Anatomie d’une cyberattaque par ransomware

2016 fut l’année du chantage par ransomware. Les données sont chiffrées en introduisant des programmes malveillants dans le système infecté et en les rendant inutilisables. Les données ne sont de nouveau utilisables qu’après le versement d’une « rançon ».

Ce genre de chantage n’est pas nouveau. En 1989, le cheval de Troyes « AIDS.exe » a pu cacher des fichiers et les rendre ainsi inutilisables. Cependant, le programme n’avait fait que renommer les fichiers, les contenus étaient restés inchangés. Ceci changea en 2008, lorsque les programmes malveillants ont commencé à chiffrer les contenus des fichiers. Sans la bonne clé, les données ne pouvaient être libérées. Le problème se posait alors - comme avec les « vrais » enlèvements - au moment où il fallait remettre la rançon. Ceci changea également en 2013. Avec l’utilisation du Bitcoin comme moyen de paiement, la circulation de l’argent n’était plus traçable et plus rien ne pouvait empêcher le logiciel malveillant de parvenir à ses fins.

Le malware s’est répandu avec l’aide de bannières et de sites publicitaires contaminés. Les pièces jointes dans les emails étaient utilisées également, ainsi que la bonne vieille méthode de la clé USB « perdue » sur le parking ou dans les toilettes et contenant un programme malveillant qui infectait l’ordinateur lorsqu’elle était insérée.

Pendant ce temps, les programmes se sont grandement améliorés, et d’autre part le choix des victimes a évolué. Tandis que par le passé la tendance était de faire primer la quantité - les victimes nombreuses et des demandes de rançon peu élevées permettaient d’obtenir une jolie somme - à présent la hiérarchie intermédiaire ou supérieure est visée. À l’aide de Spear-Phishing, les PDG sont espionnés et directement visés. Les emails sont écrits de telle manière à ce que le destinataire pense qu’ils viennent d’une personne connue et bien placée, la plupart du temps au sein de la même société. Lorsque la pièce jointe est ouverte, la victime est invitée à cliquer sur un lien qui lance une action plus importante en arrière-plan. Le malware est alors chargé et démarré.

Après l’installation, le programme contacte un ou plusieurs serveurs Command and Control (C & C). À partir de là, les outils de hacker les plus avancés sont chargés sur l’ordinateur infecté et se logent à l’intérieur du système pour garantir que même si l’appareil est immédiatement déconnecté du réseau (ce qui pourrait toujours inhiber le chiffrement des données en cas de présence de programmes malveillants plus anciens), le programme malveillant fonctionnera après le redémarrage de l’ordinateur.

Une partie du malware se loge très sournoisement dans le dossier de démarrage automatique, tandis qu’une autre partie s’occupe du registre. Des sous-programmes essaient de pénétrer le réseau de la société, ce qui serait l’assurance d’un plus grand succès sachant que les victimes pourraient avoir des droits d’accès plus importants que des employés dits « normaux ». Cela signifie que si un tel programme parvient à s’introduire dans le réseau d’une société, les conséquences sont assez facilement imaginables.

Les logiciels de chantage modernes sont spécifiquement conçus pour l’attaque des supports de sauvegarde. Ces derniers sont les premières cibles, car avec l’aide d’une sauvegarde bien choisie, la plupart des problèmes que la prise en otage des données comporte peuvent être contournés. Par conséquent, le malware garantit que même les fichiers d’une sauvegarde ne peuvent plus être utilisés.

Tout ceci se produit dans l’obscurité. Avant la fin du processus d’infiltration, personne n’est en mesure de soupçonner qu’un danger est imminent. Lorsque tous les préparatifs sont prêts, les données sont chiffrées et la demande de rançon s’affiche sur l’écran de l’ordinateur infecté. La somme demandée est calculée en fonction des données comptables de la société et des ventes réalisées, et il s’agit souvent d’un montant à cinq ou six chiffres.

Le taux de réussite est très élevé, ce qui est inquiétant. Une enquête menée par Osterman Research aux États-Unis, au Canada, au Royaume-Uni et en Allemagne montre que parmi 540 sociétés interrogées employant en moyenne 5400 personnes chacune, près de 40 % ont connu des problèmes liés au ransomware. Plus d’un tiers d’entre elles ont vu un recul de leurs ventes, tandis que 20 % ont fait faillite à la suite de la perte de leurs données !

Quiconque souhaite avoir une image précise et détaillée de la façon dont se déroule une attaque par le programme de chantage le plus récent et le plus dangereux - CryptoWall 3.0 (CW3) - trouvera sur sentinelone.com le déroulement d’une attaque décrit en anglais. Toutefois, seul un lecteur possédant un savoir-faire technique important sera susceptible de comprendre l’article.