Après les ransomwares, la prochaine menace est le ransomworm

Jacques Cheminat,

Plusieurs spécialistes de la sécurité informatique sont formels les ransomwares vont évoluer pour s’en prendre au réseau à travers des vers.

Star de l’année 2016 dans le domaine de la sécurité informatique, le ransomware entend bien continuer sa progression et sa malfaisante économie. Pour mémoire, le groupe Symantec Security Response a recensé une moyenne de 4000 attaques quotidiennes en 2016. Aux Etats-Unis, les rançongiciels ont coûté 209 millions de dollars aux entreprises au 1er trimestre 2016, constate le FBI.

Face à ce pactole, les cybercriminels vont redoubler d’ingéniosité prévoit les spécialistes de la sécurité. Interrogé par nos confrères de MIS-Asia, Corey Nachreiner, directeur technique de Watchguard Technologies, estime que 2017 va voir « l’arrivée du premier ransomworm permettant une propagation plus rapide du rançongiciel ». Imaginer la combinaison d’un Locky avec des vers connus comme CodeRed, SQL Slammer ou le plus récent et encore actif Conficker. « Après avoir infecté une victime, la charge utile va se copier inlassablement sur chaque ordinateur du réseau local », indique Corey Nachreiner. Et de pronostiquer « que vous croyiez ou non à ce scénario, les cybercriminels y pensent déjà ». Un avis partagé par Nik Poltar, CEO et fondateur d’Exabeam. « Le ransomware constitue un gros business pour les pirates et le ransomworm peut garantir des revenus récurrents. En clair, il chiffre vos dossiers, vous payez pour les récupérer mais au passage il vous laisse des cadeaux empoisonnés. »

Une première alerte avec Zcryptor

Et le mal a commencé. Microsoft a découvert au mois de mai dernier, une souche de ransomware baptisé Zcryptor, qui se comporte comme un ver. C’est-à-dire qu’il est capable de se déplacer d’un ordinateur Windows à un autre via des supports externes (clés USB, disque dur externe, etc.) ou des disques réseaux. A l’époque, Michael Jay Villanueva, un chercheur de Trend Micro, soulignait que « ce ransomware est un des rares à être en mesure de se diffuser par lui-même. Il laisse une copie de lui-même sur les disques amovibles, rendant l’emploi des supports USB risqué ».

Un vecteur de diffusion avec le RaaS

Le développement de ransomworm devrait s’accélérer en raison du fort retour sur investissement des campagnes de rançongiciels. Une étude de Trustwave évalue la rentabilité à 1425%. Ainsi, pour une campagne qui coûte 6000 dollars, le pirate peut espérer gagner jusqu’à 90 000 dollars. L’automatisation est d’ailleurs en route avec le RaaS, Ransomware as as Service. Norman Guadagno, évangéliste chez Carbonite, promet un fort développement de cette méthode qui ne nécessite pas de compétences particulières ou d’une somme conséquente pour démarrer. « Etant donné le succès de ces pirates, cela représente un revenu d’un milliard de dollars en 2016, il ne fait aucun doute que le RaaS va gagner en attractivité ». Mais de rester optimiste, « tout comme le Cloud permet le RaaS, il permet aussi de sauvegarder les données pour se protéger de ces attaques ». Pour combien de temps ?

A lire aussi :

Koolova, un ransomware donneur de leçons

RansomFree, l’application qui leurre les ransomwares

Crédit Photo : LeoWolfert-Shutterstock