Alliancy

Les rançongiciels sont-ils le crime du siècle ?

Jerremiah Grossman, Responsable Stratégie de Sécurité chez SentinelOne

Jerremiah Grossman, Responsable Stratégie de Sécurité chez SentinelOne

Il y a quelque chose d’assez ironique en ce qui concerne les rançongiciels. Cette pratique malveillante qui consiste à crypter des données et à exiger une rançon pour pouvoir ensuite les décrypter, est de plus en plus utilisée par les cybercriminels. Dans le même temps, les débats font rage aux États-Unis concernant l’obligation pour des entreprises telles que Apple et WhatsApp de communiquer les clés de cryptage pour permettre l’accès aux communications en ligne. Le Royaume-Uni est également en train de débattre sur une proposition de loi de surveillance de l’Internet comprenant une clause édulcorée portant sur le droit des agences gouvernementales à demander un accès aux données de communication cryptées.

Jerremiah Grossman, Responsable Stratégie de Sécurité chez SentinelOne

Pour ceux qui en doutaient encore, ce rapport, faisant état d’une multiplication par 35 du nombre de nouveaux domaines de rançongiciels au cours du premier trimestre 2016 par rapport au trimestre précédent, ce qui représente 60 % de l’ensemble des types de programmes malveillants, atteste de la montée en puissance des rançongiciels.  Selon le FBI, les entreprises victimes de rançongiciels ont déboursé 209 millions $ au cours du premier trimestre 2016, contre 24 millions $ pour l’ensemble de l’année 2015. 

De multiples voies d’infection

La montée en puissance des rançongiciels ne montre aucun signe de ralentissement à court terme, alors que l’infrastructure criminelle sur laquelle ils reposent évolue pour proposer le modèle « Ransomware as a Service », différenciant ceux en charge du développement du code de ceux responsables des infections.  Les vecteurs d’attaque par lesquels les rançongiciels atteignent leurs victimes se multiplient également, allant des attaques par hameçonnage et harponnage, au cours desquelles les victimes reçoivent des e-mails leur demandant de cliquer sur des liens qui, en retour, téléchargent du code malveillant afin de crypter l’ordinateur de l’utilisateur, aux botnets qui injectent le programme malveillant dans des ordinateurs contrôlés à distance, en passant par le malvertising qui infecte les visiteurs de sites Web de confiance.

Mais pourquoi les rançongiciels sont-ils aussi appréciés des cybercriminels ? Tout d’abord, pour les cybercriminels, les rançongiciels offrent de nombreux avantages incontestables.  La plupart de ceux que nous avons décompilés dans nos laboratoires, comme le célèbre Petya et les variantes CryptXXX, ne sont pas très sophistiqués et sont relativement simples à obtenir sur le Darknet et sur différents forums fréquentés par les cybercriminels. Ils offrent un bon retour sur investissement pour une dépense relativement modeste (environ 65 $ dans le cas de la récente variante AlphaLocker), ce qui le rend rapide et facile à monétiser avec de faibles barrières d’entrée.

Avant la montée en puissance des rançongiciels, les attaquants avaient recours à des campagnes plus laborieuses qui nécessitaient que les hackers localisent et procèdent à l’extraction des données sensibles ou de grande valeur, telles que les informations de carte de crédit ou les dossiers médicaux, et/ou maintiennent une infrastructure de ressources compromises comme un botnet.  Ensuite, pour pouvoir monétiser leurs prises, ils devaient trouver un moyen de décharger les informations sur le Darknet. Désormais, les rançongiciels maximisent le retour sur investissement et minimisent les risques et les efforts à fournir en évitant d’avoir à extraire les données, pour ne plus avoir qu’à les crypter et à exiger une rançon payable sous la forme de bitcoins, une monnaie anonyme et intraçable par la police.

Variations autour d’un thème

Pourtant, alors que d’après une étude de Gartner réalisée l’année dernière les entreprises auraient dépensé 75,4 milliards $ dans des solutions de cybersécurité, pourquoi les rançongiciels parviennent-ils tout de même à passer au travers des mesures de sécurité mises en place par les entreprises ?  Le constat est sans appel : les solutions de protection existantes, comme les antivirus et les autres technologies de protection des terminaux de première génération, ne suffisent plus car leur fonctionnement repose sur la détection des menaces connues par le biais de signatures statiques ainsi que sur la recherche et la mise en correspondance de modèles de rançongiciels connus avec des menaces ayant déjà été identifiées.

Le secret du succès des rançongiciels réside dans leur capacité à échapper à la détection, en dissimulant la charge utile dans des wrappers qui sont modifiés en permanence. Il devient alors quasi impossible pour les solutions antivirus traditionnelles de suivre le rythme de ces évolutions permanentes. Chaque semaine, pas moins d’une demi-douzaine de nouvelles variantes font leur apparition. Le génie des rançongiciels repose sur l’utilisation de techniques d’obfuscation, telles que le « wrapping », de plus en plus sophistiquées.  S’ils sont exécutés dans un environnement de sandbox, technique utilisée par un grand nombre de produits de sécurité pour mettre en quarantaine le code suspect, ils attendent d’être sortis de la période de quarantaine pour exécuter leur charge utile.

Inefficacité des solutions de défense existantes

L’incapacité des systèmes de défense de cybersécurité traditionnels à s’attaquer au problème grandissant des rançongiciels ne fait qu’encourager encore davantage les cybercriminels.  Alors que les rançongiciels se détournent des consommateurs, après avoir ciblé initialement les joueurs, pour se focaliser davantage sur les entreprises, certaines sociétés se tournent vers la cyberassurance pour compenser les coûts liés aux paiements des rançons.  Là encore, l’ampleur et l’audace des attaques ne vont qu’en s’accentuant, comme le montrent les récentes attaques ciblant des hôpitaux comme le Hollywood Presbyterian Medical Center à Los Angeles, qui a dû verser 17 000 $ aux hackers pour qu’ils décryptent son réseau.  Une autre attaque encore plus récente ciblant un établissement MedStar Health à Washington DC n’a pas donné lieu au paiement d’une rançon. Pourtant, les faits vont clairement dans le sens d’une escalade des enjeux et des sommes demandées.

Alors, que faut-il faire ?  Plusieurs possibilités s’offrent aux entreprises. Elles peuvent payer la rançon et se retourner ensuite vers leur cyberassurance, accepter de sacrifier l’ordinateur crypté et les données qu’il contient ou bien investir pour procéder au remplacement des logiciels antivirus désormais obsolètes par des solutions de défense des terminaux de nouvelle génération, utilisant la surveillance basée sur le comportement et des algorithmes sophistiqués, plutôt que des signatures statiques pour détecter, atténuer et stopper les rançongiciels. 

Les rançongiciels représentent aujourd’hui un problème majeur, et très certainement sous-déclaré, car les entreprises sont réticentes à l’idée d’avouer avoir été la cible d’une attaque. Les cybercriminels reconnaissent l’attraction de cette nouvelle forme de cybercriminalité permettant de gagner facilement d’importantes sommes d’argent. Comme l’a montré un récent rapport de Flashpoint, en Russie, un utilisateur de rançongiciel peut gagner 90 000 $ par an, soit 13 fois le revenu moyen. C’est donc une activité très lucrative pour les habitants des pays les moins riches. 

Alors que les enjeux et les cibles ne cessent d’évoluer et de s’intensifier, on commence à voir apparaître la possibilité d’utiliser les rançongiciels à des fins autres que le pur but lucratif.  Les compagnies proposant des cyberassurances commencent à revoir leurs offres afin de réduire leur exposition aux attaques par rançongiciels. Dans le même temps, il commence à devenir urgent de réévaluer les réponses actuelles et d’adopter de nouvelles technologies pour contrer la menace avant qu’elle n’adopte de nouvelles formes et ne prenne en otage des pays et des infrastructures stratégiques, comme les réseaux électriques ou de transport. Aujourd’hui, la plupart des entreprises sont insuffisamment préparées pour contrer la menace d’une attaque par rançongiciel et certaines entreprises ont même fait l’objet de plusieurs attaques. Si une nouvelle approche visant à contrecarrer ces attaques n’est pas rapidement mise en œuvre, les rançongiciels pourraient bien en effet devenir le crime du siècle ! 

 Cybersécurité, la rédaction d’Alliancy, le mag a mené l’enquête !

Découvrez dans notre dernier guide, les témoignages d’experts qui reviennent sur les principaux axes d’amélioration des entreprises pour les mois à venir.

> Je télécharge

Quitter la version mobile