Ransomware : connaitre son ennemi (partie 1)

À l’heure où tout un chacun e-maile sans scrupule son prochain, le phishing surclasse en volume toutes les autres attaques. Les récents déboires du CHU de Montpellier ou du groupe privé Ramsay prouvent, si besoin était, que les ransomwares profitent de ce vecteur d’infection planétaire pour chiffrer tous azimuts. Avant d’aborder les parades et autres contre-mesures, profitons de cette période de rentrée pour réviser sur fond de tour du monde ce qui se fait de mieux en la matière.

Face aux frappes répétées des rançongiciels, à l’instar de tous mes homologues RSSI, j’empile les couches de sécurité et répète inlassablement les mêmes consignes. Or, le niveau de menace ne faiblit pas. Le nombre d’attaques enregistrées a augmenté systématiquement entre 2014 et 2017. Même si 2018 marque une inflexion de la tendance (-32 %), la menace perdure ⁽¹⁾. 

Promesse de gains substantiels ou volonté philanthropique des cybercriminels de former les utilisateurs imprudents ? Le taux moyen de paiement approche les 25 %, et la somme d’un milliard de dollars de gain en 2016 ⁽²⁾, selon les estimations du FBI, peut vous donner un premier indice.

Les ransomwares, c’est un peu comme Les Marseillais à Cancún : public réceptif, facilité de mise en œuvre et rentabilité indécente. Sachant que tout exploitant d’un filon cherchera à le développer et à le pérenniser, nous n’avons clairement pas fini de subir ce fléau ⁽³⁾.Vous avez déjà eu maille à partir avec certains, les autres seront demain chez vous. Voici le top 10 des ransomwares à connaître :

• Ryuk
  Un nouveau ransomwarequi a principalement frappé, entre 2018 et 2019, des organisations intolérantes à l’interruption de services (journaux, réseaux de distribution de l’eau, etc.). La particularité de Ryuk réside dans le fait qu’il peut désactiver l’option de restauration du système Windows sur les ordinateurs infectés, ce qui rend encore plus difficile la récupération des données cryptées.
• SamSam
  En 2018, les hôpitaux représentaient 25 % des organisations touchées par SamSam ⁽⁴⁾. Sa particularité repose sur sa mise en œuvre. Il est utilisé par un attaquant qui connaît sa cible et certaines failles répétées en amont (vulnérabilités IIS, FTP et RDP). Une fois connecté au système d’information, l’attaquant élève ses privilèges pour pouvoir chiffrer le maximum de fichiers.
• TeslaCrypt
  C’est le cryptolocker de 2016, année durant laquelle il représentait plus de 48 % des attaques de ransomwares. En constante amélioration, TeslaCrypt rendait impossible de casser le chiffrement AES sans l’aide de ses développeurs. Ces derniers ont mis fin à leurs activités en rendant public leur algorithme de chiffrement.
• Cerber
  Un des poids lourds du monde des ransomwares, c’est également l’une des menaces les plus prolifiques. En effet, Microsoft a détecté plus de PC d’entreprise infectés par Cerber que par toute autre famille de ransomwares au cours de la période 2016-2017.
• WannaCry
  La déflagration se produit en mai 2017 sous la forme d’un feu de forêt numérique qui touche tous les pays et tous les secteurs économiques. Quatre jours après son lancement, plus de 250 000 attaques dans 116 pays avaient été détectées par Avast. La faille EternalBlue exploitée par la NSA pour ses activités d’espionnage devient un sésame pour les attaquants et un enfer pour les (nombreux) utilisateurs n’ayant pas installé le patch Microsoft.
• Petya etNotPetya
  Dans le sillage de WannaCry ⁽⁵⁾, dont ils sont une évolution, Petya et NotPetya exploitaient la même faille EternalBlue. Ils ont chiffré des milliers d’ordinateurs dans le monde en 2016 et 2017. Ils étaient dotés de nombreuses fonctionnalités communes, sauf que NotPetya contenait plus d’outils pour l’aider à se propager et à infecter les ordinateurs. Là où Petya se comportait comme un ransomware standard, NotPetya était plus subtil, conçu pour attaquer, et dissimulait vraisemblablement une cyberattaque russe masquée contre l’Ukraine.
• Reyptson
  Identifié en 2017, Reyptson utilise la messagerie Mozilla de sa victime pour se propager via le carnet d’adresse des contacts. La charge est contenue dans une facture bidon incluse en pièce jointe. Suivant la version, on retrouve des fichiers PDF contenant du code JavaScript malveillant, des documents avec des macros malveillantes et d’autres fichiers renfermant un code pouvant exploiter les vulnérabilités du système, une fois ouverts.
• SimpleLocker
  Juin 2019 : Android domine le secteur des systèmes d’exploitation avec 82 % du marché ⁽⁶⁾, suivi de loin par iOS avec 17,5 %. L’utilisation croissante des appareils mobiles n’échappe pas aux criminels. Des ransomwares spécifiques pour smartphones voient le jour, et Android devient logiquement la cible de choix. Originaire d’Europe de l’Est, SimpleLocker a commencé à se répandre fin 2015 pour toucher les trois quarts de ses victimes aux États-Unis. Le mode d’infection se fait par téléchargement d’applications et de contenus non validés en dehors de la plateforme officielle Google Play.
• LeakerLocker
  Également conçu pour les OS Android, il se cachait en 2017 dans le code de deux applications très populaires, Booster & Cleaner Pro and Wallpapers Blur HD. Son fonctionnement diffère de la rançon classique puisque les fichiers du smartphone infecté ne sont pas chiffrés. LeakerLocker verrouille l’écran d’accueil et accède aux adresses e-mail, aux listes de contacts, à l’historique de Google Chrome, aux SMS et aux appels, aux images et aux informations de l’appareil. Leransomware affiche les informations vitales sur le Web si la victime refuse de payer.
• Wysiwye
  Mai 2017 : des chercheurs de PandaLabs ont détecté un nouveau type de ransomware appelé Wysiwye (« What you see is what you encrypt »– ce que vous voyez est ce que vous cryptez). L’attaquant combine une attaque en brute force et le protocole RDP pour se propager sur le réseau.

Les ransomwares font fi de votre obédience politique ou religieuse, de votre taille ou de votre secteur d’activité. Ils frappent tout un chacun dans un grand élan égalitaire aveugle avec un intérêt croissant pour les smartphones. Le vrai problème de ce succès, c’est qu’en dépit des frappes répétées la prise en compte de la sécurité reste négligée par les acteurs non touchés. 

---

(1) https://www.zdnet.fr/actualites/le-ransomware-n-est-pas-mort-juste-plus-sournois-39870642.htm

(2) https://money.cnn.com/2016/04/15/technology/ransomware-cyber-security/

(3) https://enterprise.comodo.com/forensic-analysis/ransomware-attacks.php

(4) https://www.healthcaredive.com/news/samsam-ransomware-continues-to-target-hospitals/541122/

(5) https://www.csoonline.com/article/3212260/the-5-biggest-ransomware-attacks-of-the-last-5-years.html

(6) https://www.journaldunet.com/ebusiness/internet-mobile/1084127-part-de-marche-des-os-mobiles-en-france/

 

---

L'auteur :

Pascal Sabatier
Responsable de la sécurité des systèmes d’information aux centres hospitaliers d’Aix-en-Provence et de Salon-de-Provence ainsi que du GHT des Alpes-de-Haute-Provence.

---