Les différents visages du ransomware

Le ransomware bloque tout ou partie des ordinateurs et exige une rançon en bitcoins pour donner à nouveau accès aux données, même si bien souvent passées entre les mains des hackers elles peuvent être perdues de manière irréversible.
Protéiformes, les ransomwares se répandent via un e-mail frauduleux (dans lequel se trouve une pièce jointe infectée), un site internet corrompu ou malveillant, une installation de logiciel provenant de source non fiable ou des réseaux sociaux. Leur évolution fulgurante conduit à l’éclatement et à l’amplification du marché noir de la criminalité. C’est une véritable commercialisation généralisée et organisée qui se met en place

Les derniers nés de la génération ransomware

Locky n’épargne personne : Il a beaucoup fait parler de lui depuis le mois de février. Il se répand actuellement comme une trainée de poudre dans toute l’Europe, principalement au travers de macros malicieuses dans un document Word, généralement transmis à la victime lorsque cette dernière télécharge la pièce jointe d’un email malveillant. Il chiffre les fichiers sur le poste de travail et parfois sur un réseau entier. Locky mute en permanence et utilise de nouvelles méthodes de propagation.

CTB Locker, un nouvel adversaire sur mesure : il cible toutes les versions de Windows sans exception (à partir de Windows XP) et se propage principalement par email piégé, mais aussi via des sites webs compromis ou malveillants. Une fois exécuté, il parcourt en silence l’ensemble des disques durs et des partages réseaux, s’empare d’une liste de fichiers et les place dans une archive chiffrée protégé par mot de passe. Afin de ne pas être détecté par les experts sécurité des entreprises, CTB-Locker est doté d’un mécanisme d’anti-debugging, qui lui permet de ne pas s’exécuter sur les machines virtuelles utilisées pour analyser les malwares. Ce ransomware démontre une versatilité inquiétante.

TeslaCrypt, le ransomware qui cache bien son jeu. TeslaCrypt se répand majoritairement via des emails et analyse les ordinateurs à la recherche de fichiers de données. Il ignore Windows et les applications pour permettre à l’ordinateur de continuer à fonctionner « normalement » afin d’aller sur Internet et payer la rançon. Les fichiers de données sont chiffrés en utilisant un chiffrement sophistiqué, AES, qui assure au hacker un contrôle total sur les fichiers sans aucune chance pour la victime de pouvoir les récupérer.

Petya, encore plus agressif que Locky. En plus de chiffrer les fichiers, Petya va également chiffrer les premiers secteurs du disque système, empêchant le système d’exploitation de se charger. Le prétexte utilisé pour infiltrer les disques durs est souvent une pièce attachée d’un email. Si le réseau est infecté, l’ordinateur est totalement inutilisable, ettant que la rançon n’est pas payée les informations de l’entreprise sont condamnées.

Samsam déterre le Hash de guerre. La particularité de ce nouveau cryptoware est l’utilisation de « Pass the Hash », qui constitue un réel danger pour la sécurité des réseaux d’entreprise. Elle permet de contourner les systèmes d’authentification au serveur et accéder aux informations confidentielles et aux applications critiques. Le ransomware, qui a réussi à compromettre un poste de travail ciblé, étend son emprise sur l’ensemble des machines et du système informatique d’une entreprise.

Cerber, la dernière bête noire de la communauté cybersécurité : Ransomware As A Service (RaaS), une tendance en forte hausse, permet aux fraudeurs d’acheter le logiciel malveillant et de l’opérer à volonté. Le réseau de malfaiteurs ne se limite donc plus à un cercle d’experts de la programmation et de l’écriture de logiciels.

Vers une génération « Super Cryptoware » ?

Parce que les pirates élaborent des scénarios d’attaque et des malwares toujours plus complexes et intelligents, l’installation d’un antivirus n’est désormais plus assez efficace pour protéger le poste de travail. En effet, les malwares déjouent aisément le système d’analyse de signature et une identification proactive de comportements malicieux est maintenant indispensable pour contrer les nouvelles menaces connues comme inconnues.

On peut s’attendre à une recrudescence de nouveaux ransomwares mais aussi à une métamorphose des cryptowares existants. Le phénomène ransomware ne fait que commencer et son évolution sera encore longtemps au cœur de l’actualité. L’une de ces évolutions concerne leurs modes toujours plus innovants, de propagation. Ainsi, Locky et Cerber utilisent parfois l’exploitation d’une vulnérabilité « 0 day » pour se répandre ; un canal beaucoup plus impactant en terme de volume que l’email. Cette tendance montre que le caractère très lucratif du ransomware incite les attaquants à redoubler de « créativité » pour atteindre le plus de victimes possibles. Alors que le profil des pirates se diversifie, ils gagnent donc également en puissance à travers la génération ransomware.