Elle se manifeste le plus souvent sous la forme d’un courriel d’hameçonnage contenant une pièce jointe malveillante. Si l’on ouvre la pièce jointe par inadvertance, un programme va se loger discrètement sur l’ordinateur connecté et va s’employer à crypter tous les fichiers jusqu'à ce que l’utilisateur verse une rançon de 100 à 300€. Dans le cas d’entreprises, ESET en France a rencontré des demandes de rançon beaucoup plus élevées lorsque l’attaque ciblait un serveur. Dans ce cas, les sommes pouvaient atteindre jusqu’à 4000€. La demande de paiement s’effectue à travers une fenêtre qui s’affiche à l’écran, pour l’inciter à payer cette somme dans un délai de 72 ou 100 heures afin d’obtenir la clé de décryptage. Autrement, les fichiers sont inexploitables. Jusqu’à présent, les tentatives de déchiffrement de ces fichiers par l’attaque par force brute ont échouées et certains experts suggèrent même de payer la rançon si le fichier est jugé d’importance critique. Bien entendu, les organismes officiels, tels que l’Agence nationale de la sécurité des systèmes d’information –CERTA et la Sécurité publique du Canada recommandent vivement de ne pas payer de rançon.
Concernant l’attaque de serveurs d’entreprises, la pratique des hackers consiste à tenter de pénétrer ces machines via des accès externes (ouverts sur le WAN) avec des mots de passe faible (rapides à cracker avec des attaques par dictionnaire, par exemple). Après avoir trouvé le mot de passe, ils peuvent très facilement prendre la main sur le serveur afin de désactiver l’antivirus et lancer le malware qui va se charger de chiffrer tous les fichiers office stockés sur le serveur. D’où l’importance d’utiliser des mots de passe fort, voire de mettre en œuvre un système d’authentification multi-facteur.
Outre le cas typique de malwares véhiculés par des pièces jointes, comme Cryptolocker, les rançongiciels peuvent agir de différentes manières, notamment lorsqu’un utilisateur clique sur une fenêtre publicitaire qui le renvoie vers des fichiers exécutables malicieux. Cela se produit également lors de la visite de sites web infectés qui effectuent insidieusement le téléchargement de logiciels malveillants. Cryptolocker n'est pas la première menace de ce genre et ne sera certainement pas la dernière. A ce titre, l’un des laboratoires de recherche d’ESET implanté à Montréal, a récemment découvert un autre malware classé dans la catégorie des rançongiciels. Appelé Nymaim, ce logiciel malveillant se présente sous la forme d’un cheval de Troie téléchargeur avec des fonctionnalités de rançongiciels. Le malware est diffusé à travers un kit d’exploit Darkleech, un logiciel qui infecte les serveurs Web et peut rediriger les utilisateurs vers le fameux "Blackhole exploit kit". Darkleech a déjà contaminé de nombreux sites Web reconnus, semant le trouble chez de nombreux utilisateurs naviguant sur leurs sites Web favoris. Au cours de leurs investigations, les chercheurs d’ESET ont pu observer plusieurs variantes de lockscreen à travers le monde avec des versions personnalisées pour l’Europe et les Etats-Unis.
A l’évidence, les entreprises ou les particuliers qui procèdent à des sauvegardes régulières de leurs disques, seront épargnés face à ce genre d’arnaques. Même si le logiciel malveillant réside sur un ordinateur, il sera facile de restaurer l’image du fichier sauvegardé à un moment donné lorsque la machine sera correctement nettoyée.
En effectuant des sauvegardes incrémentales régulières, l’utilisateur ou l’entreprise dispose alors d’un excellent moyen de se prémunir contre ce genre d’attaques, en plus des risques liés aux incidents techniques et aux erreurs de manipulation.
L’antivirus : une condition nécessaire mais non suffisante.
Certes, les logiciels antivirus, tels que ceux de la marque ESET peuvent agir efficacement pour lutter contre ce type de menaces afin d’éviter que le malware puisse s’installer sur les postes de travail. Dans l’exemple de Cryptolocker et de Nymaim, les solutions ESET ont permis d’avertir l’utilisateur du danger. Cependant, ils ne peuvent empêcher le téléchargement du fichier, si l’utilisateur persiste à le faire, malgré le message d’alerte du logiciel antivirus. Il est donc nécessaire de prendre une série de précautions pour éviter le pire. Il est tout d’abord indispensable de veiller à mettre systématiquement à jour tous les logiciels installés sur sa machine, aussi bien les navigateurs, les outils Adobe, que le système d’exploitation (Windows ou Mac) et bien sûr l’antivirus. Il est également recommandé de ne pas cliquer sur des liens provenant de mails de sources inconnues. Il en va de même pour le téléchargement de logiciels issus de sites non reconnus. En outre, il est important de ne pas cliquer dans une fenêtre contextuelle qui prétend que l’ordinateur est infecté par un virus. Et enfin, il est essentiel de sauvegarder régulièrement ses données sur un autre équipement (disque dur externe USB, disque en réseau local ou équipement distant).
La sauvegarde : le complément indispensable.
Dans le cas de logiciels malveillants comme Cryptolocker, le préjudice subi est comparable à la perte de données dues à une défaillance matérielle (panne de disque dur) ou à une erreur de manipulation (effacement involontaire de données par exemple). Une solution de sauvegarde des données doit donc être envisagée. Selon le guide d’hygiène informatique publié par l’ANSSI, la mise en place d’un Plan de Continuité ou d’un Plan de Reprise d’Activité (PCA/PRA) est recommandée pour les entreprises. En effet, si la sauvegarde de fichiers sur un autre support d’enregistrement est suffisante lors de la perte d’un ou plusieurs fichiers, la restauration complète d'un système d’information (système d’exploitation des serveurs, pilotes associés au matériel, applications, configurations spécifiques…) suite à une défaillance plus large, suppose l’emploi de technologies capables de récupérer l’ensemble des données.
Avec la solution ShadowProtect par exemple, il est facile de retrouver un fichier recopié à un moment donné à partir des sauvegardes incrémentielles effectuées par exemple toutes les quinze minutes (selon la fréquence des planifications des sauvegardes incrémentielles), de sorte que l’utilisateur puisse récupérer la copie du fichier juste avant l’infection de l’équipement par l’attaque malveillante.
Conclusion
Selon l’organisme de sécurité publique du Canada, les rançongiciels, tels que Cryptolocker ou Nymaim, extorquent chaque année des millions d’Euros à leurs victimes. Or, les moyens de se protéger existent. En associant logiciels antivirus et solutions de sauvegarde, l’utilisateur limite considérablement le risque sachant que la technologie à elle seule ne protège pas de la négligence. Quant aux entreprises confrontées à ce type d’attaques sur leurs serveurs de fichiers, il est recommandé d’employer une solution, telle que ESET Secure Authentication permettant l’authentification à deux facteurs avec mot de passe à usage unique (2FA-OTP) lors de la connexion aux réseaux d'entreprise à travers le téléphone mobile des utilisateurs.
Auteur : Benjamin Malizia, Directeur technique d’Athena Global Services.
Voir l'ensemble des solutions pour les risques informatiques proposés par inforisque.fr.
Continuer avec Linkedin