Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport Interpol "ransomware la 1ère menace en Europe" : Vade Secure livre son analyse de l’évolution d’un an de ransomware

octobre 2016 par Vade Secure

L’agence européenne de police, Interpol, estime dans le rapport annuel sur la cybercriminalité qu’elle vient de rendre public, que « le ransomware est maintenant la première menace en Europe » tout en ajoutant que cela allait empirer dans les mois et années à venir.
Vade Secure alerte depuis longtemps sur la montée en puissance des ransomware. Les deux experts, Régis Benard et Florian Coulmier proposent leur commentaire sur les grandes évolutions liées aux ransomware observées cette année.

Florian Coulmier, Responsable Production et Cybercriminalité de Vade Secure commente : « Nous, comme de nombreux experts, avions prédit que l’année 2016 serait l’année du ransomware. Et effectivement, les vagues de ransomware sont progressivement montées en puissance et ont très largement ciblé les entreprises, notamment en France, le désormais célèbre Locky en tête. Preuve de cette tendance, le nombre de variantes de ransomware a fortement augmenté, et l’on en décompte pas moins de 120 aujourd’hui. Le niveau de technicité de ces attaques augmente également et les hackers les font évoluer très rapidement dans le temps pour trouver de nouvelles parades aux outils de détection : Satana était une évolution de Locky qui était lui-même une évolution de Petya, lui-même une évolution de Dridex, etc. »

Régis Benard, Consultant Technique de Vade Secure déclare : « En France, Locky reste de loin le ransomware le plus présent. Vade Secure a identifié des vagues de Locky particulièrement extraordinaires à différentes périodes cette année, avec des pics à plus de 1,2 millions de Locky bloqués en 24h, en mars. Alors qu’en période « normale », la solution de filtrage des emails dans le Cloud de Vade Secure (Vade Secure Cloud) détecte en moyenne 25 000 malwares par jour. Et les vagues de Locky continuent d’ère massivement diffusées (notamment via le botnet Necurs), avec des pics fin août/début septembre. Le business Locky reste donc très lucratif pour les cybercriminels, notamment auprès des TPE/PME clairement les cibles principales du ransomware du fait de leur niveau de sécurisation moindre face à ce type d’attaques.

Ces derniers mois, une tendance est apparue, celle des ransomware tentant de se faire passer pour Locky pour faire peur aux cibles visées et leur faire croire qu’elles sont obligées de payer, sans autre solution. En réalité, ces souches de ransomware (Bart ou PowerWare par exemple) sont beaucoup moins dangereuses car le cryptage peut être cassé, même avec des outils gratuits. Il faut désormais savoir distinguer le vrai Locky, de ces imitations ».

Régis Benard ajoute : « Nous avons également identifié des nouvelles tendances cette année et qui sont clairement vouées à se développer. C’est le cas du ransomware-as-a-service (RaaS) avec des premiers cas tels que Cerber. Pour maximiser leurs impacts et leurs revenus, les cybercriminels proposent, en communiquant très simplement sur Internet, à des volontaires de diffuser leurs ransomware dans leur propre pays. Cela traduit réellement une professionnalisation du marketing du ransomware et nous voyons même apparaître aujourd’hui de véritables services après–vente qui proposent d’accueillir les victimes pour les aider à payer la rançon… Nous sommes clairement aujourd’hui de plus en plus loin des attaques de malware artisanales. Et pour compléter le tableau, nous pouvons ajouter l’apparition cette année de la nouvelle menace du ransomware-as-a-Freeware (RaaF) pour lequel un développement rapide est à prévoir. Les RaaF tels que Shark, sont distribués en freeware avec une exigence : la remise d’une partie des gains mal acquis à ses créateurs. La valeur ajoutée du RaaS et du RaaF et leur dangerosité, c’est que ces types de ransomware nécessitent un minimum d’efforts pour un maximum de résultats ».

Enfin, les chiffres montrent que depuis la rentrée les attaques de ransomware sont régulières, massives, et que le ransomware représente en effet la quasi-totalité des attaques. Nous allons continuer à entendre parler majoritairement de Locky (car les fichiers sont renommés en .locky) mais de plus en plus de Zepto et de Odin, les petits derniers probablement issus de la même souche virale ».

Quelques chiffres illustrant l’évolution des ransomware :
- 4 fois plus de ransomware entre 2015 et 2016 – Source étude Barkly (http://bit.ly/2dticCv)
- Fin mars, 93% des phishing étaient des ransomware (56% en décembre, 10% en moyenne en 2015) - source PhishMe (http://www.csoonline.com/article/30...)

L’expert conclut : « Identifier les nouveaux types de ransomware le plus rapidement possible est l’objectif de tous les éditeurs de solutions antivirus. Les solutions que nous fournissons chez Vade Secure permettent de se protéger des ransomware avant même que ceux-ci n’aient été identifiés. Nous travaillons sur plusieurs éléments pour cela :

• L’analyse de l’email reçu (sa réputation, sa méthode d’envoi, son volume d’envoi, etc.). Sans même avoir besoin d’analyser la pièce jointe, nous sommes capables d’identifier qu’un email est illégitime et le filtrer.

• L’analyse de la pièce jointe qui n’est pas le virus directement, mais un dropper (fichier permettant de télécharger ensuite le virus). Les droppers sont souvent des documents Word contenant des macros ou des fichiers .js. Grâce à une analyse heuristique, nous sommes en mesure d’identifier des éléments qui sont généralement utilisés dans des mails dangereux et les bloquer.

• L’analyse des liens contenus dans l’email afin d’identifier le contenu vers lequel un email tenterait de rediriger une personne. Il arrive que l’email ne contienne aucune pièce jointe mais seulement à lien pour aller télécharger le virus ».




Voir les articles précédents

    

Voir les articles suivants