Lutter contre les ransomwares : le guide ultime

Que sont les ransomwares ? Pourquoi deviennent-ils aussi courants ? Qui a été touché par ce type de menace ? Que faire en cas d’attaque ? Comment s’en prémunir ? C’est à ces questions, et bien d’autres, que notre guide pratique répond.

Pour ceux qui n’auraient pas eu connaissance de l’attaque WannaCry du mois de mai dernier, rappelons brièvement ce qu’est un ransomware, ou un rançongiciel. La première génération de logiciels ransomwares avait pour objectif de verrouiller votre clavier ou votre ordinateur. Vos données n’étaient pas chiffrées et le paiement de la rançon devait théoriquement vous permettre de recouvrer l’usage de votre PC et de ses données.

Plus récemment, une nouvelle génération de ransomwares a adopté une technique plus sournoise, consistant à crypter vos fichiers en utilisant une clé privée dont l’attaquant est le seul possesseur. Aujourd’hui, les ransomwares ne se contentent pas d’attaquer les ordinateurs personnels fixes ou mobiles, ils ciblent également les smartphones (essentiellement Android).

Pour les PC, l’immense majorité des attaques cible les ordinateurs tournant sous une version de Windows, en raison de la grande diffusion de cet OS dans les environnements personnels et professionnels. Les Mac semblent jusqu’à maintenant moins visés. Et pourtant, Olivier Bogaert, commissaire à la Computer Crime Unit en Belgique alerte : « nous constatons une forte augmentation du nombre de malwares qui s’attaquent aux Mac. »

Quelques exemples d’attaques

Avant le déferlement planétaire de WannaCry, les ransomwares avaient déjà fait la une des journaux.

En février 2016, le Hollywood Presbyterian Medical Center de Los Angeles a été victime du virus Locky, qui n’a bloqué qu’un faible nombre d’utilisateurs en rendant illisibles leurs fichiers. Le directeur général de l’hôpital, Allen Stefanek, a déclaré : « le système malveillant verrouille les machines en cryptant des fichiers et en exigeant une rançon pour obtenir la clé de décryptage. Le moyen le plus rapide et le plus efficace de restaurer nos systèmes et nos fonctions administratives était de payer la rançon et d’obtenir la clé de décryptage. » L’hôpital a versé seulement 17.000 dollars, soit une partie de la rançon exigée de 40 Bitcoins. Le virus a été importé à l’intérieur d’une fausse facture au format Word. Les médecins ont expliqué qu’ils ne pouvaient plus accéder aux dossiers médicaux de leurs patients, aux radiographies et à d’autres résultats d’examens. En conséquence, 911 patients ont dû être détournés vers des hôpitaux voisins, et le personnel hospitalier a ressorti les crayons et les papiers pour pouvoir effectuer les admissions des patients de façon manuelle. Suite au paiement de la rançon, il a fallu une quinzaine de jours pour rendre le système d’information totalement opérationnel. L’une des raisons constatées pour expliquer ce délai était le manque de sauvegardes faites par l’hôpital.

En mars 2016, un autre hôpital, à Ottawa cette fois, a été infecté par le virus WinPlock, une mutation du virus CryptoLocker. Ici encore, le virus a été introduit dans un email de phishing qui a chiffré et bloqué les PC de quatre utilisateurs ayant cliqué sur la pièce jointe, une proportion ridicule des 9800 PC de l’hôpital. Sans doute en raison du faible périmètre attaqué, l’hôpital a choisi de ne pas payer la rançon. Les administrateurs IT ont délibérément effacé le contenu des disques durs infectés. Et comme cette fois la politique de sauvegarde était bien appliquée, les choses sont rentrées dans l’ordre très rapidement.

En novembre 2016, pendant le week-end de Thanksgiving, la San Francisco Municipal Transportation Agency a été victime d’un ransomware qui a pris le contrôle de plus de 2000 PC (sur les 8000 de la régie) et bloqué ainsi les bornes permettant d’acheter les tickets de bus, de tramway et de métro de l’agglomération. En attendant de trouver une solution, la société de transports a préféré ouvrir les portiques d’accès, et laisser ainsi les usagers voyager gratuitement. Le pirate a exigé le paiement d’une rançon de 100 Bitcoins. Mais comme il avait tout simplement donné son adresse mail pour recevoir le paiement de la rançon, il a pu être aisément identifié. Pire encore pour lui, un chercheur en sécurité a réussi à accéder à son compte de messagerie, réinitialisé le mot de passe et a verrouillé le compte.

Pour terminer cette liste très incomplète (peu de sociétés aiment communiquer sur ce genre de désagrément), il faut évidemment citer le tristement célèbre ransomware WannaCry, qui a touché plus de 150 pays et plus de 300.000 ordinateurs. En France, Renault a été l’une des rares entreprises à communiquer sur l’attaque qui a conduit à l’arrêt de la production de véhicules sur les sites de Douai et de Sandouville et la mise au chômage partiel des salariés des usines concernées.

Pourquoi le ransomware devient-il si courant ?

La popularité croissante de ces attaques s’explique par la désarmante facilité à pouvoir se procurer des outils de ransomware sur le « dark web ». On peut même trouver des kits d’exploit « Ransomware as a Service » (RaaS) que les hackers en herbe, ne disposant pas de grandes compétences en programmation, pourront déployer très facilement, moyennant une petite commission prélevée sur les rançons obtenues.

Pour la modique somme de 160 euros, vous pouvez vous procurer Karmen, un nouveau RaaS. Depuis son interface d’accès, vous pouvez modifier le ransomware, voir la quantité de machines que vous avez réussi à infecter et savoir quel montant vous avez extorqué à vos victimes.

Qui est touché ?

Si les grandes entreprises sont des cibles privilégiées, les ransomwares n’épargnent pas pour autant les ETI et, dans une moindre mesure, les TPE.

Selon l’étude « Understanding the depth of the global ransomware problem » publiée en août 2016 par le cabinet Osterman Research et sponsorisée par Malwarebytes, les secteurs d’activité les plus touchés par les attaques de ransomwares seraient la santé, suivie par le monde des services financiers, banques et assurances. Sur les 450 enquêtes réalisées auprès de 165 entreprises réparties dans le monde entier, 39 % des entreprises ou organisations interrogées reconnaissent avoir été victimes d’attaques de ce type. La proportion varie entre les pays interrogés, avec un résultat plus important au Royaume-Uni (54 %), suivi de près par les États unis (47 %), puis le Canada (35 %) et enfin l’Allemagne (18 %). À l’époque de l’enquête, 67 % des responsables canadiens interrogés étaient relativement satisfaits ou très satisfaits de leur capacité à faire face à une attaque de ransomware. Le niveau de confiance était à peu près équivalent auprès des entreprises allemandes. À l’inverse, seuls 37 % des entreprises américaines pensaient pouvoir déjouer de telles attaques.

Mais au final, pour juger du niveau de succès des attaques de ransomwares, la seule question qui importe est celle du paiement de la rançon. Faut-il la payer, sans avoir la certitude de récupérer les fichiers corrompus, ou pas ? Les avis divergent.

Dans son étude publiée en décembre 2016 « Ransomware : comment les consommateurs et les entreprises valorisent leurs données », IBM X-Force a interrogé 600 chefs d’entreprise et plus de 1000 particuliers résidant aux États-Unis. L’étude dévoile que 70 % des entreprises victimes de ransomwares déclarent avoir payé tout ou partie des rançons exigées afin de récupérer leurs données. La moitié d’entre elles auraient versé plus de 10.000 dollars, et 20 % des entreprises auraient déboursé plus de 40.000 dollars.

Mais de son côté, l’étude du Cabinet Osterman Research semble prouver le contraire. Selon elle, seulement 3 % des entreprises américaines auraient versé la rançon. À l’inverse, 75 % des entreprises canadiennes, 58 % des entreprises britanniques et 22 % des entreprises allemandes auraient choisi de payer la rançon. La question de l’utilité de payer reste entière. En effet, si 82 % des entreprises canadiennes ayant fait le choix de ne pas payer ont finalement perdu leurs fichiers, moins de 30 % des entreprises américaines ont subi le même désagrément. Sans doute les unes avaient mis en place de meilleures solutions de protection que les autres…

Que faire en cas d’attaque ?

En premier lieu, débranchez les disques externes encore sains pour éviter le chiffrement de vos fichiers encore intacts. Déconnectez votre système d’Internet, cela bloquera au moins les flux potentiels venant des attaquants, qui peuvent utiliser leur logiciel malveillant pour surveiller votre système et lancer d’autres actions néfastes. Si vous êtes connecté à un réseau d’entreprise, déconnectez-vous également afin de limiter la propagation vers d’autres serveurs de fichiers.

Si vous êtes un utilisateur professionnel, prévenez immédiatement votre département IT qui pourra prendre rapidement les premières mesures d’isolation, de recherche et de remédiation.

Si vous avez correctement sauvegardé vos fichiers, tout espoir n’est pas perdu. Depuis un autre poste de travail non infecté, analysez vos sauvegardes récentes et recherchez la présence éventuelle de programmes malveillants. Faites le ménage sur votre PC infecté, débarrassez-vous de tout logiciel ou fichier suspect, et lancez la restauration de votre dernière sauvegarde saine.

Comment limiter les risques ?

La première action à mener est certainement d’avoir son parc logiciel à jour. Le rythme d’apparition et de mutation des malwares est tellement élevé qu’il oblige les éditeurs de logiciels et les fournisseurs de solutions de protection à proposer le plus rapidement possible les correctifs qui combleront des failles de sécurité.

Rappelons que dans le cas de WannaCry, les hackers ont exploité une faille de sécurité de Windows, qui avait été déjà corrigée en mars dans le Microsoft Security Bulletin MS17-010. L’entreprise a également fourni une mise à jour de sécurité afin de protéger les plateformes Windows qui sont uniquement en support personnalisé, y compris Windows XP, Windows 8 et Windows Server 2003. La précaution de mise à jour des applications vaut évidemment pour tous les autres logiciels que l’OS, provenant de tout autre éditeur et susceptibles de présenter des failles de sécurité pouvant être exploitées par des acteurs malveillants.

Il est courant de dire que l’utilisateur constitue également une faille de sécurité. L’utilisation de postes de travail à des fins professionnelles et personnelles complique l’application de politiques de sécurité. Les malwares arrivent souvent cachés à l’intérieur de mails, ou encore de bannières publicitaires falsifiées. Il est de la responsabilité de chacun de faire attention à ce qui est téléchargé sur son poste de travail, et à ne cliquer sur des fichiers ou des URL d’origine inconnue qu’avec la plus grande prudence. Au-delà de la simple sensibilisation faite lors de formations annuelles, certaines entreprises n’hésitent pas à réaliser des tests de phishing grandeur nature, afin de maximiser l’impact sur les utilisateurs du risque auquel ils doivent échapper.

En plus de la formation, de la sensibilisation, et de la mise en place de processus de sécurité au sein de l’entreprise, l’utilisation de logiciels de protection n’est plus une option.

Quel type de solution de protection ?

Une grande partie des logiciels de protection n’ont pas été conçus pour résister à des attaques de malwares modernes, comme c’est le cas des ransomwares. Certains peuvent muter très rapidement et utiliser des techniques pour éviter la détection par des outils classiques, qui s’appuient souvent sur des signatures statiques. D’autres augmentent leur nocivité en recherchant les dispositifs de sauvegarde afin de les chiffrer également, rendant quasiment impossible la récupération des fichiers sans passer par le paiement de la rançon.

C’est pourquoi la meilleure solution de protection actuelle consiste à effectuer une surveillance multicouche. Une solution comme Malwarebytes Endpoint Security va agir à chaque étape de l’infection du ransomware.

 Etapes

Source : Malwarebytes

Lors de l’étape de profilage, l’attaquant cible votre poste de travail avec par exemple une bannière publicitaire falsifiée, lui permettant de récupérer des informations comme la version de votre OS, votre type de navigateur et les éventuels logiciels de sécurité que vous utilisez. Il faut renforcer la sécurité de votre PC en détectant ou même en empêchant la remontée de ces informations, ce qui réduira la surface d’attaque possible par l’assaillant.

La deuxième étape consiste à installer le code malicieux sur votre poste. Lors de cette étape, votre solution de protection doit vous éviter l’accès à des sites malicieux, à des faux profils, à des sous-réseaux obscurs.

Lors de la troisième étape, l’attaquant va utiliser du code vulnérable de votre navigateur Internet, dans un fichier Adobe Flash ou Microsoft Word par exemple. Votre solution de protection devrait éviter l’activation de code à distance. Des techniques d’analyse comportementale peuvent vérifier que les applications installées s’exécutent sans faux pas ou qu’elles ne sont pas utilisées par un attaquant externe.

La quatrième étape provoque l’installation et l’exécution du ransomware sur votre ordinateur. Ici encore des techniques d’analyse comportementale permettent d’identifier les actions enchaînées par les principales familles de ransomwares et de bloquer celles-ci

La dernière étape est celle qui va charger les clés de chiffrement et encrypter vos données. Votre solution de protection doit détecter et bloquer les actions de connexion avec des serveurs de commande et de contrôle, et bloquer en temps réel le processus de chiffrement.

Pour conclure, personne n’est à l’abri d’une attaque de ransomware. S’il fallait retenir deux conseils, le premier serait de ne pas faire l’impasse sur les sauvegardes et le second de déployer une solution de protection multicouche capable de dépister et de déjouer les malwares les plus malicieux.