Comment fonctionne une attaque de ransomware et quels outils sont utilisés
L’une des attaques les plus puissantes et lucratives pour les cybercriminels est le ransomware. Sa structure est, au fond, assez simple : ils s’approprient vos fichiers, les cryptent pour que vous ne puissiez pas y accéder, et vous n’avez pratiquement aucune possibilité de les récupérer. Soi-disant, si vous voulez les récupérer, vous devez payer une certaine somme d’argent. Cependant, les preuves indiquent que cela ne se produit presque jamais. Et si cela arrive, la victime retombe dans les griffes des assaillants et pour les récupérer à nouveau il doit… bien sûr, payer à nouveau. C’est un cercle vicieux où l’extorsion est le principal protagoniste.
La nécessité d’avoir ces fichiers joue contre les utilisateurs et les conduit à commettre l’erreur de payer pour récupérer les données qui ont été cryptées par le ransomware. Il n’est pas nécessaire de payer la rançon. Jamais. Même s’il semble que c’est la fin du monde pour avoir perdu les fichiers, cela ne devrait pas être fait. Parce que si vous le faites, vous pourriez récupérer les fichiers, mais l’attaque du ransomware se reproduira.
L’efficacité de ces attaques est formidable car elles prennent le temps d’étudier la cible qui sera la victime. Généralement, ils sont dirigés vers de grandes organisations où ils pourraient très facilement avoir une rentabilité de plusieurs millions de dollars.
Les phases du ransomware
Maintenant, comment ces attaques sont-elles menées ? Ensuite, nous examinerons toutes les phases d’une attaque de ransomware. Au total, il y a huit phases. Cependant, et pour une meilleure compréhension, nous les regrouperons et, bien sûr, nous citerons ce qui se passe dans chaque phase à un niveau chronologique.
Processus initial
Cette phase correspond au pont entre le cybercriminel et la victime. Généralement, ils utilisent des sites Web et des courriels de type phishing. La plupart du temps, les e-mails sont utilisés car en général, le service de messagerie lui-même présente de multiples vulnérabilités. Il est pratiquement la responsabilité de l’ email client pour mettre en œuvre des mesures de sécurité adéquates afin que les utilisateurs à éviter d’ être victimes de phishing et par conséquent d’ autres attaques.
Application et escalade des privilèges
L’une des raisons pour lesquelles les attaques de ransomware sont très efficaces est qu’elles n’utilisent généralement pas d’outils malveillants ou spécialisés pour distribuer des logiciels malveillants. Il utilise simplement ceux qui sont populaires auprès des administrateurs informatiques. Donc de la phase d’ exécution à l’ élévation des privilègesil n’y a pas trop de démarches à faire. Une fois que l’attaquant obtient les autorisations d’administrateur sur le système de la victime, tout peut être fait. Malgré le fait que de nombreuses failles de sécurité ont déjà des correctifs et des correctifs qui les corrigent, de nombreux administrateurs n’accordent pas l’importance nécessaire aux mises à jour logicielles. L’attaquant n’a besoin que de quelques ordinateurs qui ne sont pas à jour avec les mises à jour de sécurité et ce qui vient après peut très facilement se transformer en attaques très complexes.
Contourner les défenses et les identifiants d’accès
À partir du moment où un attaquant dispose des autorisations nécessaires pour être administrateur système, il peut définir les paramètres de sécurité comme il le souhaite. Vous pouvez ajuster les mesures de sécurité afin que le moins d’alarmes possibles soient déclenchées par un changement irrégulier. Vous pouvez même empêcher ces alarmes de se déclencher complètement. De plus, il existe des outils qui fonctionnent «en dessous» qui permettent la désactivation ou la désinstallation de tout programme de sécurité qui pourrait exposer des attaques.
Du côté de l’accès aux identifiants, il existe de multiples outils gratuits et open source à cet effet. Ce qui profite le plus aux attaquants, c’est le fait qu’ils sont précisément open source. La cybercriminalité a depuis longtemps cessé d’être un petit monde caché quelque part. C’est une industrie formidable qui est rentable comme aucune autre. Cependant, ces outils qui aident à obtenir des informations d’identification d’accès privilégié au système sont très populaires parmi les spécialistes qui se consacrent au pentest.
Dans tous les cas, il ne faut pas oublier qu’une bonne partie des outils que les attaquants utilisent pour compromettre et attaquer les systèmes ont été conçus à l’origine dans un autre contexte. C’est-à-dire dans le contexte professionnel et/ou académique. Par exemple, Routersploit est une solution dont nous avons déjà parlé dans RedesZone qui nous aide à identifier les routeurs et/ou autres périphériques réseau qui ont leurs identifiants par défaut. Malheureusement, c’est l’un des alliés de ceux qui mènent des attaques sur les routeurs pour pouvoir modifier la configuration de la passerelle, les serveurs DNS, entre autres actions malveillantes.
Découverte
Après avoir exécuté tous les processus nécessaires pour obtenir un accès privilégié au système, l’une des phases les plus importantes est atteinte : l’accès à la structure du système. Surtout, dans l’aspect logique. Des données extrêmement utiles telles que le nombre de terminaux , le type de services hébergés sur les serveurs, si ces services sont hébergés dans le cloud ou si l’un d’entre eux est toujours sur site (hébergé physiquement). Même les attaquants peuvent identifier si vous avez des sauvegardes, en ligne ou hébergées physiquement. Par conséquent, il leur sera également utile si les sauvegardes correspondent aux serveurs, à la fois ceux hébergés physiquement et ceux qui sont dans le cloud.
Pourquoi seraient-ils intéressés par les sauvegardes ? Eh bien, si la victime se rend compte que sa copie de sauvegarde ou si à la fois sa copie d’origine et la copie de sauvegarde sont sous le ransomware, il y aurait plus de chances que la victime paie. Ceci, bien sûr, vient du désespoir et de l’envie de tout récupérer. D’un autre côté, les ransomwares peuvent aller encore plus loin. En plus de détourner vos fichiers en les rendant inaccessibles, s’ils réussissent, ils peuvent détourner des bases de données critiques. Ceci, pour les tuer, rend alors l’exécution de la rançon encore plus facile et comme la cerise sur le gâteau, ils prennent le contrôle de ces bases de données pour exécuter d’autres attaques s’ils le souhaitent.
Mouvement latéral et enfin impact
Il est possible d’atteindre cette instance grâce à des protocoles tels que RDP (Remote Desktop Protocol) . Ceci est disponible dans pratiquement tous les systèmes d’exploitation Windows, ce n’est tout simplement pas toujours mentionné. Il vous permet de vous connecter à distance à un autre ordinateur Windows, à condition que RDP soit également activé sur l’autre. Pour vous connecter à un autre ordinateur en utilisant ce protocole, vous devez avoir un mot de passe. En fait, il existe des outils qui aident à deviner le mot de passe en fonction de plusieurs tentatives pour le faire correctement, c’est comme l’ attaque par force brute . Cependant, si RDP n’est pas activé, il n’y a pas de problème, vous pouvez compter sur d’autres outils de bureau à distance et à partir de là, les possibilités sont infinies et vous avez le choix entre plusieurs options de programme.
La phase finale est l’impact, c’est-à-dire l’exécution du ransomware. Dans cette phase, vous ne dépendez que de solutions qui ont tout ce dont vous avez besoin pour créer un ransomware. Ce qui est amusant, c’est que vous n’avez pas à faire trop d’efforts pour rechercher, car vous n’avez même pas besoin d’aller sur le dark web pour en trouver un. C’est juste une question de googler et vous rencontrerez très probablement un programme pour créer un ransomware. Dans la plupart des cas, ils sont présentés comme des applications payantes. Cependant, l’argent n’est généralement pas un problème pour les cybercriminels et ils paieront pour cela. Même si vous n’avez pas trop de ressources, les coûts sont relativement abordables.
Rappelons que la méthode de paiement de rançon la plus populaire est la crypto-monnaie Bitcoin. Malgré le fait que sa valeur soit assez volatile et que le temps ait été chargé de la montrer, c’est la crypto-monnaie la plus précieuse par unité. Selon le ransomware, le paiement en Bitcoins peut facilement atteindre des milliers de dollars. En faisant la somme pour chaque ordinateur victime, vous pourriez déjà atteindre des millions de dollars pour une seule attaque exécutée.
Erreurs fréquentes qui font de nous des victimes de ransomware
Il ne fait aucun doute que toutes les attaques informatiques peuvent être facilement évitées si certaines mesures de sécurité sont prises. Quoi qu’il en soit, et bien que nous sachions qu’en appliquer plusieurs ne prendra pas trop de temps, nous ne le faisons pas. Une autre raison pour laquelle nous n’accordons pas d’importance à la sécurité et à la confidentialité de nos données est que nous ne pensons pas que nous pourrions être victimes d’une telle attaque, jusqu’à ce que cela nous arrive.
Sophos Labs répertorie cinq erreurs et, à leur tour, cinq mesures essentielles pour éviter de tomber dans ce type d’éventualité.
Protéger l’accès aux systèmes
Ci-dessus, nous avons mentionné que des services tels que le protocole RDP sont des ponts très accessibles pour contrôler d’autres ordinateurs Windows contenant le protocole activé. Même s’ils ne l’ont pas, ils peuvent utiliser même des outils gratuits et faciles à utiliser pour prendre en charge en particulier les ordinateurs qui peuvent élever nos privilèges d’accès. Une astuce rapide mais efficace est de scanner les réseaux pour savoir quel est notre statut depuis la prise Internet. Cela nous aidera à identifier quels services via quels ports nous avons activés, afin de pouvoir fermer ceux qui ne sont pas strictement nécessaires. Une façon de le faire rapidement consiste à utiliser le moteur de recherche Shodan . qui est libre d’utilisation et il vous suffit de créer un compte pour pouvoir accéder à toutes les fonctionnalités.
Choisissez des mots de passe appropriés et des méthodes d’authentification supplémentaires
Côté entreprise, si vous êtes administrateur système et réseau, vous devez vous assurer que les utilisateurs utilisent des mots de passe forts pour accéder à leurs ressources. Ceci est particulièrement important si une bonne partie ou la totalité de la main-d’œuvre travaille à domicile. Un autre aspect déterminant est que de nombreuses applications et ressources sont accessibles via des accès simplifiés tels que le SSO. Ce dernier ne nécessite pas de taper le mot de passe à tout moment, et il ne vous oblige pas à créer un mot de passe pour tout. C’est l’un des principaux risques, si un attaquant obtient vos identifiants, il aura très probablement accès à toutes vos ressources et ce sera un gros problème.
Du côté des utilisateurs finaux, notre quotidien et notamment sur le mobile, est mis à mal par les applications. Beaucoup d’entre eux contiennent des informations sensibles telles que des services bancaires, financiers, de localisation (Google Maps, par exemple) et des e-mails. Il est nécessaire d’avoir des méthodes d’authentification supplémentaires telles que le MFA qui fait que chaque fois que vous vous connectez, vous entrez un code qui n’est valable que pour cette session, ci-dessous nous vous laissons une recommandation : Google Authenticator pour Android (gratuit) et pour iOS (gratuit )
Faites attention aux journaux système
Si nous savons lire et interpréter les logs, nous aurons déjà beaucoup fait pour la sécurité de nos systèmes et réseaux. Il est important de savoir comment le faire car les cybercriminels ont tendance à prendre leur temps pour exécuter des attaques. La preuve de tout cela est précisément toutes les phases auxquelles une attaque de ransomware efficace est habituée. Il y a des moments où ils surviennent «sans prévenir» mais si on prend le temps d’analyser les logs, on pourrait trouver plusieurs surprises.
N’ignorez aucune des alertes
Il ne suffit pas de mettre en place des systèmes de type SIEM , par exemple, qui nous aident à gérer les différents événements qui compromettraient la sécurité de nos systèmes. Nous devons également garder un œil sur le type d’alarmes déclenchées, à quelle fréquence, à quels événements elles se réfèrent et bien sûr, les analyser dans le but principal de connaître la cause première de la faille de sécurité potentielle. Plusieurs fois, en tant qu’administrateur de systèmes, de réseaux ou de sécurité informatique, nous sommes avec tellement d’e-mails d’alerte, de rapports ou autre, que nous finissons par en ignorer certains ou plusieurs. Il n’est pas conseillé d’ignorer quoi que ce soit car cela pourrait être le pont pour une attaque potentielle de ransomware qui pourrait même compromettre le fonctionnement de l’organisation pour laquelle vous travaillez.
Si nous ne sommes pas dans un tel environnement, nous devons également être conscients des alertes potentielles. Évitez d’ouvrir des e-mails suspects, en particulier leur contenu. Les ransomwares ont tendance à être intégrés dans des pièces jointes, ce qui est curieux pour la plupart de ceux qui les reçoivent… même s’ils ne s’attendaient pas à recevoir cet e-mail. Il suffit d’ouvrir la pièce jointe pour qu’en quelques secondes, vos fichiers soient indisponibles par la rançon.
Maintenir le logiciel à jour
Cela s’applique à la fois aux logiciels d’entreprise et à l’utilisation individuelle, un logiciel à jour est l’un des boucliers de protection les plus efficaces contre les cyberattaques majeures. Aussi, selon le logiciel en question, il peut vous protéger contre les menaces et/ou vulnérabilités zero-day , qui pourraient conduire à d’autres attaques encore plus sévères. Dans de nombreux cas, cela ne prend que quelques minutes, vous devez donc mettre à jour le logiciel que vous utilisez chaque fois qu’une mise à niveau de sécurité ou un correctif est disponible.