Qu'il s'agisse d'utilisateurs individuels ou d'entreprises multimillionnaires, toute personne disposant d'une connexion en ligne est exposée au risque d'attaques par ransomware. Pour les organisations professionnelles, il est particulièrement inquiétant de constater que les voleurs malveillants représentent une menace importante pour les données et qu'ils peuvent interrompre temporairement - ou définitivement - les activités de l'entreprise.
Comprendre les mécanismes de ces attaques peut aider les responsables informatiques et les personnes chargées de la sécurité numérique à mettre en œuvre des stratégies de prévention, de protection des fichiers de données et de récupération des ransomwares dans le cadre de leurs activités quotidiennes. Avec une planification et des outils appropriés, les entreprises de toute taille peuvent résister à une attaque de ransomware avec une perte de données minimale - et sans payer de rançon.
Techniques d'infiltration des ransomwares
Les cybercriminels peuvent faire preuve d'une incroyable créativité, mais ils ont tendance à utiliser quelques méthodes communes pour lancer des attaques par ransomware. Les courriels d'hameçonnage constituent une approche standard utilisant des pièces jointes corrompues. Si un employé ouvre la pièce jointe, il télécharge un logiciel qui s'infiltre dans les systèmes de l'entreprise et permet à l'expéditeur de déployer un ransomware quand il le souhaite.
Les URL malveillantes fonctionnent de la même manière. Elles sont souvent déguisées comme provenant d'organisations légitimes et peuvent conduire les utilisateurs vers des pages "usurpées" qui semblent identiques à des sites web légitimes. Les utilisateurs peuvent être invités à fournir leurs identifiants de connexion, ce qui permet aux auteurs de ransomwares d'accéder immédiatement à leurs comptes.
Les internautes à la recherche de bonnes affaires peuvent se retrouver sur ces sites frauduleux lorsqu'ils cherchent à télécharger des applications et d'autres produits à des prix réduits. Les logiciels sans licence ne reçoivent pas de mises à jour du développeur, ce qui les rend vulnérables aux attaques de ransomware. En outre, les pièces jointes que les utilisateurs téléchargent à partir de logiciels piratés peuvent contenir les éléments qui rendent une attaque possible.
Les dispositifs amovibles sont une autre méthode couramment utilisée par les attaquants de ransomware. Les criminels placent des éléments infectés sur une clé USB qui, lorsqu'elle est branchée sur un ordinateur, l'infecte et l'infiltre, ainsi que d'autres ordinateurs du réseau.
En raison de la diversité des méthodes d'attaque, la vigilance est essentielle. La formation des employés est l'un des moyens les plus efficaces de se protéger contre les ransomwares. Les employés doivent apprendre à détecter les attaques de ransomware, à repérer les comportements suspects et à suivre des protocoles correctifs s'ils soupçonnent ou découvrent une attaque.
Mécanismes de chiffrement des ransomwares
Les ransomwares fonctionnent notamment en chiffrant les fichiers afin que les utilisateurs ne puissent pas accéder à leurs données. Le nom de ransomware vient de l'idée que les données sont cryptées et ne seront pas libérées tant qu'une rançon n'aura pas été payée. Les cybercriminels utilisent souvent des algorithmes de chiffrement symétrique ou asymétrique. Le chiffrement symétrique utilise la même clé pour le chiffrement et le déchiffrement, tandis que le chiffrement asymétrique utilise une paire de clés : une clé publique pour le chiffrement et une clé privée pour le déchiffrement.
Avec le chiffrement symétrique, les attaquants utilisent une clé aléatoire pour chiffrer rapidement tous les fichiers du système d'un utilisateur. Une fois les données de l'utilisateur compromises, le pirate exige le paiement d'une rançon. Si la victime s'acquitte du paiement, l'attaquant partagera la clé symétrique pour décrypter les fichiers. Bien entendu, cela suppose que les criminels soient pris au mot, ce qui peut s'avérer coûteux. Le chiffrement symétrique est rapide et efficace, et affecte souvent de grandes quantités de données avant d'être remarqué. Il repose sur le secret de la clé symétrique, car si l'utilisateur découvre la clé avant de payer la rançon, il peut l'utiliser pour déchiffrer ses fichiers.
Le chiffrement asymétrique permet d'échanger en toute sécurité la clé symétrique entre l'attaquant et la victime. L'attaquant génère un couplage d'une clé publique et d'une clé privée. La clé publique est utilisée pour le chiffrement. La clé symétrique chiffrée est envoyée à la victime avec une demande de rançon. La victime ne peut pas déchiffrer la clé symétrique sans la clé privée correspondante. Une fois la rançon payée, le pirate envoie la clé privée à la victime, ce qui lui permet de déchiffrer toutes ses données. Avec le chiffrement asymétrique, seul le détenteur de la clé privée peut déchiffrer la clé symétrique et déverrouiller les fichiers, protégeant ainsi la clé symétrique pendant le processus de négociation.
Les deux méthodes posent le même problème : en tant que victime, vous souhaitez éviter de payer la rançon et récupérer vos données. Le type de cryptage utilisé par un cybercriminel aura une incidence directe sur la facilité avec laquelle les données pourront être récupérées. Mais comme il s'agit de criminels, le paiement de la rançon ne garantit malheureusement pas la récupération des données.
Canaux de communication criminelle
Comment les cybercriminels peuvent-ils opérer aussi longtemps sans être détectés ? Beaucoup d'entre eux utilisent TOR, un logiciel gratuit qui masque l'adresse IP de l'utilisateur. Grâce à TOR, les utilisateurs peuvent échanger des données volées contre des biens illégaux tels que des outils de piratage, des outils de ransomware et même des informations sur des organisations.
Comme TOR empêche les sites web de suivre la localisation physique de l'adresse IP d'un utilisateur, il est pratiquement impossible - ou du moins coûteux - pour les forces de l'ordre et les agences gouvernementales de retrouver les individus responsables de ces crimes.
Méthodes de paiement des rançons
Bien que chaque cybercriminel soit différent, pour ne pas être détectés, la plupart demandent des paiements via des crypto-monnaies telles que le Bitcoin, l'Ethereum et le Dogecoin. L'anonymat de ces paiements rend le paiement des ransomwares relativement facile pour les victimes et sans risque pour les attaquants. Se résignant à la réalité des attaques de ransomware, certaines organisations gardent même des rançons en bitcoins prêtes en cas d'attaque.
Impact et conséquences des ransomwares
Maintenant que nous avons vu comment les attaques peuvent passer inaperçues jusqu'à ce qu'elles soient déclenchées, examinons de plus près la question de savoir si les organisations touchées doivent payer la rançon après une attaque.
Le paiement d'une rançon soulève des questions juridiques, éthiques et pratiques. Le paiement de certaines rançons est illégal dans certaines circonstances, par exemple lorsque l'agresseur fait l'objet de sanctions économiques ou lorsque le paiement semble constituer un soutien à des activités terroristes.
La décision de payer ou non une rançon est difficile à prendre. Heureusement, Panzura a trouvé le moyen de rendre les ransomwares totalement inefficaces et d'éviter aux entreprises et aux utilisateurs d'avoir à prendre à nouveau cette décision.