Sécurité

Voici comment Ransomware a évolué depuis sa création

Il n’a pas fallu longtemps pour voir que le ransomware est l’une des attaques «maîtresses» de la cybercriminalité. Il se caractérise par son extrême efficacité et est une machine à gagner de l’argent. En un seul événement, il est capable de récolter des milliards d’euros auprès de victimes innocentes. Ces personnes pensent qu’en payant la rançon, elles  récupéreront leurs fichiers. Malheureusement, ce n’est pas le cas dans la grande majorité des cas. Dans cet article, nous allons partager tout ce que vous devez savoir sur l’évolution de cette attaque à ce jour.

Avant de commencer à expliquer l’histoire et l’évolution du ransomware, nous allons vous rappeler en quoi il consiste.

Il s’agit d’une attaque qui provoque le cryptage ou le cryptage de tout ou partie de vos fichiers qui se trouvent sur votre ordinateur. Le signal principal qui nous fait comprendre que nous avons été victimes de cette attaque est qu’une fenêtre pop-up comme celle-ci apparaît :

Tout le contenu de cette fenêtre contextuelle a été conçu et créé pour exaspérer la victime. La capture que nous voyons à titre d’exemple correspond à l’une des plus grandes attaques de ransomware de l’histoire : WannaCrypt / WannaCry . Il contient des informations telles que ce qui est arrivé à votre ordinateur, s’il est possible de récupérer les fichiers qui ont été cryptés et même comment effectuer le paiement.

Dans certains cas comme celui-ci, vous voyez combien de temps la victime aurait pour effectuer le paiement avant que les fichiers ne soient définitivement perdus. Alors aussi, combien de temps avant que l’argent de la «rançon» de la rançon n’augmente. Un détail très important, et que nous ne nous lasserons pas de répéter, est que vous ne devez pas payer la prétendue rançon de vos fichiers. Même s’ils vous donnent une «preuve de vie» à partir de vos fichiers, vous ne devriez pas le faire. La seule chose que vous obtiendrez, c’est qu’ils feront de vous une victime une autre fois.

Histoire des ransomwares

La fin des années 1980, en particulier 1989, a vu ce qui est considéré comme le premier ransomware. C’était un programme aux caractéristiques assez primitives qui était distribué par malveillance au moyen des anciennes disquettes . Sa première apparition a entraîné une vague de menaces d’extorsion au début des années 2000. Cependant, il n’a pas attiré l’attention du grand public avant l’apparition de CryptoLocker en 2013.

Les ransomwares sont si rentables qu’ils sont devenus une entreprise rentable et se développent de plus en plus dans le monde de la cybercriminalité. Un autre ransomware extrêmement populaire et dangereux s’appelle Sodinokibi . Il peut être si dangereux et astucieux qu’il a obtenu il y a quelques mois une amélioration qui le rend difficile à détecter : le paiement via des crypto-monnaies qui ne laissent pratiquement aucune trace de vos transactions.

Bitcoin est la crypto-monnaie que les ransomwares sont habitués à accepter. Cependant, Sodinokibi a pris la décision de déménager à Monero. Ce dernier ne permet d’avoir aucune trace des transactions effectuées. Il est donc pratiquement inutile d’essayer de suivre les paiements de rançon.

Chevaux de Troie sur le Web et cryptage de fichiers

Entre 2012 et 2013, un prédécesseur du ransomware se cachait. Il s’agissait d’un virus cheval de Troie qui bloquait votre navigateur et même tout l’écran de votre ordinateur. Ce qui s’est passé, c’est que vous avez vu un message avec le format approprié pour attirer votre attention. Le message qui pouvait être lu était une accusation présumée de crimes tels que le piratage, la pornographie enfantine et d’autres actes illégaux.

Si la victime potentielle en vient à croire le message, vous pouvez lire ci-dessous quelques instructions sur la façon d’effectuer un paiement en échange de ne pas être signalé à la police et d’être traduit en justice. À cette époque, les modes de paiement étaient divers services de dépôt par carte.

Les auteurs de ce cheval de Troie ont réussi à récolter des millions de dollars grâce aux milliers de victimes qui tombaient quotidiennement. Cependant, il était assez facile à enlever. Il vous suffit de restaurer votre système d’exploitation à un point antérieur avant l’infection ou de restaurer le navigateur Web.

À partir de 2013, le cryptage des fichiers a commencé à prendre de l’importance. CryptoLocker est l’un des pionniers du ransomware et il est apparu spécifiquement au mois de septembre de l’année mentionnée. Les fichiers ont été cryptés sous des algorithmes de cryptage RSA 2048 bits robustes. La paire de clés publique-privée était pratiquement inaccessible puisqu’elle était stockée sur le serveur Command & Control qui gère le ransomware lui-même. Les victimes disposaient d’un délai supposé de trois jours pour payer la rançon avec des services de recharge en Bitcoin ou par carte prépayée.

Une preuve de leur rentabilité qui nécessite le paiement entre 100 et 600 dollars, quel que soit le mode de paiement. Ce ransomware populaire provient d’un botnet appelé Gameover ZeuS , qui a fait sa première apparition en 2011. Son objectif initial était de voler les identifiants d’accès aux comptes bancaires. Le succès, disons, de ce type d’attaque a conduit à l’émergence de plusieurs successeurs qui ont eu autant de succès que l’original. Certains d’entre eux sont PClock, CryptoLocker 2.0 et TorrentLocker.

RaaS : ransomware en tant que service

Les années 2000 sont caractérisées par diverses situations et faits curieux, l’un d’eux est Anything-as-a-Service, c’est-à-dire tout en tant que service. Software-as-a-Service, Infrastructure-as-a-Service ne sont que quelques exemples que tout peut être configuré pour devenir un service utilisable. L’inconvénient est que cela ne connaît presque pas de frontières et que les ransomwares ont gagné leur place dans ce domaine en 2015.

Le RaaS consistait en un modèle dans lequel différents groupes de cybercriminels distribuaient certains ransomwares. Les bénéfices ont ensuite été distribués entre ces mêmes groupes et les auteurs du ransomware. Ils ont même mis en place des panneaux avec des statistiques très détaillées qui ont permis de suivre le statut des victimes. Et si besoin était, ils pourraient personnaliser les codes et distribuer des ransomwares encore plus dangereux.

Au début de cet article, nous avions évoqué WannaCry . C’est précisément l’un des ransomwares apparus entre 2015 et 2018, où le RaaS a pris de l’importance. À ce jour, il reste dans les mémoires comme l’une des attaques les plus dévastatrices et l’une des plus dommageables financièrement pour ses milliards de victimes. Un fait intéressant est que ce ransomware, ainsi qu’un autre très populaire appelé NotPetya, a connu un grand succès en raison de la mise en œuvre d’exploits déjà identifiés par la National Security Agency des États-Unis, mais qui n’ont pas été officiellement publiés pour correction. Par conséquent, presque personne n’allait pouvoir empêcher cette attaque alors en quelques jours elle a réussi à faire des ravages. On dit que WannaCry et NotPetya ont été créés par des cybercriminels qui disposaient de fonds et du soutien des autorités gouvernementales.

L’actualité de cette attaque se caractérise par des stratégies complètement renouvelées. Les cibles ne sont plus axées sur des groupes d’utilisateurs individuels, mais plutôt sur des groupes d’utilisateurs en réseau trouvés dans les organisations. Parce que? Parce qu’au fil des ans, des facteurs tels que les meilleures pratiques de sensibilisation à la sécurité et la flambée du prix du Bitcoin ont entraîné le déclin des ransomwares tels que nous les connaissons généralement.

Aujourd’hui, il s’agit de profiter des vulnérabilités des réseaux pour y accéder et même de générer des backdoors pour avoir un contrôle quasi complet des réseaux victimes. Un autre détail à considérer est qu’attaquer uniquement une organisation d’un certain calibre et d’une certaine réputation peut facilement générer des milliers de dollars de dommages qui se traduisent par des profits pour les cybercriminels.

Et maintenant, que devons-nous faire pour nous protéger ?

Il n’y a pas de nouvelles à ce sujet. Nous devons continuer avec les mêmes pratiques que toujours. En ce sens, il n’y a pas beaucoup de secrets. Cependant, les spécialistes de l’informatique et de la sécurité de l’information doivent avoir une préparation, une connaissance et une attention suffisantes aux tendances de ce type d’attaque. Il est extrêmement important que les organisations accordent une importance particulière à la sécurité de leurs systèmes réseau. Si cela ne se produit pas, il pourrait y avoir des cas de vol de données ou pire, des fuites de données qui pourraient déclencher de nombreuses autres attaques.

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba