Comment fonctionne un ransomware ? Le guide ultime pour comprendre les Ransomware – Partie II

Maintenant que vous savez ce qu’est un ransomware, voyons comment il se propage et infecte les machines.

Comment entre-t-il dans les systèmes ?

Les techniques de pénétration courantes comprennent :
_ Les courriels indésirables (spam) et l’ingénierie sociale (manipulation à des fins d’escroquerie)
_ Le téléchargement à la dérobée (drive-by-download) et les publicités malveillantes (malvertising)
_ Les outils d’installation de logiciels malveillants (malware) et les réseaux robots (botnets)

Lorsque les ransomware sont apparus pour la première fois il y a quelques années, les ordinateurs étaient généralement infectés lorsque les utilisateurs ouvraient des pièces jointes contenant des programmes malveillants ou étaient attirés vers un site compromis par un message trompeur ou une fenêtre contextuelle (pop up). De nouvelles variantes de ransomware se sont propagées via des clés USB amovibles ou Yahoo Messenger, la charge utile (payload) étant déguisée en image.

CTB Locker, le ransomware qui a fait la une et de nombreuses victimes, se propage par des campagnes de spam agressives. L’e-mail se présente sous la forme d’un message fax contenant une archive .zip en pièce jointe. Si vous lancez le fichier exécutable à l’intérieur du zip, les données du système sont chiffrées et la victime est invitée à payer une rançon pour recevoir la clé de déchiffrement. Plus d’informations sur CTB Locker.

Mais ses variantes peuvent être reprogrammées pour se propager sans action humaine. Nous avons constaté un nombre croissant d’incidents impliquant ce que l’on appelle le “drive-by” ransomware. Les attaques par téléchargement drive-by sont lancées à partir de sites web compromis ou par le biais d’annonces malveillantes et exploitent généralement les vulnérabilités des extensions (plug-ins) de navigateur tels que Flash Player, Java, Adobe Reader ou Silverlight. Les outils utilisés pour de telles attaques disposent de fonctionnalités permettant d’élever les privilèges. Les exploitations d’escalade de privilèges permettent aux pirates d’exécuter des programmes malveillants (malware) avec des privilèges administrateur système au lieu d’utiliser le compte d’utilisateur local de la victime (compte qui peut être restreint).

Mode opératoire

Chaque variante de ransomware peut être conçue pour fonctionner différemment. Cependant, les traits communs incluent des mécanismes de camouflage (ou obfuscation) et de lancement cachés assez complexes destinés à éviter la détection antivirus précoce. Cela signifie que les malware veulent rester cachés et utilisent donc des techniques pour contrecarrer la détection et l’analyse, notamment les noms de fichiers obscurs, la modification des attributs de fichiers ou le fonctionnement sous couvert de programmes et services légitimes. Les couches de défense supplémentaires des malware rendent les données illisibles, ce qui rend le processus de rétro-ingénierie très difficile.

Il faut ajouter que les protocoles de communication des ransomware sont passé du texte brut (HTTP) à Tor et au HTTPS, rendant les appels chiffrés aux serveurs C & C presque impossibles à suivre via la surveillance du trafic réseau. Le chiffrement de fichiers a également été réorganisé pour utiliser des crypto-bibliothèques qui effectuent une cryptographie forte et asymétrique plutôt que des clés courtes ou codées en dur. Des échantillons précédents, tels que Cryptolocker et Cryptowall, contactaient d’abord le serveur et effectuaient ensuite un chiffrement, par exemple.

Pour avoir une meilleure idée du fonctionnement des ransomware, examinons Cryptolocker. Cryptolocker est installé par une variante de Zbot (cheval de Troie utilisé pour exécuter des tâches malveillantes). Après exécution, il s’ajoute au démarrage sous un nom aléatoire et tente de communiquer avec un serveur de commande et de contrôle. En cas de succès, les serveurs envoient une clé publique et une adresse Bitcoin correspondante. Utilisant un chiffrement asymétrique (une clé publique pour chiffrer et une clé privée pour déchiffrer les fichiers), Cryptolocker commence à chiffrer plus de 70 types de fichiers potentiellement présents sur l’appareil de la victime.

Pendant ce temps, divers messages et instructions – souvent traduites en français – sont affichés sur l’écran d’accueil de l’utilisateur.

Les utilisateurs infectés doivent payer une somme d’argent pour la clé privée stockée sur leurs serveurs. Sans cela, le déchiffrement est impossible. Lorsque la rançon est payée, le déchiffrement commence et un écran de vérification du paiement s’affiche. Une fois le déchiffrement terminé, les fichiers Cryptolocker sont supprimés.

Remarque : ne vous fiez pas à la parole des pirates, payer la rançon ne garantit en aucun cas que vous pourrez récupérer vos fichiers.

Qui sont les victimes ?

Les ransomware n’attaquent pas seulement les machines des particuliers. Les entreprises, les institutions financières, les agences gouvernementales, les institutions universitaires et d’autres organisations peuvent être ou ont déjà été infectées par un ransomware. De tels incidents détruisent des informations sensibles ou confidentielles, perturbent les activités quotidiennes et, bien sûr, occasionnent des pertes financières. Ils peuvent également nuire à la réputation d’une organisation. Les pirates visent des fichiers, des bases de données, des fichiers de CAO et des données financières ciblés. Par exemple, Cryptolocker a été utilisé pour cibler plus de 70 extensions de fichiers différentes, notamment .doc, .img, .av, .src, .cad.

Les logiciels malveillants sont une menace très complexe, à la fois pour les utilisateurs et les sociétés anti-malware. Ils possèdent des capacités d’attaque impressionnantes et un taux de réussite sans précédent en matière d’extorsion d’argent de victimes, explique Catalin Cosoi, chef de la stratégie sécuritaire chez Bitdefender.

Rendez-vous en troisième partie pour découvrir les meilleurs moyens de se protéger contre les ransomware.