Comment le ransomware est devenu le gagne-pain des cybercriminels
Spécial Bilan 2016. Prenez des outils de chiffrement, de la cryptomonnaie, du phishing ciblé et un peu de réseau anonymisé, mélangez le tout et vous obtiendrez le fléau de 2016 : le ransomware. Il s'agit d'un malware qui s'installe sur un ordinateur via un clic sur un fichier infecté ou un lien détourné et qui ensuite chiffre une bonne partie des fichiers du PC. Seule échappatoire, payer une rançon en monnaie virtuelle (bitcoin principalement) et espérer que le pirate transmette la clé pour déverrouiller les fichiers. Ou repartir de sauvegardes récentes.
Tous les éditeurs de sécurité attestent, dans leur rapport respectif, de l'explosion des rançongiciels. Ainsi, Kaspersky Lab recense une attaque de ce type toutes les 40 secondes envers les entreprises. Dans son index des menaces, Checkpoint constate que les ransomwares arrivent dans le top 3 des logiciels malveillants les plus utilisés.
Une phase de test sur des cibles vulnérables
Les ransomwares ne sont toutefois pas nouveaux. Ils ont fait leurs premières armes sur les smartphones, notamment sur Android. Puis, le monde a découvert l'épisode du Hollywood Presbyterian Medical Center. Un établissement de santé américain qui a finalement payé 15 000 dollars pour récupérer ses données bloquées par un ransomware. Par la suite, d'autres établissements de santé ont été victimes des mêmes attaques. En France, on peut citer le Centre Hospitalier d'Epinal ou l'hôpital Duchenne à Boulogne-sur-Mer. Puis, ce fut au tour des universités et des écoles d'être frappées par les mêmes maux.
Point commun de ces cibles : des systèmes d'informations relativement peu protégés et surtout des PC souvent peu mises à jour. Il n'est pas rare, dans le monde médical d'avoir, des ordinateurs sous Windows XP. Les experts en sécurité soulignent que ces premières cibles ont fait office de test, ce qui a permis aux cybercriminels de rôder les charges et de connaître le niveau de résistance des victimes au paiement d'une rançon.
Et Locky se propagea
Le problème du ransomware n'est pas resté circonscrit au seul continent américain. L'Europe a découvert ses méfaits à travers la campagne dévastatrice menée par Locky. Ce rançongiciel a particulièrement touché la France et l'Allemagne. Pour mieux se diffuser, il a muté. Après avoir d'abord misé sur une infection via des macros de Microsoft Office placées en pièces jointes d'e-mails, le kit de téléchargement Locky a ensuite été logé dans une archive Zip renfermant un code Javascript malicieux.
Free Mobile a été obligé de tirer la sonnette d'alarme face à la propagation de Locky via des fausses factures. Les RSSI, comme celui de l'AFP, et les prestataires IT, comme celui qui a soigné Silicon.fr, ont été débordés et parfois subjugués par la viralité et l'ingéniosité de ce type de malware.
Et le monde n'en a pas fini avec Locky. Les cybercriminels sont très innovants pour améliorer leur gagne-pain. Des variantes ont donc fleuri tout au long de l'année avec pêle-mêle des outils anti-détection, du pilotage automatique, la capacité à imiter un fichier système Windows et, dernier raffinement en date, l'intégration à une image sur Facebook.
Une petite entreprise qui rapporte
Si le ransomware prospère et s'industrialise, c'est que les cybercriminels ont là trouvé un vrai filon. Premier point, les individus et les entreprises sont finalement assez souvent prêts à payer. Les études se suivent et se ressemblent, mais une majorité des entreprises préfèrent payer des rançons plutôt que de voir leur production s'arrêter ou de perdre du temps et de prendre des risques en remettant en route leur SI via des sauvegardes.
Second point, le retour sur investissement d'un ransomware est une vraie martingale. Une étude de Trustwave évalue la rentabilité à 1425%. Ainsi, pour une campagne qui coûte 6000 dollars, le pirate peut espérer gagner jusqu'à 90 000 dollars. Un cybercriminel s'est par exemple vanté d'avoir récolté près de 121 millions de dollars sur une période de 6 mois, en ciblant principalement les hôpitaux.
Professionnalisation et mutation des ransomwares
Un eldorado financier qui a conduit à la multiplication du nombre de ransomwares et à leur spécialisation. Les cyber-escrocs investissent dans la R&D pour améliorer les souches de rançongiciels. Et leur imagination est sans limite pour faire cliquer les utilisateurs ou les faire payer.
Parmi cette nouvelle génération de ransomwares, on peut citer Petya, qui a la particularité de non seulement verrouiller les fichiers, mais également de bloquer le MBR, le fichier d'amorçage du disque dur. Il a été amélioré à travers Santana qui évite que le MBR compromis soit remplacé par un fichier sain, permettant de redémarrer le disque dur. Le monde Linux n'est pas à l'abri avec plusieurs variantes ciblant cet environnement, comme FairWare ou Linux Encoder.
Qui peut le plus, peut le moins, les cybercriminels montent en gamme en visant les bases de données des entreprises, comme dans le cas de Cerber. Plus récemment, la perversité des pirates a franchi une étape supplémentaire avec Popcorn Time qui infecte une personne et lui demande d'envoyer un lien malveillant à plusieurs amis. Si au moins deux sont infectés, la personne peut récupérer ses fichiers gratuitement. Si la technique peut faire sourire, les inquiétudes sont en revanche grandes sur la combinaison entre rançongiciel et Internet des objets, plus spécifiquement en matière d'implants médicaux connectés (pacemaker, pompe à insuline, matériel de dialyse, etc.).
Une riposte difficile mais qui s'organise
La plupart des éditeurs de sécurité se sont penchés sur le problème des ransomwares, mais ils ont été un peu débordés. Certains ont réussi à créer des outils pour déchiffrer gratuitement les fichiers verrouillés. Citons notamment les intitiatives de FireEye ou de BitDefender. Des chercheurs ont pris le parti, comme Ivan Kwiatkowski, d'infecter des scammers avec Locky.
Mais la vitesse d'évolution des variantes fait qu'il est difficile de répondre rapidement à cette menace. Au sein de l'Union européenne, les choses bougent avec le projet No More Ransom qui regroupait au départ la police nationale néerlandaise, Europol, Intel Security et Kaspersky Lab. L'objectif de ce portail est d'informer et de conseiller les personnes victimes de rançongiciels, mais également de proposer des outils pour déchiffrer leurs fichiers bloqués. Ce projet a déjà réussi à tirer d'affaires plusieurs victimes et a recruté d'autres partenaires comme Bitdefender, Check Point ou encore Trend Micro.
Malgré cette réaction, le développement des rançongiciels a profité de l'apathie des autorités. Une étude montre qu'il est possible d'enrayer l'activité des cybercriminels en ciblant leur infrastructure financière, reposant notamment sur les bitcoins.
A lire aussi :
Les ransomwares tirent et réclament à tout va
Ransomware, haro sur le monde hospitalier
Photo credit: portalgda via Visual Hunt / CC BY-NC-SA
Sur le même thème
Voir tous les articles Cybersécurité