« La bourse ou la vie » était l’expression privilégiée des bandits de grand chemin du 18ème siècle. Bien que les criminels masqués détroussant à cheval les passagers des diligences fassent partie du passé, la notion de retenir des biens de valeur en échange d’une rançon est encore répandue. Les cybercriminels utilisent aujourd’hui des logiciels malveillants appelés « logiciels rançonneurs » pour exiger « votre argent ou vos fichiers », et soutirer ainsi de l’argent aux entreprises en tenant leurs PC ou leurs données en otage moyennant un paiement pour leur libération.

Comme la plupart des logiciels malveillants, les logiciels rançonneurs infectent des postes via des pièces jointes malveillantes, des pop-up trompeurs, ou simplement suite à une visite sur un site web compromis. Ils menacent les entreprises en verrouillant l’écran d’un utilisateur ou en chiffrant des fichiers. Les logiciels rançonneurs de verrouillage d’écran, comme leur nom l’indique, bloquent le fonctionnement d’un PC tout en affichant un message de demande de rançon, et le rendent inutilisable jusqu’à ce que le logiciel malveillant soit supprimé. Bien que ce soit une nuisance pour les utilisateurs, elle n’affecte généralement qu’un seul PC et peut être assez facilement supprimée.

Les logiciels rançonneurs de chiffrement de fichiers sont par contre en train de devenir une véritable menace pour les entreprises en raison de leur capacité à verrouiller définitivement les fichiers et les données des utilisateurs, non seulement sur des PC individuels, mais également sur l’ensemble du réseau d’une entreprise. Ce type d’attaque a connu une augmentation de 200% au 3e trimestre 2013 par rapport à la première moitié de l’année. Les attaques ont été principalement menées jusqu’à présent contre les petites et moyennes entreprises, à l’aide de CryptoLocker, l’une des variétés les plus destructrices et malveillantes de logiciels rançonneurs jamais vu.

Depuis son identification à la fin de l’été 2013, CryptoLocker a ciblé plus d’un million d’ordinateurs. Une fois activé sur le PC d’un utilisateur, CryptoLocker recherche tous les dossiers et lecteurs accessibles depuis l’ordinateur infecté, y compris les lecteurs de sauvegarde en réseau connectés aux serveurs de l’entreprise. Il commence alors à chiffrer les fichiers en utilisant une méthode de chiffrement à 2048 bits pratiquement incassable. Les fichiers restent chiffrés à moins que l’entreprise ne paie une rançon aux agresseurs afin d’obtenir la clé de chiffrement - en supposant, bien sûr, que les criminels fournissent réellement la clé une fois payés. Sans exagérer, cette perte de propriété intellectuelle et de données confidentielles a des conséquences catastrophiques.

Comment se défendre contre les logiciels rançonneurs

Que peuvent faire les entreprises pour se protéger contre ces nouveaux types de logiciels malveillants agressifs ? Les entreprises doivent dans un premier temps mettre en œuvre les meilleures pratiques de sécurité recommandées pour protéger les ordinateurs contre tout autre type de logiciel malveillant :

• Utiliser un logiciel antivirus disposant des toutes dernières signatures de logiciels malveillants

• S’assurer que le système d’exploitation et les applications utilisés sont à jour

• Installer un pare-feu bidirectionnel sur le PC de chaque utilisateur

• Sensibiliser les utilisateurs aux techniques d’ingénierie sociale impliquant notamment l’utilisation de fichiers inconnus joints à des emails non sollicités

Ces mesures n’offrent toutefois pas une protection complète contre les attaques. Un employé peut facilement cliquer par inadvertance sur une pièce jointe et déclencher une infection. Il est également relativement facile pour les criminels d’ajuster légèrement leur code malveillant pour contourner les méthodes de détection traditionnelles des antivirus sur signatures.

Meilleure protection via bac à sable

Pour se défendre contre les nouvelles méthodes d’exploitation des vulnérabilités qui ne peuvent être détectées par les solutions antivirus traditionnelles, une nouvelle technique de sécurité permet d’isoler les fichiers malveillants avant qu’ils n’entrent dans le réseau afin d’empêcher toute infection accidentelle.

Cette technologie, que Check Point nomme « Threat Emulation », n’a aucune incidence sur l’activité des entreprises. Elle ouvre les fichiers suspects arrivant par email et inspecte leur contenu dans un environnement virtualisé appelé « bac à sable ». Les fichiers y sont ouverts et surveillés pour détecter tout comportement inhabituel en temps réel, tels que les tentatives de changements anormaux de la base de registre ou les connexions réseau non autorisées. Lorsque le comportement d’un fichier s’avère suspect ou malveillant, ce dernier est bloqué et mis en quarantaine pour l’empêcher d’atteindre le réseau ou les boîtes de messagerie des utilisateurs, et de provoquer des dommages. Les nouveaux services d’émulation dans le Cloud tels que le service d’émulation ThreatCloud de Check Point, peuvent fournir cette capacité de protection à toutes les entreprises quelle que soit leur taille.

Les entreprises devraient envisager de prendre ces précautions
supplémentaires pour éviter de devenir la proie des cybercriminels qui n’ont besoin que d’une toute petite faille de sécurité pour entrer dans le réseau et prendre les actifs de l’entreprise en otage. Avec leur capacité à capturer instantanément l’ensemble des fichiers et des données d’une entreprise, les logiciels rançonneurs représentent une menace que les entreprises devraient prendre très au sérieux.