Maintenant que vous êtes conscients de ce qu’est un ransomware, plongeons dans le processus de propagation et d’infection des machines.
Comment un ransomware pénètre-t-il dans les systèmes ?
Les méthodes de pénétration courantes incluent : le spam et l’ingénierie sociale pour tromper les utilisateurs, le téléchargement furtif et la diffusion de publicités malveillantes, l’utilisation d’outils d’installation de logiciels malveillants et de réseaux de robots. À leurs débuts, les ransomwares infectaient principalement les ordinateurs lorsque les utilisateurs ouvraient des pièces jointes contenant des programmes malveillants ou étaient dirigés vers des sites compromis par des messages trompeurs ou des fenêtres contextuelles. Cependant, de nouvelles variantes se propagent maintenant via des clés USB amovibles ou même par des services de messagerie instantanée comme Yahoo Messenger, où la charge utile est dissimulée sous forme d’image. Par exemple, le célèbre ransomware CTB Locker se propage grâce à des campagnes de spam agressives. Les utilisateurs reçoivent un e-mail sous la forme d’un fax contenant une archive .zip en pièce jointe. Si le fichier exécutable à l’intérieur du zip est lancé, les données du système sont cryptées et la victime est invitée à payer une rançon pour obtenir la clé de déchiffrement. Cependant, des variantes récentes peuvent se propager sans intervention humaine. On observe une augmentation des attaques “drive-by” ransomware. Ces attaques sont lancées depuis des sites Web compromis ou via des publicités malveillantes et exploitent les vulnérabilités des navigateurs, telles que Flash Player, Java, Adobe Reader ou Silverlight. Les outils utilisés lors de ces attaques sont capables de contourner les privilèges de l’utilisateur et d’exécuter des programmes malveillants avec des privilèges d’administrateur système.
Mode opératoire
Chaque variante de ransomware peut fonctionner différemment, mais elles ont souvent en commun des mécanismes de camouflage et de lancement complexes conçus pour échapper à la détection antivirus. Les ransomwares souhaitent rester invisibles et utilisent donc des techniques telles que des noms de fichiers obscurs, la modification des attributs de fichiers ou même l’utilisation de processus et services légitimes pour se cacher. Les ransomwares utilisent également des couches de défense supplémentaires pour rendre les données illisibles, rendant ainsi la rétro-ingénierie difficile. De plus, les protocoles de communication des ransomwares sont passés du texte brut (HTTP) à des protocoles tels que Tor et HTTPS, ce qui rend les appels aux serveurs de commande et de contrôle (C & C) chiffrés et presque impossibles à suivre via la surveillance du trafic réseau. Le chiffrement des fichiers a également évolué, utilisant maintenant des bibliothèques cryptographiques qui utilisent des méthodes de chiffrement forte et asymétrique plutôt que des clés courtes ou codées en dur. Par exemple, les versions précédentes de ransomwares telles que Cryptolocker et Cryptowall contactaient d’abord un serveur de commande et de contrôle, puis commençaient le chiffrement des fichiers. Pour mieux comprendre le fonctionnement des ransomwares, examinons de plus près Cryptolocker. Cryptolocker est installé par une variante de Zbot, un cheval de Troie utilisé pour exécuter des tâches malveillantes. Une fois exécuté, il s’ajoute au démarrage du système sous un nom aléatoire et tente de communiquer avec un serveur de commande et de contrôle. En cas de réussite, le serveur envoie une clé publique et une adresse Bitcoin correspondante. En utilisant le chiffrement asymétrique, Cryptolocker commence à chiffrer plus de 70 types de fichiers présents sur l’appareil de la victime.
En même temps, divers messages et instructions s’affichent sur l’écran de l’utilisateur. Les personnes infectées doivent payer une rançon pour obtenir la clé privée stockée sur les serveurs des pirates. Sans cette clé, le déchiffrement des fichiers est impossible. Une fois la rançon payée, le déchiffrement commence et un écran de vérification du paiement s’affiche. Une fois le déchiffrement terminé, les fichiers Cryptolocker sont supprimés. Cependant, il est important de noter que payer la rançon ne garantit en aucun cas la récupération des fichiers.
Qui sont les victimes ?
Les ransomwares ne ciblent pas uniquement les particuliers. Les entreprises, les institutions financières, les agences gouvernementales, les institutions universitaires et d’autres organisations ont déjà été victimes de ransomwares. Ces attaques détruisent des informations sensibles ou confidentielles, perturbent les activités quotidiennes et entraînent des pertes financières importantes. Elles peuvent également nuire à la réputation d’une organisation. Les pirates ciblent des fichiers, des bases de données, des fichiers de CAO et des données financières spécifiques. Par exemple, Cryptolocker a été utilisé pour cibler plus de 70 extensions de fichiers différentes, notamment .doc, .img, .av, .src, .cad.
Rendez-vous dans la troisième partie pour découvrir les meilleures façons de se protéger contre les ransomwares.