Que devez-vous savoir sur les ransomwares et l’effacement ?

La question est de savoir qui doit savoir quoi sur les ransomwares et l’effacement des données ? Les deux crimes sont liés, mais leur objectif est clairement différent. Le but de l’apprentissage de ce type de crimes est de pouvoir s’armer contre eux.

Ce qu’il faut savoir sur les rançongiciels se situe à trois niveaux : Ces choses que tout le monde doit savoir.Ces choses que les décideurs et le conseil d’administration doivent savoir.Ces choses que le RSSI et le CRO doivent savoir.

Dans cet article, je donne mon propre avis, pas celui d’une organisation

Ransomware et Wiping (l’effacement, l’essuyage), en bref.

Un rançongiciel est un type de logiciel malveillant conçu pour bloquer l’accès à un système informatique ou à des fichiers jusqu’à ce que la victime paie une rançon, souvent en crypto-monnaie.

L’effacement fait généralement référence à la suppression complète des données d’un périphérique de stockage numérique. Le but n’est alors rien d’autre que de causer du tort. Pour une raison quelconque.

Qu’est-ce qu’un ransomware ? Quelle est la différence avec l’essuyage ?

Les rançongiciels fonctionnent généralement en cryptant les fichiers, les rendant ainsi inaccessibles. La victime est ainsi obligée d’« acheter » une clé de déchiffrement. Les rançongiciels peuvent être diffusés de différentes manières :

• Cela peut se faire par le biais d’e-mails infectés contenant une pièce jointe ou un lien contenant un rançongiciel.
• Il peut passer par des sites Web dangereux où les criminels téléchargent automatiquement le ransomware sur votre ordinateur.
• Cela peut également être dû à un logiciel infecté que vous téléchargez à partir d’une source non fiable.
• Enfin, cela peut se faire en exploitant les vulnérabilités des logiciels ou des systèmes d’exploitation.

L’effacement ne vous permet pas de récupérer les données à l’aide des méthodes de récupération de fichiers standard. Ce processus est souvent utilisé dans les pratiques de sécurité des données, par exemple lors de la mise hors service d’anciens ordinateurs ou d’appareils mobiles. L’objectif est d’éviter les violations de données. Mais elle peut aussi être criminelle. L’objectif est alors de causer du tort.

Dans les deux cas, l’attaque entraîne normalement des pertes financières, des violations de données et des perturbations opérationnelles.

Quelle est la différence ?

La différence entre un ransomware et l’effacement est la suivante : le ransomware est destiné à faire des demandes de rançon. On pourrait être en mesure de restaurer les fichiers si l’on « achète » la clé de déchiffrement. Ou on peut restaurer une sauvegarde. L’effacement est destiné à détruire des données. Les fichiers supprimés ne peuvent être restaurés que partiellement par une sauvegarde appropriée. Un « essuie-glace » n’exige pas de rançon.

Un exemple bien connu de ransomware est WannaCry.

Il s’agit d’une attaque de ransomware tristement célèbre qui a eu lieu en mai 2017. Il a affecté des centaines de milliers d’ordinateurs dans le monde, y compris les systèmes des hôpitaux, des agences gouvernementales et des entreprises. Selon Datanews , l’exploit utilisé par Wannacry, Eternalblue SMB, était l’un des outils divulgués en avril 2017 par le groupe de pirates TheShadowBrokers. Ils les ont capturés aux mains du service de renseignement américain NSA.

Un exemple très récent de ransomware est Sodinokibi (également connu sous le nom de REvil).

Avast Business écrit : « Sodinokibi (également connu sous le nom de REvil ou Ransomware Evil) est apparu pour la première fois en 2019 et a été développé – vraisemblablement en Russie – en tant qu’action privée RaaS (Ransomware-as-a-Service). Dès le départ, l’ampleur et l’efficacité de Sodinokibi sont devenues évidentes, car il s’agissait déjà du quatrième type de ransomware le plus courant au cours des quatre premiers mois de son existence.

Qu’est-ce qu’un KRI pour les rançongiciels ?

Des exemples de KRI, selon PWC, pour surveiller le risque de ransomware comprennent

• le nombre, la fréquence et la gravité des événements d’hameçonnage,
• le nombre de points critiques en suspens,
• problèmes de sécurité des e-mails ou
• fuite d’informations d’identification.

D’autres indicateurs de comportement suspect pointant vers un ransomware sont donnés dans l’article « What Decision-Makers Need to Know About Ransomware Risk : Data Science Applied to Ransomware Ecosystem Analysis » par Vladimir Kropotov, Bakuei Matsukawa, Robert McArdle, Fyodor Yarochkin, Shingo Matsugaya (Trend Micro), Erin Burns, Eireann Leverett (Waratah Analytics) :

« Un comportement similaire à celui d’un ransomware peut faire l’objet d’un profilage et être déployé sous forme de règles d’alerte pour informer les défenseurs lorsqu’un tel comportement est détecté dans le réseau d’une organisation. Voici quelques indicateurs possibles d’un tel comportement :

• Créer des profils de modèles de chiffrement, d’algorithmes et de longueurs de clé considérés comme normaux sur le réseau du défenseur. Toute valeur aberrante peut être suspectée d’être un indicateur de ransomware.
• Détection du chiffrement partiel des fichiers. Il est utilisé par plusieurs familles de rançongiciels, dont LockBit et BlackCat, dans le cadre de leur processus d’optimisation de la vitesse. Pour la grande majorité des entreprises, cela n’a presque pas de cas d’utilisation légitime en dehors de ce contexte.
• Détection d’un ratio lecture-écriture de 50/50 lorsque les fichiers sont chiffrés sur l’hôte. Il peut s’agir d’un écart par rapport au comportement normal de l’hôte, sauf très probablement dans certains scénarios de sauvegarde locale.
• Création de profils de connectivité interhôtes qui peuvent être suivis par heure de la journée et par jour de la semaine. Les hôtes qui ont des rôles spécifiques dans une organisation doivent avoir des pairs de communication, des horaires, des connexions et un volume de données transférés spécifiques. Les défenseurs peuvent être alertés en cas d’anomalies en dehors de ces profils.

Que doivent savoir les décideurs sur les ransomwares ?

Les décideurs doivent comprendre certaines choses sur les rançongiciels afin de se protéger et d’y répondre efficacement :

• Comment fonctionne le ransomware : Il est crucial de savoir qu’il crypte les fichiers sur un ordinateur, puis le criminel demande une rançon à l’auteur pour rendre le cryptage.
• Comment il se propage par le biais, par exemple, de pièces jointes à des e-mails, de sites Web malveillants ou d’autres vulnérabilités dans les systèmes.
• Quel est l’impact potentiel : perte de données, pertes financières, temps d’arrêt opérationnel et atteinte à la réputation.
• Que des mesures préventives sont possibles : telles que des mises à jour logicielles régulières, l’utilisation de programmes antivirus et de pare-feu, la formation des employés à l’hameçonnage, la sauvegarde régulière des données et la pratique des sauvegardes.
• Qu’un plan de réponse aux attaques par rançongiciel est nécessaire : y compris l’isolement des systèmes infectés, le signalement de l’incident aux autorités et l’analyse médico-légale de l’événement pour déterminer la gravité de la situation.
• L’existence de problèmes juridiques et de conformité : il existe des implications juridiques, notamment des obligations potentielles de signaler les violations de données et les exigences du RGPD si la vie privée a pu être violée avant le chiffrement.
• Le paiement d’une rançon n’est qu’une option occasionnelle : il n’est souvent pas recommandé car il ne garantit pas une récupération (complète).
• Que la coopération et le partage d’informations sur l’attaque avec d’autres organisations du même secteur et d’autres secteurs et avec des agences gouvernementales contribuent à une meilleure compréhension de celle-ci et aux efforts visant à prévenir d’autres dommages.

Dans l’article de Trend Micro sur celui de Vladimir Kropotov, Bakuei Matsukawa, Robert McArdle, Fyodor Yarochkin, Shingo Matsugaya (Trend Micro), Erin Burns, Eireann Leverett (Waratah Analytics), on trouve également :

• Les victimes qui paient couvrent les coûts opérationnels des attaques contre celles qui ne paient pas.
• Le risque de ransomware varie selon la région, le secteur d’activité et la taille de l’organisation.
• La plupart des victimes de ransomware ne paient pas, mais celles qui le font paient rapidement.
• Les challengers visent les premières places dans l’arène des ransomwares.
• Atténuez les attaques par ransomware grâce à une approche Zero Trust.

Qui est à l’origine des attaques par ransomware ? Et qui se cache derrière les attaques d’effacement ?

Qui se cache derrière les attaques par ransomware ?

Il existe plusieurs profils de criminels qui commettent ces attaques :

• Les groupes cybercriminels sont des groupes organisés qui distribuent des rançongiciels à des fins lucratives.
• Les pirates peuvent créer leurs propres logiciels malveillants ou utiliser des kits de rançongiciels existants disponibles en ligne sur le dark web.
• Les acteurs soutenus par l’État mènent des attaques par rançongiciel dans le cadre de sabotages ou à des fins géopolitiques. C’est très difficile à démontrer.

Qui se cache derrière les attaques d’effacement ?

Il existe également plusieurs profils de ceux-ci :

• Les pirates informatiques d’État mènent des attaques d’effacement dans le cadre de l’espionnage, du sabotage ou de la cyberguerre. Ces attaques visent parfois à détruire les données et l’infrastructure de l’ennemi ou servent des objectifs politiques ou militaires.
• Les hacktivistes sont des individus ou des groupes qui piratent et mènent des cyberattaques à des fins de protestation politique ou d’activisme. Ils peuvent agir contre certaines organisations, certains gouvernements ou certaines politiques.
• Parfois, des acteurs internes commettent des attaques d’effacement pour se venger d’une organisation.

Pourquoi les rançongiciels sont-ils si populaires auprès des cybercriminels ?

Il existe un certain nombre de facteurs critiques de succès des rançongiciels qui sont à l’origine de l’utilisation de plus en plus fréquente de ce crime :

• Les rançongiciels peuvent être extrêmement rentables. De plus, l’utilisation de crypto-monnaies telles que Bitcoin rend le paiement de la rançon relativement anonyme et difficile à tracer.
• Il existe des kits de ransomware prêts à l’emploi disponibles sur le dark web. Pour cette raison, même les pirates les moins expérimentés sont en mesure de mener des attaques de ransomware lucratives.
• Les cibles sont très diverses. Pratiquement tous les types de cibles sont possibles, y compris les particuliers, les petites entreprises, les grandes entreprises, les agences gouvernementales et les infrastructures critiques.
• Le phénomène se caractérise par des méthodes de distribution très efficaces, notamment des e-mails de phishing, des sites Web malveillants, des kits d’exploitation et des vulnérabilités logicielles. Cela signifie relativement peu d’efforts avec beaucoup de résultats.
• Cela provoque de l’anxiété et de l’urgence, surtout si les données critiques de l’entreprise sont chiffrées. Cela conduit à un paiement impulsif de la rançon sans envisager de solutions alternatives.
• Le logiciel malveillant est difficile à détecter et à supprimer en raison de l’utilisation d’algorithmes de cryptage avancés. Cela augmente la probabilité que les victimes paient.

Enfin, que pouvez-vous faire de manière préventive contre les ransomwares et l’effacement ?

• Faites des sauvegardes systématiquement.
• Utilisez un logiciel antivirus et anti-malware de qualité.
• Soyez prudent avec les liens que vous ouvrez et les logiciels et données que vous téléchargez. Ne le faites qu’à partir de sources fiables.
• Installez les correctifs de sécurité de votre logiciel contre les vulnérabilités connues.
• Sensibilisez les employés aux tactiques d’hameçonnage et encouragez-les à se comporter avec prudence en ligne.