Comment se prémunir et se débarrasser d’un ransomware ?

Le ransomware est une tendance qui ne cesse de gagner du terrain depuis 2018. Dans son dernier rapport, l'ANSSI fait état d'une hausse considérable des signalements, et d'une véritable industrialisation des attaquants, particulièrement bien organisés.

L'Agence nationale de la sécurité des systèmes d'information, l'ANSSI, a publié au début du mois de février son rapport d'état de la menace rançongiciel en France, concernant les entreprises et les institutions, cibles premières de ce terrible fléau de la sécurité informatique. Vraie pratique largement identifiée depuis 2018, le rançongiciel a encore nettement proliféré en 2020, avec une hausse des signalements d'attaque de 255 % par rapport à 2019. Ce qui inquiète l'agence, toujours très active sur le sujet, c'est la « diversification, voire une sophistication, des vecteurs d'infection utilisés ».

Le ransomware et ses multiples façons de le « diffuser »

Nous abordons assez régulièrement la thématique du ransomware sur Clubic, et certains noms, comme Ryuk, RagnarLocker, Clop ou DoppelPaymer doivent êtes familiers à vos yeux. Mais nous avons rarement l'occasion d'aborder la classification de ces rançongiciels. L'ANSSI nous indique ainsi avoir identifié trois tendances en 2020.

La première est celle qui consiste, pour un groupe de cybercriminels, à cibler des entreprises et institutions bien particulières via des ransomwares. On appelle cette pratique le Big Game Hunting (BGH). Souvent, les opérations de BGH sont précédées d'actions en amont, plusieurs mois à l'avance. RagnarLocker, DarkSide, RansomEXX et Netwalker sont les malveillants qui caractérisent le mieux cette pratique.

Une autre pratique consiste à utiliser des rançongiciels que l'on récupère sur le dark web moyennant finance, par un système d'affiliation. Cette pratique du ransomware-as-a-service (RaaS) est de plus en plus répandue. Elle représente même la majorité des attaques signalées à l'ANSSI. Le célèbre Clop (diffusé par le groupe TA505), WastedLocker, Maze, DoppelPaymer, Sodinokibi sont parmi les plus connus. Le RaaS prend la forme d'un abonnement ou d'un partenariat à un ransomware, duquel découle naturellement une suite de services comme un support technique, une interface de gestion d'implants ou une interface d'échange avec les victimes. Véritable marché du ransomware, le RaaS est vu comme la forme « prête à l'emploi » du genre.

Enfin, l'agence a identifié une troisième tendance forte sur le rançongiciel en 2020, qui consiste en une double extorsion. Plus ancienne (potentiellement introduite par Maze en novembre 2019), elle permet aux hackers de faire pression sur la victime en captant ses données, puis en la menaçant de tout publier sur un site internet en .onion la plupart du temps, le tout pour la convaincre de payer la rançon en moins de 72 heures, avant de tout publier. « Il est ainsi de plus en plus fréquent qu'un chiffrement soit précédé d'une exfiltration de données », note l'ANSSI.

Une menace de plus en plus inquiétante

L'ANSSI rappelle que bien que la majorité des rançongiciels respecte une chaîne d'infection similaire, il est à noter une diversification et une sophistication des vecteurs d'infection sollicités. « L'industrialisation permet aux opérateurs de rançongiciel de sous-traiter une grande partie des ressources et outils nécessaires à la réalisation de leurs opérations ». Un procédé qui se matérialisation, parfois même, par une collaboration entre opérateurs de divers ransomwares, ce qui les rend d'autant plus redoutables.

En ce qui concerne les vecteurs d'infection, les hackers ne se limitent plus aux simples courriers électroniques de phishing ou accès RDP. Aujourd'hui, ils explorent les vulnérabilités (serveurs, VPN, logiciels de surveillance à distance, etc.) et initient des compromissions par point d'eau, qui après un clic sur une URL amenant vers un site web pirate, peut amener à la distribution du logiciel malveillant ou d'un kit d'exploitation.

point d'eau WastedLocker

Aujourd'hui, face à des hackers parfaitement organisés et même groupés, aucun secteur n'est épargné. Et aucune région du monde non plus. Toutefois, l'ANSSI a noté une tendance à la hausse des attaques par ransomware dans les secteurs de l'éducation, de la santé (nous en avons parlé plusieurs fois sur Clubic), des entreprises de services numériques et du côté des collectivités locales.

Des dégâts considérables à chaque attaque

À chaque attaque par rançongiciel transformée, les dégâts sont conséquents. Il y a d'abord la perte de données, doublement problématique si l'entreprise ou institution n'a pas procédé à une sauvegarde, mais aussi les pertes financières, les pertes d'exploitation, l'atteinte à l'image et, comme couronnement funeste, la perte de clients.

Et même certaines entités qui paient la rançon, pensant que cela résoudrait tous les problèmes, paient les pots cassés. « La rentabilité des attaques par rançongiciel, bien supérieure à leur coût de mise en œuvre, explique la prolifération des groupes d’attaquants et laisse présager une constance, si ce n’est une hausse, de la menace liée aux rançongiciels dans les années à venir », s'inquiète l'ANSSI, qui n'est pas près d'en avoir fini avec les ransomwares.

Source : ANSSI