Qu'est-ce que le Ransomware Crypto? Une étude détaillée
Introduction
À mesure que notre dépendance à l'infrastructure numérique augmente, l'impact des attaques de ransomware devient de plus en plus sévère, perturbant les opérations quotidiennes et entraînant des pertes financières. Appréhender les cybercriminels est de plus en plus difficile car ils ont recours à des méthodes sophistiquées pour dissimuler leurs traces. L'un des outils qu'ils ont adoptés est la cryptomonnaie pour recevoir des paiements de rançon. Ils profitent de la nature décentralisée et pseudonyme de la cryptomonnaie en tant que forme de paiement préférée. En 2023 seulement, les attaques de ransomware ont entraîné plus d'un milliard de dollars de paiements de rançon, car ...rapportépar la société d'analyse de la blockchain, Chainalysis.
Qu'est-ce que le Ransomware?
Les ransomwares sont des logiciels malveillants conçus pour crypter les données d'un système, les rendant inaccessibles jusqu'à ce qu'une rançon soit payée. Cette cyberattaque cible les particuliers, les entreprises et les organisations gouvernementales, exploitant les vulnérabilités de leurs systèmes pour obtenir un accès non autorisé. Une fois que le logiciel malveillant est déployé, il crypte les fichiers et demande un paiement, généralement en cryptomonnaie, pour décrypter les données.
Bien que l'objectif principal des attaques de ransomware soit principalement financier, dans certains cas, il est également utilisé pour causer des perturbations opérationnelles, obtenir un accès non autorisé à des informations sensibles ou mettre la pression sur les organisations pour se conformer à d'autres exigences. Il a également été utilisé comme un outil de cyber-guerre entre des pays en tension politique.
Histoire et évolution des ransomwares
La première attaque connue de ransomware était le virus AIDS Trojan en 1988, également appelé virus PC Cyborg. Il a été distribué via des disquettes aux participants à une conférence de l'Organisation mondiale de la santé. Après un certain nombre de redémarrages d'ordinateur, le trojan a chiffré des fichiers et a exigé une rançon de 189 $ à verser à une boîte postale au Panama. Cette attaque utilisait un chiffrement primitif par rapport aux normes actuelles, mais elle a posé les bases du ransomware moderne. À partir de 2006, le chiffrement RSA avancé était utilisé pour diffuser des ransomwares sur des sites web et par le biais de spam, avec des paiements de rançon effectués avec des bons, des paysafecards et d'autres méthodes électroniques difficiles à tracer.
Source: Chainalysis
En 2010, alors que Bitcoin gagnait en popularité, les attaquants ont commencé à exiger une rançon dans une monnaie pseudonyme beaucoup plus difficile à tracer. Depuis lors, de nouveaux modèles de ransomwares plus sophistiqués ont été développés, construisant ainsi une industrie criminelle qui a accumulé plus de 3 milliards de dollars entre 2019 et 2024.
Le rôle des crypto-monnaies dans les rançongiciels
Une des caractéristiques clés des cryptomonnaies, en particulier de Bitcoin, est leur nature pseudonyme. Bien que les transactions soient enregistrées sur la blockchain, les identités des parties impliquées sont masquées par des adresses de portefeuille, ce qui rend difficile de remonter jusqu'à l'attaquant. Les systèmes de paiement traditionnels, tels que les cartes de crédit et les virements bancaires, laissent des traces d'identité claires que les forces de l'ordre peuvent utiliser pour enquêter sur les cybercriminels.
Avec les transactions Bitcoin traçables publiquement sur la blockchain, certains cybercriminels se sont tournés vers des cryptomonnaies axées sur la confidentialité comme Monero, qui offrent des fonctionnalités d'anonymat et utilisent des adresses furtives et des signatures en anneau pour obscurcir davantage les détails des transactions.
Comment fonctionne Crypto Ransomware
Le ransomware Crypto s'infiltre dans un système cible, généralement par le biais de courriels d'hameçonnage, de téléchargements malveillants ou d'exploitation de vulnérabilités système. Une fois à l'intérieur, le logiciel malveillant chiffre les fichiers sur l'ordinateur ou le réseau de la victime à l'aide d'algorithmes de chiffrement complexes, rendant les données inaccessibles.
Source: ComodoSSL
Les étapes de l'opération sont exécutées par étapes;
- Infection
- Cryptage
- Demande de rançon
Infection
Les crypto-ransomwares s'introduisent dans l'appareil d'une victime par le biais de canaux tels que ;
Phishing Emails: les cybercriminels envoient des e-mails qui semblent provenir de sources légitimes, trompant les destinataires en cliquant sur des liens malveillants ou en téléchargeant des pièces jointes infectées. Ces fichiers se font souvent passer pour des documents importants ou des mises à jour, cachant leur véritable nature.
Logiciels obsolètes : Les rançongiciels peuvent exploiter des bogues dans d’anciens logiciels de systèmes d’exploitation ou d’applications. Cela a été évident dans l’attaque WannaCry, qui a utilisé un exploit dans Microsoft Windows.
Malvertising : les utilisateurs peuvent interagir à leur insu avec des publicités trompeuses pour télécharger de fausses mises à jour de logiciels qui conduisent à l'installation de ransomware.
Piratages du protocole de bureau à distance : Le protocole de bureau à distance (RDP) est utilisé pour maintenir une connexion à distance avec un serveur dans les situations où les employés d'une organisation travaillent à partir de différents endroits. L'interface RDP sur l'ordinateur de l'employé communique via des protocoles de cryptage avec le composant RDP sur le serveur. Bien que cryptée, ce mode de connexion est sujet à des piratages que les cybercriminels utilisent pour télécharger des logiciels de rançon sur le serveur d'une entreprise.
Cryptage
Une fois dans le système, le ransomware commence à crypter les fichiers de la victime. Les ransomwares crypto utilisent des méthodes de cryptage telles que :
- RSA (Rivest–Shamir–Adleman) : un algorithme de chiffrement asymétrique qui utilise une paire de clés publique et privée. La clé publique chiffre les fichiers, et la clé privée, détenue par l'attaquant, est nécessaire pour les décrypter.
- AES (Advanced Encryption Standard) : Une méthode de chiffrement symétrique où la même clé est utilisée pour le chiffrement et le déchiffrement. Le ransomware utilise cela pour chiffrer les fichiers, et la clé est stockée avec l'attaquant.
Le logiciel malveillant cible les types de fichiers, y compris les documents, les images, les vidéos et les bases de données, tout ce qui pourrait être de valeur pour la victime. Pendant ce processus, les utilisateurs pourraient ne pas remarquer que leurs données sont verrouillées jusqu'à ce que le chiffrement soit complet, les laissant sans option immédiate de récupération.
L'un des modèles remarquables dans les principales attaques de ransomware est qu'elles se produisent pendant les vacances ou lorsque la majorité du personnel n'est pas en ligne pour éviter la détection.
Demande de rançon
Source: Proofpoint
Après avoir crypté les données, le ransomware affiche une note de rançon à la victime, souvent via une fenêtre contextuelle, un fichier texte ou une page HTML.
Un écran de demande de rançon demandant du Bitcoin en échange de la clé privée
Source: Varonis
Le montant de la rançon est généralement demandé en Bitcoin ou Monero avec un lien vers un site de paiement ou une méthode pour contacter les attaquants (parfois hébergé sur le dark web).
Source: Proofpoint
Si la victime se conforme à la demande et transfère le montant demandé, les attaquants peuvent fournir la clé de décryptage pour déverrouiller les fichiers. Cependant, payer la rançon ne garantit pas que les attaquants suivront. Dans certains cas, les victimes ne reçoivent jamais la clé de décryptage même après le paiement, ou elles peuvent faire face à des demandes de rançon supplémentaires.
Les experts en cybersécurité et les agences de l'application de la loi découragent de payer des rançons, car les cybercriminels peuvent recourir à une double extortion, où les attaquants non seulement cryptent les fichiers de la victime, mais volent également des données sensibles. Ils menacent ensuite de publier ou de vendre les données si une autre rançon n'est pas payée.
Attaques de Ransomware Crypto notables
WannaCry (2017)
WannaCry est l'une des attaques de ransomware les plus notoires et les plus répandues de l'histoire. Elle a exploité une vulnérabilité de Microsoft Windows connue sous le nom d'EternalBlue, que le groupe de pirates Shadow Brokers avait précédemment volée à la NSA. WannaCry a affecté plus de 200 000 ordinateurs dans 150 pays, y compris des institutions majeures telles que le National Health Service (NHS) du Royaume-Uni, FedEx et Renault. Cela a causé une perturbation généralisée, en particulier dans les systèmes de santé, où les services aux patients ont été gravement impactés.
Une note de rançon WannaCry
Source: CyberSpades
Les attaquants ont demandé 300 $ en Bitcoin en échange d'une clé de décryptage, bien que de nombreuses victimes n'aient pas pu récupérer leurs données même après avoir payé. L'attaque a finalement été arrêtée par un chercheur en sécurité qui a activé un "interrupteur d'arrêt" intégré dans le code malveillant, mais pas avant de causer des milliards de dollars de dommages.
NotPetya (2017)
NotPetya était un logiciel malveillant à double effet qui servait de ransomware et de logiciel de suppression conçu pour causer la destruction plutôt que pour extraire une rançon.
Une note de rançon NotPetya
Source: SecurityOutlines
Le logiciel malveillant semblait exiger une rançon en Bitcoin, mais même après le paiement, la récupération des données chiffrées était impossible, indiquant que le gain financier n'était pas le véritable objectif. Contrairement aux ransomwares traditionnels, NotPetya semblait être politiquement motivé, ciblant l'Ukraine pendant une période de tension géopolitique avec la Russie. Bien qu'il se soit finalement propagé à l'échelle mondiale, il a causé des dommages à de grandes multinationales, dont Maersk, Merck et FedEx, entraînant des pertes financières mondiales estimées à plus de 10 milliards de dollars.
DarkSide (2021)
DarkSide a attiré l'attention mondiale après son attaque contre Colonial Pipeline, le plus grand oléoduc de carburant aux États-Unis, qui a entraîné des pénuries de carburant dans tout l'est du pays. L'attaque a perturbé les approvisionnements en carburant et a provoqué des achats de panique généralisés. Colonial Pipeline a finalement payé une rançon de 4,4 millions de dollars en Bitcoin, bien que le FBI ait par la suite récupéré une partie de cette rançon.
Une note de rançon DarkSide
Source: KrebsonSecurity
Ransomware-as-a-Service
RaaS est un modèle d'affaires dans lequel les créateurs de ransomwares louent leur logiciel malveillant à des affiliés ou à d'autres cybercriminels. Les affiliés utilisent ce logiciel pour mener des attaques, partageant les profits de la rançon avec les développeurs de ransomwares.
REvil
REvil (également connu sous le nom de Sodinokibi) est l’un des groupes de rançongiciels les plus sophistiqués, fonctionnant comme une opération de rançongiciel en tant que service (RaaS).
REvil a été lié à des attaques de haut niveau contre des organisations mondiales, notamment JBS (le plus grand fournisseur de viande au monde) et Kaseya, une entreprise de logiciels, Cela a affecté plus de 1 000 entreprises comptant sur ses produits logiciels.
Clop
Source: BleepingComputer
Clop est un autre Ransomware en tant que service (RaaS) qui mène des campagnes de spear-phishing à grande échelle ciblant les entreprises et exigeant des rançons importantes. Les opérateurs de Clop utilisent la technique de double extorsion : ils volent des données avant de les crypter et menacent de divulguer des informations sensibles si la rançon n'est pas payée.
En 2020, Clop a été responsable d'une énorme violation de données liée au logiciel de transfert de fichiers Accellion, affectant plusieurs universités, institutions financières et organismes gouvernementaux.
Se défendre contre les ransomwares cryptographiques
La défense la plus efficace commence par empêcher les logiciels malveillants d'entrer dans votre système. Voici quelques mesures qui peuvent protéger votre ordinateur contre les logiciels de rançon.
Conscience de la cybersécurité
Les utilisateurs et les employés doivent être formés pour reconnaître et répondre à des menaces telles que des e-mails de phishing ou des pièces jointes suspectes. Une formation régulière à la sensibilisation à la cybersécurité peut réduire considérablement le risque d'infections accidentelles.
Mises à jour logicielles
Les mises à jour régulières et les correctifs pour les systèmes d'exploitation, les applications et les logiciels de sécurité réduisent le risque d'attaques en limitant l'exposition aux rançongiciels causée par des logiciels obsolètes.
Sauvegarder les données
Si une attaque de ransomware se produit, disposer d'une sauvegarde récente permet à la victime de restaurer ses données sans payer de rançon. Les sauvegardes doivent être stockées hors ligne ou dans des environnements cloud qui ne sont pas directement connectés au réseau, afin de les protéger contre toute infection par le ransomware.
Filtres de courrier électronique
Les systèmes de filtrage des e-mails analysent les messages entrants à la recherche de liens, de pièces jointes ou de caractéristiques suspectes. Ces filtres peuvent bloquer les e-mails contenant des éléments malveillants connus avant qu'ils n'atteignent les boîtes de réception des utilisateurs.
Segmentation du réseau et contrôles d’accès
La segmentation du réseau restreint la propagation des ransomwares une fois qu'ils ont infiltré votre système, même si une partie du réseau est compromise, les dommages peuvent être contenues. Les experts conseillent de séparer les systèmes et les données sensibles des opérations régulières, limitant l'accès aux zones critiques.
Les contrôles d'accès tels que l'authentification multifactorielle (MFA) et le principe du moindre privilège (ne donnant aux utilisateurs que l'accès dont ils ont besoin) peuvent limiter l'accès des utilisateurs. Si un attaquant parvient à accéder à un compte ou à un système, la segmentation et les contrôles d'accès peuvent empêcher les mouvements latéraux à travers le réseau, limitant ainsi la portée du ransomware.
Solutions de détection et de réponse des points de terminaison (EDR)
Les solutions EDR fournissent une surveillance et une analyse continues des activités des points de terminaison, aidant à détecter les premiers signes d'une infection par ransomware. Ces outils peuvent répondre automatiquement aux comportements suspects, isoler les appareils infectés et empêcher la propagation du ransomware dans tout le réseau.
Conclusion
Les ransomwares Crypto mettent en lumière l'un des mauvais usages des crypto-monnaies, où les criminels profitent de l'anonymat de la technologie de la blockchain. Bien qu'il n'y ait pas grand-chose à faire en ce qui concerne la crypto-monnaie en tant que rançon, les meilleures mesures possibles consistent à protéger les utilisateurs et les systèmes contre l'infection par les ransomwares en évitant les liens de phishing et en effectuant des mises à jour régulières du logiciel.
De plus, le maintien de sauvegardes régulières des données garantit que les fichiers importants peuvent être restaurés sans payer de rançon en cas d'attaque. La segmentation du réseau constitue une autre mesure défensive importante, car elle limite la propagation des ransomwares, les confinant à des parties spécifiques du système et protégeant les zones non affectées.
Articles connexes
Comment miser sur l'ETH?
Qu'est-ce que le Dogecoin ?
Que sont les Altcoins ?
Qu'est-ce que le Ransomware Crypto? Une étude détaillée
Qu'est-ce que le Ransomware?
Comment fonctionne le Crypto Ransomware
Attaques de CryptoRansomware remarquables
Ransomware-as-a-Service
Se défendre contre les ransomwares Crypto
Conclusion
Introduction
À mesure que notre dépendance à l'infrastructure numérique augmente, l'impact des attaques de ransomware devient de plus en plus sévère, perturbant les opérations quotidiennes et entraînant des pertes financières. Appréhender les cybercriminels est de plus en plus difficile car ils ont recours à des méthodes sophistiquées pour dissimuler leurs traces. L'un des outils qu'ils ont adoptés est la cryptomonnaie pour recevoir des paiements de rançon. Ils profitent de la nature décentralisée et pseudonyme de la cryptomonnaie en tant que forme de paiement préférée. En 2023 seulement, les attaques de ransomware ont entraîné plus d'un milliard de dollars de paiements de rançon, car ...rapportépar la société d'analyse de la blockchain, Chainalysis.
Qu'est-ce que le Ransomware?
Les ransomwares sont des logiciels malveillants conçus pour crypter les données d'un système, les rendant inaccessibles jusqu'à ce qu'une rançon soit payée. Cette cyberattaque cible les particuliers, les entreprises et les organisations gouvernementales, exploitant les vulnérabilités de leurs systèmes pour obtenir un accès non autorisé. Une fois que le logiciel malveillant est déployé, il crypte les fichiers et demande un paiement, généralement en cryptomonnaie, pour décrypter les données.
Bien que l'objectif principal des attaques de ransomware soit principalement financier, dans certains cas, il est également utilisé pour causer des perturbations opérationnelles, obtenir un accès non autorisé à des informations sensibles ou mettre la pression sur les organisations pour se conformer à d'autres exigences. Il a également été utilisé comme un outil de cyber-guerre entre des pays en tension politique.
Histoire et évolution des ransomwares
La première attaque connue de ransomware était le virus AIDS Trojan en 1988, également appelé virus PC Cyborg. Il a été distribué via des disquettes aux participants à une conférence de l'Organisation mondiale de la santé. Après un certain nombre de redémarrages d'ordinateur, le trojan a chiffré des fichiers et a exigé une rançon de 189 $ à verser à une boîte postale au Panama. Cette attaque utilisait un chiffrement primitif par rapport aux normes actuelles, mais elle a posé les bases du ransomware moderne. À partir de 2006, le chiffrement RSA avancé était utilisé pour diffuser des ransomwares sur des sites web et par le biais de spam, avec des paiements de rançon effectués avec des bons, des paysafecards et d'autres méthodes électroniques difficiles à tracer.
Source: Chainalysis
En 2010, alors que Bitcoin gagnait en popularité, les attaquants ont commencé à exiger une rançon dans une monnaie pseudonyme beaucoup plus difficile à tracer. Depuis lors, de nouveaux modèles de ransomwares plus sophistiqués ont été développés, construisant ainsi une industrie criminelle qui a accumulé plus de 3 milliards de dollars entre 2019 et 2024.
Le rôle des crypto-monnaies dans les rançongiciels
Une des caractéristiques clés des cryptomonnaies, en particulier de Bitcoin, est leur nature pseudonyme. Bien que les transactions soient enregistrées sur la blockchain, les identités des parties impliquées sont masquées par des adresses de portefeuille, ce qui rend difficile de remonter jusqu'à l'attaquant. Les systèmes de paiement traditionnels, tels que les cartes de crédit et les virements bancaires, laissent des traces d'identité claires que les forces de l'ordre peuvent utiliser pour enquêter sur les cybercriminels.
Avec les transactions Bitcoin traçables publiquement sur la blockchain, certains cybercriminels se sont tournés vers des cryptomonnaies axées sur la confidentialité comme Monero, qui offrent des fonctionnalités d'anonymat et utilisent des adresses furtives et des signatures en anneau pour obscurcir davantage les détails des transactions.
Comment fonctionne Crypto Ransomware
Le ransomware Crypto s'infiltre dans un système cible, généralement par le biais de courriels d'hameçonnage, de téléchargements malveillants ou d'exploitation de vulnérabilités système. Une fois à l'intérieur, le logiciel malveillant chiffre les fichiers sur l'ordinateur ou le réseau de la victime à l'aide d'algorithmes de chiffrement complexes, rendant les données inaccessibles.
Source: ComodoSSL
Les étapes de l'opération sont exécutées par étapes;
- Infection
- Cryptage
- Demande de rançon
Infection
Les crypto-ransomwares s'introduisent dans l'appareil d'une victime par le biais de canaux tels que ;
Phishing Emails: les cybercriminels envoient des e-mails qui semblent provenir de sources légitimes, trompant les destinataires en cliquant sur des liens malveillants ou en téléchargeant des pièces jointes infectées. Ces fichiers se font souvent passer pour des documents importants ou des mises à jour, cachant leur véritable nature.
Logiciels obsolètes : Les rançongiciels peuvent exploiter des bogues dans d’anciens logiciels de systèmes d’exploitation ou d’applications. Cela a été évident dans l’attaque WannaCry, qui a utilisé un exploit dans Microsoft Windows.
Malvertising : les utilisateurs peuvent interagir à leur insu avec des publicités trompeuses pour télécharger de fausses mises à jour de logiciels qui conduisent à l'installation de ransomware.
Piratages du protocole de bureau à distance : Le protocole de bureau à distance (RDP) est utilisé pour maintenir une connexion à distance avec un serveur dans les situations où les employés d'une organisation travaillent à partir de différents endroits. L'interface RDP sur l'ordinateur de l'employé communique via des protocoles de cryptage avec le composant RDP sur le serveur. Bien que cryptée, ce mode de connexion est sujet à des piratages que les cybercriminels utilisent pour télécharger des logiciels de rançon sur le serveur d'une entreprise.
Cryptage
Une fois dans le système, le ransomware commence à crypter les fichiers de la victime. Les ransomwares crypto utilisent des méthodes de cryptage telles que :
- RSA (Rivest–Shamir–Adleman) : un algorithme de chiffrement asymétrique qui utilise une paire de clés publique et privée. La clé publique chiffre les fichiers, et la clé privée, détenue par l'attaquant, est nécessaire pour les décrypter.
- AES (Advanced Encryption Standard) : Une méthode de chiffrement symétrique où la même clé est utilisée pour le chiffrement et le déchiffrement. Le ransomware utilise cela pour chiffrer les fichiers, et la clé est stockée avec l'attaquant.
Le logiciel malveillant cible les types de fichiers, y compris les documents, les images, les vidéos et les bases de données, tout ce qui pourrait être de valeur pour la victime. Pendant ce processus, les utilisateurs pourraient ne pas remarquer que leurs données sont verrouillées jusqu'à ce que le chiffrement soit complet, les laissant sans option immédiate de récupération.
L'un des modèles remarquables dans les principales attaques de ransomware est qu'elles se produisent pendant les vacances ou lorsque la majorité du personnel n'est pas en ligne pour éviter la détection.
Demande de rançon
Source: Proofpoint
Après avoir crypté les données, le ransomware affiche une note de rançon à la victime, souvent via une fenêtre contextuelle, un fichier texte ou une page HTML.
Un écran de demande de rançon demandant du Bitcoin en échange de la clé privée
Source: Varonis
Le montant de la rançon est généralement demandé en Bitcoin ou Monero avec un lien vers un site de paiement ou une méthode pour contacter les attaquants (parfois hébergé sur le dark web).
Source: Proofpoint
Si la victime se conforme à la demande et transfère le montant demandé, les attaquants peuvent fournir la clé de décryptage pour déverrouiller les fichiers. Cependant, payer la rançon ne garantit pas que les attaquants suivront. Dans certains cas, les victimes ne reçoivent jamais la clé de décryptage même après le paiement, ou elles peuvent faire face à des demandes de rançon supplémentaires.
Les experts en cybersécurité et les agences de l'application de la loi découragent de payer des rançons, car les cybercriminels peuvent recourir à une double extortion, où les attaquants non seulement cryptent les fichiers de la victime, mais volent également des données sensibles. Ils menacent ensuite de publier ou de vendre les données si une autre rançon n'est pas payée.
Attaques de Ransomware Crypto notables
WannaCry (2017)
WannaCry est l'une des attaques de ransomware les plus notoires et les plus répandues de l'histoire. Elle a exploité une vulnérabilité de Microsoft Windows connue sous le nom d'EternalBlue, que le groupe de pirates Shadow Brokers avait précédemment volée à la NSA. WannaCry a affecté plus de 200 000 ordinateurs dans 150 pays, y compris des institutions majeures telles que le National Health Service (NHS) du Royaume-Uni, FedEx et Renault. Cela a causé une perturbation généralisée, en particulier dans les systèmes de santé, où les services aux patients ont été gravement impactés.
Une note de rançon WannaCry
Source: CyberSpades
Les attaquants ont demandé 300 $ en Bitcoin en échange d'une clé de décryptage, bien que de nombreuses victimes n'aient pas pu récupérer leurs données même après avoir payé. L'attaque a finalement été arrêtée par un chercheur en sécurité qui a activé un "interrupteur d'arrêt" intégré dans le code malveillant, mais pas avant de causer des milliards de dollars de dommages.
NotPetya (2017)
NotPetya était un logiciel malveillant à double effet qui servait de ransomware et de logiciel de suppression conçu pour causer la destruction plutôt que pour extraire une rançon.
Une note de rançon NotPetya
Source: SecurityOutlines
Le logiciel malveillant semblait exiger une rançon en Bitcoin, mais même après le paiement, la récupération des données chiffrées était impossible, indiquant que le gain financier n'était pas le véritable objectif. Contrairement aux ransomwares traditionnels, NotPetya semblait être politiquement motivé, ciblant l'Ukraine pendant une période de tension géopolitique avec la Russie. Bien qu'il se soit finalement propagé à l'échelle mondiale, il a causé des dommages à de grandes multinationales, dont Maersk, Merck et FedEx, entraînant des pertes financières mondiales estimées à plus de 10 milliards de dollars.
DarkSide (2021)
DarkSide a attiré l'attention mondiale après son attaque contre Colonial Pipeline, le plus grand oléoduc de carburant aux États-Unis, qui a entraîné des pénuries de carburant dans tout l'est du pays. L'attaque a perturbé les approvisionnements en carburant et a provoqué des achats de panique généralisés. Colonial Pipeline a finalement payé une rançon de 4,4 millions de dollars en Bitcoin, bien que le FBI ait par la suite récupéré une partie de cette rançon.
Une note de rançon DarkSide
Source: KrebsonSecurity
Ransomware-as-a-Service
RaaS est un modèle d'affaires dans lequel les créateurs de ransomwares louent leur logiciel malveillant à des affiliés ou à d'autres cybercriminels. Les affiliés utilisent ce logiciel pour mener des attaques, partageant les profits de la rançon avec les développeurs de ransomwares.
REvil
REvil (également connu sous le nom de Sodinokibi) est l’un des groupes de rançongiciels les plus sophistiqués, fonctionnant comme une opération de rançongiciel en tant que service (RaaS).
REvil a été lié à des attaques de haut niveau contre des organisations mondiales, notamment JBS (le plus grand fournisseur de viande au monde) et Kaseya, une entreprise de logiciels, Cela a affecté plus de 1 000 entreprises comptant sur ses produits logiciels.
Clop
Source: BleepingComputer
Clop est un autre Ransomware en tant que service (RaaS) qui mène des campagnes de spear-phishing à grande échelle ciblant les entreprises et exigeant des rançons importantes. Les opérateurs de Clop utilisent la technique de double extorsion : ils volent des données avant de les crypter et menacent de divulguer des informations sensibles si la rançon n'est pas payée.
En 2020, Clop a été responsable d'une énorme violation de données liée au logiciel de transfert de fichiers Accellion, affectant plusieurs universités, institutions financières et organismes gouvernementaux.
Se défendre contre les ransomwares cryptographiques
La défense la plus efficace commence par empêcher les logiciels malveillants d'entrer dans votre système. Voici quelques mesures qui peuvent protéger votre ordinateur contre les logiciels de rançon.
Conscience de la cybersécurité
Les utilisateurs et les employés doivent être formés pour reconnaître et répondre à des menaces telles que des e-mails de phishing ou des pièces jointes suspectes. Une formation régulière à la sensibilisation à la cybersécurité peut réduire considérablement le risque d'infections accidentelles.
Mises à jour logicielles
Les mises à jour régulières et les correctifs pour les systèmes d'exploitation, les applications et les logiciels de sécurité réduisent le risque d'attaques en limitant l'exposition aux rançongiciels causée par des logiciels obsolètes.
Sauvegarder les données
Si une attaque de ransomware se produit, disposer d'une sauvegarde récente permet à la victime de restaurer ses données sans payer de rançon. Les sauvegardes doivent être stockées hors ligne ou dans des environnements cloud qui ne sont pas directement connectés au réseau, afin de les protéger contre toute infection par le ransomware.
Filtres de courrier électronique
Les systèmes de filtrage des e-mails analysent les messages entrants à la recherche de liens, de pièces jointes ou de caractéristiques suspectes. Ces filtres peuvent bloquer les e-mails contenant des éléments malveillants connus avant qu'ils n'atteignent les boîtes de réception des utilisateurs.
Segmentation du réseau et contrôles d’accès
La segmentation du réseau restreint la propagation des ransomwares une fois qu'ils ont infiltré votre système, même si une partie du réseau est compromise, les dommages peuvent être contenues. Les experts conseillent de séparer les systèmes et les données sensibles des opérations régulières, limitant l'accès aux zones critiques.
Les contrôles d'accès tels que l'authentification multifactorielle (MFA) et le principe du moindre privilège (ne donnant aux utilisateurs que l'accès dont ils ont besoin) peuvent limiter l'accès des utilisateurs. Si un attaquant parvient à accéder à un compte ou à un système, la segmentation et les contrôles d'accès peuvent empêcher les mouvements latéraux à travers le réseau, limitant ainsi la portée du ransomware.
Solutions de détection et de réponse des points de terminaison (EDR)
Les solutions EDR fournissent une surveillance et une analyse continues des activités des points de terminaison, aidant à détecter les premiers signes d'une infection par ransomware. Ces outils peuvent répondre automatiquement aux comportements suspects, isoler les appareils infectés et empêcher la propagation du ransomware dans tout le réseau.
Conclusion
Les ransomwares Crypto mettent en lumière l'un des mauvais usages des crypto-monnaies, où les criminels profitent de l'anonymat de la technologie de la blockchain. Bien qu'il n'y ait pas grand-chose à faire en ce qui concerne la crypto-monnaie en tant que rançon, les meilleures mesures possibles consistent à protéger les utilisateurs et les systèmes contre l'infection par les ransomwares en évitant les liens de phishing et en effectuant des mises à jour régulières du logiciel.
De plus, le maintien de sauvegardes régulières des données garantit que les fichiers importants peuvent être restaurés sans payer de rançon en cas d'attaque. La segmentation du réseau constitue une autre mesure défensive importante, car elle limite la propagation des ransomwares, les confinant à des parties spécifiques du système et protégeant les zones non affectées.
Articles connexes
Comment miser sur l'ETH?
Qu'est-ce que le Dogecoin ?