Le ransomware est devenu un réel business

Entre autres choses, 2016 a révélé à quel point le modèle RaaS (Ransomware as a Service) séduit désormais les criminels qui ne possèdent pas les compétences ou les ressources nécessaires pour développer leur propre malware ou n’en ont tout simplement pas envie. Le principe consiste pour les créateurs du code malveillant à offrir celui-ci « à la demande », en se bornant à vendre des versions modifiées à leurs clients qui les diffusent via du spam ou des sites web et reversent une commission à l’auteur, le principal bénéficiaire financier. « Le modèle classique de l’affiliation paraît aussi efficace pour le ransomware que pour les autres types de malware. Les victimes paient souvent la rançon, de sorte que l’argent coule à flots. Inévitablement, cela a conduit à l’apparition quasi quotidienne de nouveaux logiciels de cryptage », commente Fedor Sinitsyn, analyste senior en malware chez Kaspersky Lab.

L’évolution du ransomware en 2016

En 2016, le ransomware a poursuivi ses ravages à travers le monde, devenant de plus en plus élaboré et diversifié pour renforcer son emprise sur les données, les appareils, les particuliers et les entreprises :

• Les attaques sur les entreprises ont nettement augmenté. Selon l’étude Kaspersky Lab, une entreprise sur cinq au niveau mondial a subi un incident de sécurité informatique à la suite d’une attaque de ransomware et une petite entreprise sur cinq n’a jamais récupéré ses fichiers, même après avoir versé une rançon.

• Si certains secteurs d’activité ont été plus durement touchés que d’autres, notre étude indique que personne n’est véritablement épargné par le risque : le plus fort taux d’attaques frappe l’enseignement (de l’ordre de 23 %) et le plus faible, la grande distribution et les loisirs (16 %).

• Le ransomware « éducatif », conçu pour donner aux administrateurs système un outil permettant de simuler des attaques de ce type, a été rapidement et impitoyablement exploité par des criminels, donnant notamment naissance à Ded_Cryptor et Fantom.

• Parmi les méthodes de rançonnage observées pour la première fois en 2016 figure le cryptage de disque, consistant pour les auteurs des attaques à bloquer l’accès, non pas à quelques fichiers, mais à la totalité d’entre eux simultanément. Petya Dcryptor, alias Mamba, va encore plus loin en verrouillant l’ensemble du disque dur, grâce à des attaques de mots de passe par force brute pour accéder à distance aux appareils des victimes.

• Le ransomware Shade a montré sa capacité à changer d’approche vis-à-vis d’une victime si l’ordinateur infecté s’avère appartenir à des services financiers, pour télécharger et installer un spyware au lieu de crypter les fichiers.

• Les codes malveillants ont sensiblement perdu de leur qualité : c’est ainsi que de simples chevaux de Troie rançonneurs, présentant des erreurs de programmation et des fautes grossières dans les demandes de rançon, multiplient les risques pour les victimes de ne jamais récupérer leurs données.

Lancement du projet NoMoreRansom pour lutter contre les ransomwares
Par chance, 2016 a également été l’année où le monde s’est uni pour riposter. Le projet No More Ransom, lancé en juillet, rassemble les forces de l’ordre et les fournisseurs de solutions de sécurité afin de traquer et de neutraliser les principales familles de logiciels rançonneurs, afin d’aider les particuliers à récupérer leurs données et saper le modèle économique lucratif des criminels.
Les dernières versions en date des produits de Kaspersky Lab destinées aux petites entreprises se sont enrichies d’une fonction anticryptomalware En outre, un nouvel outil antiransomware gratuit a été mis à la disposition de toutes les entreprises, qui peuvent le télécharger et l’utiliser quelle que soit leur solution de sécurité actuelle.

Le texte complet de l’article Kaspersky Security Bulletin 2016 – Story of the Year : The Ransomware Revolution est disponible ici. Vous y trouverez également des conseils sur la façon de vous protéger et les raisons pour lesquelles il ne faut pas payer de rançon.

De plus amples informations sur le projet No More Ransom se trouvent ici.
D’autres parties du Kaspersky Security Bulletin se trouvent dans les Prévisions 2017 relatives aux menaces, publiées le 16 novembre et disponibles ici, ainsi que le rapport principal, Executive Summary, Review and Statistics, qui sera disponible courant décembre.