné le monde des logiciels malveillants depuis la fin de 2013, mais a finalement connu un déclin l'an dernier. La baisse générale du nombre de malwares, ainsi que les améliorations défensives apportées par le monde informatique en général (comme l'adoption plus généralisée de la sauvegarde), ont été des facteurs, mais ont également conduit cette menace à devenir plus ciblée et impitoyable.
Modes de livraison
Lorsque le logiciel ransomware est apparu pour la première fois, il était généralement distribué via d’énormes courriels et des campagnes de kits d’exploitation. Les consommateurs et les utilisateurs professionnels ont été frappés sans grande discrétion. Aujourd'hui, de nombreux criminels ransomwares préfèrent choisir leurs cibles pour maximiser leurs gains. Faire des affaires a un coût pour infecter des personnes. Plus le groupe de personnes que vous essayez de toucher est grand, plus cela coûte cher.
Kits d'exploitation
La simple visite de certains sites Web peut vous infecter, même si vous n’essayez pas de télécharger quoi que ce soit. Cela se fait généralement en exploitant les faiblesses du logiciel utilisé pour naviguer sur le Web, tel que votre navigateur, Java ou Flash. Les outils de développement et de gestion de contenu tels que WordPress et Microsoft Silverlight sont également des sources courantes de vulnérabilités. Mais de nombreux logiciels et sites Web sont impliqués dans la transmission des infections de cette manière. La majeure partie de ce travail est donc regroupée dans un kit d’exploit pouvant être loué à des criminels pour les aider à propager leurs programmes malveillants.
La location d’un kit d’exploitation peut coûter 1 000 dollars par mois. Ce mode de livraison n’est donc pas pour tout le monde. Seuls les cybercriminels suffisamment motivés et financés.
Eric Klonowski, analyste principal de la recherche sur les menaces chez Webroot, a déclaré: «Le coût de l'exploitation ayant augmenté de manière si spectaculaire au cours de la dernière décennie, nous continuons à constater une diminution de l'utilisation de la période de 0 jours à l'état sauvage ( en tant que fuite d’exploitation privée associée).
"Sans aucun doute, les acteurs étatiques continueront à les stocker pour les utiliser sur les cibles les plus rentables, mais s'attendent à ce que cessent les occurrences de Shadowbrokers. Les fuites mentionnées ont probablement servi de puissant outil de réveil en interne a accès à ces utilitaires (ou peut-être où ils sont laissés derrière). "
Les exploitations destinées à être utilisées à la fois par les logiciels malveillants et les menaces Web sont plus difficiles à obtenir de nos jours et, par conséquent, nous constatons une baisse du nombre de kits d’exploitation et une augmentation du coût des exploitations dans la nature. Cette menace ne va nulle part, mais elle diminue.
Campagnes email
Les e-mails de spam sont un excellent moyen de propager des logiciels malveillants. Ils sont avantageux pour les criminels car ils peuvent frapper des millions de victimes à la fois. Battre des filtres de courrier électronique, créer un message de phishing convaincant, créer un compte-gouttes et contourner la sécurité en général est difficile à faire à grande échelle, cependant. La gestion de ces grandes campagnes nécessite du travail et de l'expertise, leur coût est donc cher, tout comme un kit d'exploitation.
Attaques ciblées
La probabilité qu'une cible paye une rançon et le montant de cette rançon est soumise à un certain nombre de facteurs, notamment:
- Le pays de la victime. Le PIB de la nation d’origine de la victime est en corrélation avec le succès d’une campagne électorale, les victimes des pays les plus riches risquant davantage de payer une rançon;
- L'importance des données cryptées;
- Les coûts associés aux temps d'arrêt;
- Le système d'exploitation utilisé. Selon les données de Webroot, les utilisateurs de Windows 7 sont deux fois plus exposés aux logiciels malveillants que ceux de Windows 10.
- Que la cible soit une entreprise ou un particulier. Les clients commerciaux sont plus susceptibles de payer, et paient gros.
Comme la probabilité de succès varie en fonction des circonstances de la cible, il est important de noter qu’il existe des moyens de réduire la sélection de la cible à l’aide de kits d’exploitation ou de campagnes par e-mail, mais ces attaques sont plus dispersées que d’autres attaques plus ciblées.
Protocole RDP (Remote Desktop Protocol)
Le protocole RDP (Remote Desktop Protocol) est un système Microsoft populaire utilisé principalement par les administrateurs pour se connecter à distance à des serveurs et à d'autres points de terminaison. Lorsqu'ils sont activés par des configurations et des stratégies de mot de passe médiocres, les cybercriminels peuvent facilement les pirater. Les violations des PDR ne sont pas nouvelles, mais malheureusement, le monde des affaires (et en particulier celui des petites entreprises) ignore la menace depuis des années.
Récemment, des agences gouvernementales américaines et britanniques ont mis en garde contre cette attaque totalement évitable. Les cybercriminels moins sophistiqués peuvent acheter un accès RDP à des machines déjà piratées sur le Web sombre. L'accès aux machines dans les principaux aéroports a été repéré sur les marchés en noir pour seulement quelques dollars.
Hameçonnage
Si vous connaissez votre cible, vous pouvez personnaliser un courrier électronique spécialement pour les tromper. C’est ce que l’on appelle le harponnage, et c’est une technique extrêmement efficace qui est utilisée dans de nombreux cas de ransomware.
Malware modulaire
Les logiciels malveillants modulaires attaquent un système à différentes étapes. Une fois exécuté sur une machine, un certain travail de reconnaissance est effectué avant que le logiciel malveillant ne reprenne ses communications avec sa base et que des charges utiles supplémentaires soient téléchargées.
Trickbot
On a également vu le Trojan bancaire modulaire Trojan Trickbot déposer des ransomwares tels que Bitpaymer sur des machines. Récemment, il a été utilisé pour tester la valeur d’une entreprise avant de permettre aux attaquants de déployer des outils d’accès à distance et Ryuk (ransomware) de chiffrer leurs informations les plus précieuses. Les acteurs derrière cette campagne Trickbot / Ryuk ne poursuivent que de grandes cibles lucratives qu’ils savent pouvoir paralyser.
Trickbot lui-même est souvent abandonné par un autre programme malveillant modulaire, Emotet.
Quelles sont les tendances actuelles?
Comme nous l’avons noté, l’utilisation des ransomwares est peut-être en baisse en raison du renforcement des défenses et de la prise de conscience accrue de la menace, mais la tendance plus large et plus remarquable consiste à rechercher des cibles plus soigneusement choisies. Les extensions RDP ont été la plus grande source d'appels de ransomware vers nos équipes de support au cours des 2 dernières années. Ils sont totalement dévastateurs pour ceux qui sont touchés, alors les rançons sont souvent payées.
Les logiciels malveillants modulaires impliquent de rechercher une cible avant de décider si ou comment elle doit s'exécuter, et cette menace est en train de devenir une menace pour les six derniers mois.
Automatisation
Lorsque nous parlons de la sélection des cibles, vous pourriez être enclin à supposer qu’il ya un humain impliqué. Mais, dans la mesure du possible, l'attaque sera codée pour libérer de la main-d'œuvre. Les programmes malveillants décident généralement de ne pas s'exécuter s'ils se trouvent dans un environnement virtualisé ou si des outils d'analyse sont installés sur les ordinateurs. Trickbot et Emotet utilisent l'automatisation fluide pour maintenir le fonctionnement des réseaux de zombies et pour se propager à l'aide d'informations d'identification volées. Les violations de RDP sont plus faciles que jamais en raison des processus automatisés recherchant des cibles à exploiter sur Internet. Attendez-vous à une automatisation de plus en plus intelligente de ransomware et autres logiciels malveillants à l'avenir.
Que puis-je faire?
- Sécurisez votre RDP;
- Utilisez la politique de mot de passe appropriée. Ceci est lié aux menaces de ransomware de RDP et s’applique particulièrement aux administrateurs;
- Tout mettre à jour;
- Sauvegardez tout. Cette sauvegarde est-elle physiquement connectée à votre environnement (comme dans un stockage USB)? Si tel est le cas, il peut facilement être crypté par des acteurs malveillants. Assurez-vous de réaliser des sauvegardes d'entrefer ou vers le cloud.
- Si vous pensez avoir été victime d’une violation, il est possible que des outils de décryptage soient disponibles. Malgré les efforts brillants des chercheurs en matière de déchiffrement, ce n’est le cas que dans certains cas.
Kelvin Murray est chercheur principal sur les menaces à Webroot.