Barracuda full logo

Malwares 101 : les ransomwares

Thèmes:
5 oct. 2023
|
Jonathan Tanner

S’il y a un type de malware dont la plupart des gens ont entendu parler, c’est le ransomware. Il a tendance à faire l’objet d’une couverture médiatique importante en raison de sa capacité à interrompre complètement les activités de ses victimes et de son impact monétaire très facilement quantifiable : la rançon. Pour certaines des organisations couramment visées, il est également beaucoup plus difficile de cacher qu’un incident de ce type s’est produit, notamment dans le secteur public et le secteur de la santé. En effet, comme elles ne disposent généralement pas de l’argent pour payer la rançon, elles doivent le demander à un organe directeur ou, au minimum, justifier la dépense d’une somme aussi importante. Il est probable que même les grandes entreprises privées doivent rendre des comptes aux investisseurs si elles payent une rançon. Malgré cela, on estime que la majorité des attaques par ransomware ne sont pas divulguées (les attaques qui ont pu être résolues sans payer de rançon entrant également dans cette catégorie).

La première attaque par ransomware connue a eu lieu en 1989. Ironiquement, elle a ciblé le secteur de la santé, qui reste l’une des principales cibles des ransomwares aujourd’hui. Ce premier exemple, connu sous le nom de AIDS Trojan (il s’agissait également d’un cheval de Troie qui se faisait passer pour un logiciel d’information légitime sur le SIDA), a chiffré des noms de fichiers et exigé l’envoi de 189 $ à une boîte postale située au Panama. Le ransomware prétendait qu’il s’agissait de frais de renouvellement de licence pour le logiciel contenant le malware.

Les ransomwares actuels utilisent toujours le chiffrement, même s’ils chiffrent généralement des fichiers entiers plutôt que leurs noms, ce qui bloque complètement l’accès au contenu de ces fichiers. Les ransomwares cherchent toujours à obtenir une rançon (certes beaucoup plus importante), qui est généralement exigée en Bitcoins pour éviter le suivi des fonds par les autorités. Si le groupe à l’origine du ransomware tient parole (ce qui n’est pas toujours le cas) et que son infrastructure n’a pas été fermée, une clé de chiffrement est envoyée à la victime une fois la rançon payée afin qu’elle puisse récupérer les fichiers.

Comment les ransomwares chiffrent les données

Le processus de chiffrement habituel n’est pas différent du fonctionnement du TLS, une paire de clés de chiffrement publique étant utilisée pour transmettre une clé symétrique utilisée pour le chiffrement réel. Plus précisément, le pirate intègre la clé publique dans le malware et l’utilise pour chiffrer la clé symétrique générée par le ransomware et utilisée pour chiffrer les fichiers en place, ce qui empêche les données originales des fichiers de résider sur le disque et donc d’être potentiellement récupérables. La clé symétrique est transmise au pirate et effacée, généralement en mettant à zéro le fichier de clé pour empêcher toute récupération.

Chaque malware distribué peut utiliser une paire de clés différente pour éviter que la découverte d’une clé privée ne permette à d’autres victimes de découvrir leur clé symétrique et de déchiffrer ces données. Pour les utilisateurs légitimes comme pour les pirates, la mise en œuvre du chiffrement est par nature complexe. Il est d’ailleurs arrivé que des chercheurs en sécurité publient des programmes permettant de déchiffrer des fichiers pour certaines variantes de ransomware en raison d’erreurs commises par les pirates.

Pour que le pirate soit payé, il faut que la victime soit en mesure de lui verser la somme demandée. C’est pourquoi le pirate inclut au moins un message (souvent plusieurs) indiquant que la victime a été attaquée par un ransomware et précisant le montant de la rançon, le tout généralement accompagné d’instructions détaillées sur la façon de la payer, car l’acquisition et le transfert de cryptomonnaies peuvent être complexes. Les demandes de rançon incluent généralement un fichier placé sur le bureau ou dans les dossiers où les fichiers ont été chiffrés, et/ou un fichier image défini comme arrière-plan du bureau.

Les fichiers eux-mêmes comportent souvent un suffixe qui indique qu’ils ont été chiffrés, et ce suffixe est souvent utilisé pour nommer la variante du ransomware. Par exemple, le ransomware Ryuk ajoute le suffixe .ryk ou .ryk-encrypted aux fichiers qu’il chiffre. Avec l’essor du ransomware-as-a-service (RaaS), où les auteurs de ransomwares louent leurs malwares et leur infrastructure à d’autres pirates qui en assurent la distribution, les noms des variantes de ransomware sont en fait fournis par les auteurs eux-mêmes.

Impact et tactiques en évolution

Bien que la rançon elle-même soit l’aspect le plus facilement quantifiable des ransomwares, ces derniers engendrent bien d’autres coûts, souvent les mêmes que pour les autres types de malwares. Les temps d’arrêt peuvent avoir à la fois des coûts financiers et – en particulier dans le cas du secteur de la santé – des coûts humains. Dans les hôpitaux, une panne des systèmes informatiques peut coûter des vies. C’est parce qu’ils savent que cette conséquence dramatique est susceptible d’influer sur la décision de payer la rançon que les pirates ciblent les organismes de santé avec des ransomwares. Le temps et le travail nécessaires pour remédier à un malware entraînent également des coûts, tout comme la mise en œuvre de mesures de sécurité supplémentaires pour prévenir ou réduire l’impact des ransomwares et d’autres types de malwares.

La cybersécurité est essentiellement un va-et-vient entre les pirates et les victimes, qui adaptent leurs tactiques pour se répondre mutuellement, et les ransomwares ne font pas exception. Alors que la sauvegarde des données est devenue plus courante pour réduire l’impact des ransomwares, de nombreux auteurs de malwares s’en prennent à présent aux sauvegardes, en particulier aux méthodes les plus simples, comme les partages de fichiers en réseau. Le nombre de rançons payées ayant tendance à diminuer, certains pirates ont commencé à exfiltrer les données avant le chiffrement et à menacer de les divulguer si la rançon n’est pas payée. Il n’est pas rare que les pirates accèdent à un réseau et y implantent ensuite un ransomware qu’ils utiliseront le moment venu, c’est-à-dire quand il pourra causer un maximum de dégâts. L’objectif principal des ransomwares est d’obtenir de l’argent. Ainsi, quand le nombre de rançons payé diminue, les pirates adaptent leurs tactiques pour lutter contre cette tendance.

Vous pouvez lire le reste de la série Malwares 101 ici

 

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.