Ces logiciels malveillants ciblent des entreprises de divers secteurs, bloquant l’accès à leurs données jusqu’au paiement d’une rançon. Alors que les médias s’intéressent principalement aux effets néfastes des ransomwares sur les grosses sociétés, ceux-ci nuisent également de façon grave aux PME.

En fait, c'est quoi un ransomware ?

En fait, c'est quoi un ransomware ?

Un ransomware est un sous-type de logiciel malveillant chiffrant et bloquant les données jusqu’au paiement d’une rançon, donnant accès à la clé de chiffrement.

Les « logiciels malveillants » visent à accéder aux ordinateurs, appareils et données et à les endommager. Le terme « logiciel malveillant » peut être utilisé pour décrire plusieurs menaces informatiques, dont les suivantes :

Virus informatiques
• Worms
• Logiciels espions
• Chevaux de Troie
• Adwares
• Keyloggers

Les ransomwares sont les logiciels malveillants les plus dangereux pour les entreprises.

Dans une récente enquête de Dark Reading, près de 23 % des personnes interrogées ont admis que leur société a fait l’objet d’une attaque ou menace d’attaque de ransomware ayant entraîné des conséquences financières pour leur organisation.

Et la situation empire ...

LES CONSÉQUENCES D’UNE ATTAQUE RÉUSSIE PEUVENT ÊTRE DRAMATIQUES.

Outre l’impact financier lié au règlement de la rançon, les sociétés attaquées peuvent connaître des pertes de données, des risques en matière de conformité, des pertes de clients, une publicité défavorable et des arrêts opérationnels importants. Le paiement de la rançon ne garantit même pas la récupération des fichiers.

Une fois que les hackeurs ont pénétré à l’intérieur de l’infrastructure d’une société, ils peuvent causer des dommages irréversibles en volant la propriété intellectuelle, les bases de données de clients et les fichiers sensibles et en les bloquant contre une rançon. En outre, les cybercriminels chevronnés sont généralement capables d’effacer leurs traces et d’obtenir ainsi plusieurs centaines de milliers de dollars de rançon avec très peu de chance d’être arrêté un jour.


Sécurisez vos e-mails et reprenez le pouvoir

Découvrez notre service de protection des e-mails



Quelles sont les conséquences d’une attaque de ransomware ?

Résultats d’une étude conduite par le Ponemon Institut en mars 2017.
Les participants étaient autorisés à apporter deux réponses à cette question.

33%

Nous avons dû investir dans de nouvelles technologies de sécurité informatique

32%

Perte d'argent due au temps d'arrêt

32%

Perte de clients

24%

Notre réputation a été diminuée

23%

Perte de données clients et d'informations personnelles

22%

Nous avons dû remplacer nos équipements informatiques

16%

Pas de conséquences

15%

Nous avons dû reporter les plans d'expansion de notre entreprise

LA MOTIVATION EST PÉCUNIAIRE

Selon le rapport de 2017 de Verizon sur les violations de données, 93% des violations de données sont motivées par le gain pécuniaire ou l’espionnage. Outre l’argent des rançons, les hackeurs peuvent également vendre des informations confidentielles sur le dark web et réaliser ainsi d’énormes profits.

En 2016, la cybercriminalité a réussi à extorquer un milliard de dollars aux sociétés dans le monde.

Par ailleurs, comme nous l’ont appris les élections américaines de 2016, certains hackeurs, notamment ceux payés par des officines soutenues par le gouvernement, sont motivés par des raisons idéologiques ou politiques.

Le rapport de 2016 sur la cybercriminalité de Cybersecurity Ventures prévoit que le coût annuel de la cybercriminalité au niveau mondial atteindra les 6000 milliards de dollars annuels en 2021.

 

COMMENT FONCTIONNENT LES RANSOMWARE ?

Comme cela a été indiqué, les ransomwares s’infiltrent dans un ordinateur ou un autre appareil pour accéder à ses fichiers avant de les chiffrer et de les bloquer jusqu’à ce que la victime paye une rançon. Certains ransomwares bloqueront automatiquement le processus de sauvegarde avant que le chiffrement ne commence, mettant dès lors en danger certaines données. Parfois, les hackeurs menacent de divulguer des données sensibles afin de pousser les victimes à payer. Bien que les ransomwares se propagent de différentes façons, les e-mails sont de loin la méthode la plus employée avec environ 91 % des logiciels malveillants actuellement envoyés par ce moyen. Le ransomware est généralement envoyé sous l’apparence d’une banale pièce jointe ou d’un lien vers une page internet piégée.

POURQUOI LES RANSOMWARES SONT-ILS DEVENUS UN PROBLÈME SI IMPORTANT ?

Chaque jour, de nouvelles familles de ransomwares, ainsi que des variantes mineures de celles-ci apparaissent. Les familles sont de nouvelles versions importantes de ces logiciels malveillants, tandis que les variantes n’incluent en règle générale que quelques changements. Toutefois, les nouvelles familles et les nouvelles variantes peuvent, dans la plupart des cas, passer outre la majorité des systèmes de sécurité des services de messagerie. Les systèmes de sécurité des services de messagerie traditionnels ne peuvent pas bloquer les nouvelles souches de logiciels malveillants avant que les chercheurs en sécurité ne les identifient et ne mettent en ligne les nouvelles signatures sur une liste noire utilisée par les fournisseurs desdits systèmes. Bien que ces listes noires soient d’une taille considérable, il existe toujours un délai (parfois assez long) avant l’inscription d’une nouvelle variante ou famille de ransomwares sur la liste et la large diffusion de celle-ci.

L’une des raisons pour lesquelles les ransomwares se trouvent de plus en plus souvent à la une des grands médias est la capacité des hackeurs à créer un nombre croissant de nouvelles familles de ransonwares et de nouvelles variantes des familles existantes. En outre, le nombre de ransomwares transmis augmente chaque jour. Selon des chercheurs d’IBM, le volume total de ransomwares transmis par e-mail a augmenté de 6 000 % entre 2016 et 2017.


RANSOMWARES POLYMORPHES ET MÉTAMORPHIQUES


Le nombre de variantes de ransomwares a explosé du fait de l’évolution des logiciels malveillants métamorphiques et polymorphes. Ces logiciels ingénieux évoluent de manière autonome, produisant un flux constant de nouvelles variantes de ransomwares. Chaque nouvelle variante peut déjouer les systèmes de sécurité standard des services de messagerie pendant une courte période de temps, en tirant parti du délai précédant leur mise sur liste noire.

Les logiciels malveillants polymorphes se composent de deux composants logiciels. L’un des deux composants reste le même tandis que l’autre change légèrement, compressant son code ou recourant au chiffrement pour tromper les systèmes de défense.

Les logiciels malveillants métamorphiques réécrivent complètement leur code à chaque itération à l’aide du changement de nom du registre, de la permutation,  de l’expansion ou de la réduction du code ou encore grâce des techniques d’insertion de code pourri. Dans la mesure où chaque variante est complètement nouvelle, ces logiciels métamorphiques sont encore plus difficiles à détecter, mettre en quarantaine et éliminer, que leurs semblables polymorphes. Plus le logiciel malveillant reste sur un appareil, plus il produit de variantes, chacune gagnant en complexité.


Les ransomwares polymorphes changent parfois à chaque destinataire. Par conséquent, les utilisateurs font parfois face non pas à des attaques zero day, mais bien plutôt zero second !


LA MONTÉE DES ATTAQUES ZERO DAY !

Outre les ransomwares, les systèmes de sécurité standards des services de messagerie sont également inefficaces contre les attaques « zero day ». Les attaques zero day exploitent les failles logicielles ou les vulnérabilités de sécurité des systèmes d’exploitation ou des applications que les hackeurs trouvent avant que les fabricants n’aient l’occasion de les corriger. Ces failles peuvent être exploitées pendant plusieurs jours ou même plusieurs années avant d’être découvertes et corrigées. À l’instar d’une nouvelle famille de logiciels malveillants, ces attaques zero day sont difficiles voire impossibles à arrêter pour les systèmes fondés sur les signatures, avant leur inscription sur une liste noire.


COMMENT LES RANSOMWARES SONT DÉLIVRÉS ?

Votre ransomware vous sera envoyé par e-mail

Des recherches d’IBM révèlent que 59 % des attaques de ransomware commencent avec un phishing par e-mail et que 91 % des logiciels malveillants sont transmis par e-mail, un chiffre record.


LE PHISHING, C'EST QUOI EXACTEMENT ?

Les attaques par phishing consistent en la diffusion massive d’e-mails essayant de convaincre le destinataire de divulguer ses informations personnelles ou de cliquer sur un lien menant vers un logiciel malveillant. Dans la mesure où ces demandes apparaissent souvent comme réelles, employant des logos de sociétés connues ou des imitations astucieuses de pages web, les destinataires se laissent régulièrement convaincre.



Apprenez à détecter un e-mail de phishing !

Par exemple, Jeanne reçoit un e-mail générique qui paraît être une demande de sa banque de vérifier les informations relatives à son compte afin de prévenir sa fermeture. Alarmée par cet avertissement, Jeanne ouvre la pièce jointe qui semble être un PDF légitime. Il s’agit en fait d’une application piégée, qui télécharge subrepticement d’autres logiciels malveillants, qui commencent à chiffrer son disque dur local, les autres disques du réseau et enfin les serveurs primaires de son employeur.

 1  Émetteur suspect

Même si l’e-mail paraît provenir d’une société respectable, rien ne prouve que c’est le cas. Les cybercriminels peuvent élaborer leurs e-mails de manière à ce qu’ils aient l’air d’émaner d’une personne ou d’une société spécifique, alors qu’ils sont envoyés à partir d’une source différente.

 2  Objet

Un langage menaçant ou attrayant est généralement utilisé de façon à encourager le destinataire à agir rapidement. Dans les attaques par phishing, susciter une impression d’urgence, la peur, la curiosité ou la cupidité est une tactique habituelle.

 3  Formule de politesse générique

Les e-mails avec des formules de politesse génériques ou n’indiquant en aucune façon que l’e-mail est destiné à une personne en particulier doivent être considérés comme suspects. Les personnes se livrant au phishing envoient des quantités massives d’e-mails afin d’essayer de rassembler autant d’informations personnelles que possible.

 4  Erreurs et fautes d'orthographes

Lisez l’e-mail avec attention. Les erreurs importantes de style ou d’orthographe et de grammaire doivent vous alerter, notamment si l’e-mail est supposé provenir d’une société réputée. De nombreuses attaques de phishing sont lancées depuis d’autres pays. Dès lors, les e-mails sont souvent écrits par des personnes dont le Français n’est pas la langue maternelle. À l’inverse, la plupart des sociétés relisent avec soin leurs écrits.


 5  Les liens

Avant de cliquer sur tout lien, assurez-vous de poser le pointeur de votre souris dessus. Une bulle apparaitra et vous indiquera l’URL véritable à laquelle mène le lien. Si cette destination n’est pas le site auquel vous vous attendiez, il s’agit probablement d’une tentative de phishing. Montrez-vous particulièrement attentif vis-à-vis de la partie centrale de l’URL. Il doit s’agir du site attendu.

 http://ignorezça.URL_IMPORTANTE.com/pas important  


 6  La tonalité employée

Méfiez-vous des e-mails indiquant un délai spécifique dans lequel une action immédiate doit être prise. Cette technique est souvent utilisée pour pousser les personnes à divulguer leurs informations personnelles par crainte des répercussions.


 7  Les images utilisées

Rappelez-vous, ce n’est pas parce que les logos et images d’une marque paraissent réels qu’ils sont officiels. Les cybercriminels peuvent facilement imiter ces images afin de convaincre les victimes de phishing que l’e-mail est authentique.


Apprenez à détecter un e-mail de phishing !

Comment signaler une tentative de phishing ?

Vous avez repéré un e-mail de phishing, que faire à présent ? Veuillez toujours contacter votre service informatique en interne immédiatement ; ils sauront comment traiter la tentative en toute sécurité.

Vous avez des doutes concernant un lien ? ISITPHISHING.ORG est une page web sécurisée sur laquelle vous trouverez un moteur de recherche capable de déterminer si le lien fourni provient d’un site légitime ou constitue une tentative de phishing.

LE SPEAR PHISHING

LE SPEAR PHISHING, c'est quoi ?Alors que les tentatives de phishing reposent sur l’envoi de plusieurs centaines voire milliers d’e-mails, le spear phishing cible des personnes spécifiques. Les attaques réussies utilisent des messages malveillants extrêmement personnalisés qui semblent généralement provenir d’émetteurs de confiance, tels que de son propre patron, des clients, des partenaires ou des cadres supérieurs.

La personnalisation astucieuse des e-mails de spear phishing augmente les chances que les destinataires les ouvrent et agissent conformément à leur contenu. Les cybercriminels peuvent même parfois dialoguer avec les victimes, afin de gagner leur confiance, avant de demander des informations ou d’envoyer un malware. Ces tactiques permettent souvent aux ransomwares de passer outre les moyens de protection traditionnels des services de messagerie.
Exemple, dans le cas d’un spear phishing, Jeanne reçoit un e-mail davantage personnalisé, paraissant provenir de son patron. Un dialogue peut même d’abord s’établir entre elle et son patron, afin de mettre en place une relation de confiance, avant que le hackeur ne demande des informations sensibles relatives à des comptes, des virements monétaires pour payer des « fournisseurs » ou que Jeanne examine ce qui paraît être un tableur ordinaire. Malheureusement, vous avez deviné la véritable nature de ce tableur : un ransomware qui désactive l’ensemble des ordinateurs de l’entreprise.
RANSOMWARE-AS-A-SERVICE (RAAS)

RANSOMWARE-AS-A-SERVICE (RAAS)

Le Ransomware-as-a-Service (RaaS) est une menace qui permet à tout un chacun de devenir un cybercriminel, même sans expérience ou connaissances préalables dans le domaine du codage. Les personnes peuvent acheter des packages RaaS sur le dark web et en personnaliser les fonctionnalités, les couleurs et le compte à rebours. Des packages de support sont même proposés ! Cela a réduit la difficulté de lancer de nouvelles attaques de ransomware de façon drastique.

Exemple d'e-mail avec pièce jointe malveillante utilisé par les hackeurs

Cet e-mail d’exemple de Bleeping Computer illustre l’une des nombreuses méthodes que les cybercriminels utilisent afin de pousser les utilisateurs de services de messagerie à ouvrir des pièces jointes malveillantes.

Exemple d'e-mail avec pièce jointe malveillante utilisé par les hackeurs

Célèbres types de ransomwares :


Locky : Ce logiciel malveillant en permanente évolution est transmis dans un fichier Word d’apparence légitime que l’émetteur fait passer pour une facture, un avis d’envoi ou un autre document commercial. Ce ransomware a recours à des macros intégrées qui poussent les utilisateurs à activer les paramètres de macro, lui permettant ainsi de télécharger automatiquement des fichiers et de chiffrer les données, à l’aide de l’extension « .locky ».

Jaff : Presque la copie parfaite de Locky, Jaff embarque un fichier .docm contenant des macros dans un PDF plutôt qu’un document Word. Reconçu spécifiquement pour échapper aux filtres, Jaff déjoue la plupart des systèmes de sécurité des services de messagerie car il ne dispose pas d’une signature de fichier précise, pouvant être mise sur liste noire.

WannaCry (anciennement connu sous le nom de Ransom.Cryptxxx) : Ce ransomware utilise des outils du cyberespionnage précédemment utilisés par la NSA, tirant parti d’une vulnérabilité de Microsoft. WannaCry se propage via un SMBv1 (server message block) qui permet aux utilisateurs de partager des ressources sur un réseau. Cela permet au logiciel malveillant de se diffuser rapidement dans le réseau d’une société. Depuis sa découverte, Wannacry a infecté des centaines de milliers d’ordinateurs dans environ 100 pays.

Cerber : Ce logiciel malveillant utilise le modèle ransomware-as-a-service et était habituellement transmis au moyen de liens infectés dans des e-mails de phishing. Aujourd’hui, il est envoyé de différentes manières et peut chiffrer des machines uniques, ainsi que des bases de données d’entreprise. Cerber cible les utilisateurs de Office365 et chiffre divers fichiers en utilisant l’extension « .cerber ».

Petya : Exploitant une vulnérabilité de Windows, ce ransomware polymorphe utilise trois méthodes de propagation : EnternalBlue (une exploitation de SMBv1), PsExec (un outil d’administration permettant l’exécution de commandes sur un système distant), et WMI (Windows Management Instrumentation – un autre outil de travail à distance).

Affichage verrouillé du ransomware WannaCry, une fois que les victimes ont été infectées.
Cette capture d’écran de Krebs on Security montre l’affichage verrouillé du ransomware WannaCry, une fois que les victimes ont été infectées.

LUTTER CONTRE LES RANSOMWARES

Alors que les nouvelles familles et variantes de logiciels malveillants augmentent de manière exponentielle, les systèmes de sécurité standard des services de messagerie sont de plus en plus dépassés. De nombreux fournisseurs avancent une efficacité à 99,9 % dans le blocage des ransomwares. Cela semble être, de prime abord, un bon résultat, avant de considérer que l’utilisateur moyen d’internet au travail reçoit 4 380 e-mails potentiellement malveillants par an. Avec un taux d’interception de 99,9 %, vos chances de passer à côté d’un e-mail malveillant sont extrêmement hautes même si vous n’avez que quelques employés. Avec plusieurs centaines d’employés, il est pratiquement certain que vous recevrez un e-mail malveillant ou deux (ou trois) chaque semaine. En outre, certaines tentatives de phishing et attaques zero day passeront outre les filtres jusqu’à leur mise sur liste noire.

La vérité, c’est qu’il n’est plus possible de compter sur les systèmes de protection standards des services de messagerie pour protéger votre société de ces menaces sophistiquées et en permanente évolution. Comme l’explique Gartner, « Il existe aujourd’hui des menaces sophistiquées, fondées et planifiées, qui ciblent les entreprises, passant outre les techniques de protection traditionnelles et qui résident, sans être détectées, pendant que l’exfiltration des données se produit ». Les systèmes de sécurité traditionnels des services de messagerie utilisent des outils comme l’analyse de la réputation de l’adresse IP et l’empreinte numérique pour déterminer si un e-mail est légitime ou non. Toutefois, ils n’analysent pas les éléments contextuels de l’e-mail, passant souvent à côté d’indices importants. De ce fait, les e-mails malveillants disposant d’un en-tête et d’un contenu non suspects ne sont pas détectés.


Au lieu de cela, les utilisateurs ont besoin d’une approche proactive pour la sécurité des e-mails, comme celle proposée par Vittoria Conseil avec  Vade Secure. À l’instar de l’approche traditionnelle, Vade Secure vérifie l’IP, l’en-tête et le contenu du mail, mais va plus loin et contrôle aussi les éléments contextuels, à l’aide de plus de 10 000 algorithmes heuristiques, fruits de plus de dix ans d’expérience. Par conséquent, les e-mails malveillants à l’en-tête et au contenu classiques, mais qui possèdent également des éléments contextuels suspects, sont bloqués dès la première attaque.

Voyons comment l’approche proactive de Vade Secure appliquée à la protection contre les ransomwares fonctionne comparée à une approche traditionnelle :

Pièces jointes de ransomware

L’approche traditionnelle


• L’outil de contrôle de la messagerie vérifie si l’empreinte de la pièce jointe correspond à des empreintes anciennes d’un fichier malveillant.

• La pièce jointe malveillante est ouverte dans une sandbox afin de prévenir la propagation, mais devient inactive lorsque la sandbox est détectée, pour éviter la détection

• Lorsque le ransomware a atteint la victime souhaitée, il exécute sa charge active une fois la pièce jointe ouverte.

Approche proactive


• Vade Secure examine le code sous-jacent de la pièce jointe afin de prédire son comportement avant de l’ouvrir

• Dans la mesure où la pièce jointe n’est pas placée dans une sandbox, mais qu’elle est analysée, elle ne peut se désactiver et éviter la détection.

• Les ransomwares cachés dans des pièces jointes sont détectés et immédiatement supprimés.

LES UTILISATEURS D’OFFICE 365 ONT BESOIN DE PLUS DE PROTECTION QUE LA SEULE EOP DE MICROSOFT

Les sociétés qui utilisent Office 365 et qui s’appuient sur Microsoft Exchange Online Protection (EOP) pour la sécurité de leurs e-mails restent vulnérables à tout type d’attaques informatiques, dont celles au moyen de ransomwares. Microsoft EOP est essentiellement une solution basée sur les signatures, ce qui signifie que seule la protection contre les menaces connues est possible. De nouvelles familles et variantes de ransomwares apparaissant tous les jours, Microsoft EOP ne peut tout simplement pas suivre. Cela signifie qu’un pourcentage toujours plus élevé de logiciels malveillants n’est pas connu par les systèmes fondés sur les signatures, comme Microsoft EOP. En effet, environ 357 millions de variantes de logiciels malveillants ont été recensées pour la seule année 2016.

Les sociétés ont besoin d’une protection contre les ransomwares passant par Office 365 qui les défende à la fois contre les souches connues, tout en les protégeant des variantes inconnues. Gartner recommande que les entreprises « pallient les lacunes des capacités de défense face à des menaces avancées de la SEG concernée en ajoutant un produit spécialisé conçu à cette fin, si le remplacement est impossible ». La solution avancée de Vade Secure utilise l’intelligence artificielle et les données provenant d’un centre global de détection des menaces opérationnel en continu pour protéger contre tout type de menace, dont les ransomwares. Notre approche multicouche analyse chaque e-mail et assure qu’il est sain avant que celui-ci n’arrive dans la boîte de réception de vos employés.

Plus de 20 % des clients de Vade Secure utilisent Office 365.
La grande majorité d’entre eux utilisent à la fois ATP/EOP et Vade Secure.


Voir nos services de protection des e-mails pour Office 365

DÉFENSE PRÉDICTIVE

Vade Secure propose une solution proactive de sécurisation des messageries qui repose sur les données d’une clientèle internationale regroupant plus de 400 millions de boîtes de réception. Nos systèmes protègent nos clients contre les ransomwares, le phishing, le spear phishing et les autres menaces transmises par les e-mails.


La meilleure façon de se défendre contre les ransomwares est d’utiliser une solution de sécurité proactive solide pour la messagerie.


La solution Vade Secure offre un moteur d’intelligence artificiel connecté à une immense base de données, afin de réussir à identifier les nouvelles familles et variantes de ransomwares et les autres menaces transmises par e-mail. À l’aide de 10 000 algorithmes heuristiques sur huit niveaux d’analyse, Vade Secure examine des milliards d’e-mails dans le monde chaque jour en vue de détecter les menaces connues et inconnues commeles logiciels malveillants zeo day, les variantes de ransomwares et même les attaques sophistiquées recourant à l’ingénierie inversée dans des e-mails de phishing. Cette analyse globale est ensuite combinée à une analyse locale et comportementale, afin d’étudier les styles et les comportements organisationnels et individuels et d’identifier, ce faisant, les particularités suspectes.


Notre analyse locale peut même détecter les attaques hyperciblées comme le spear phishing ou les arnaques Business Email Compromise (BEC), qui ne contiennent aucune URL ou pièce jointe.
Comment fonctionne la protection des e-mails Vade Secure

Vade Secure complète sa solution IA à l’aide d’un réseau de centres de menaces situés en Europe, en Amérique du Nord et en Asie, dans lesquels des experts en sécurité des e-mails se relaient en permanence. Chaque jour, l’équipe de Vade Secure prend 1,6 million de décisions de blocage, analyse 70 millions de pièces jointes et contrôle 2,6 millions d’URL uniques.



Vidéo de présentation de la solution de sécurisation des e-mails Vade Secure avec les sous-titres  



 



Vade Secure a réussi à identifier et à isoler chaque variante connue de Locky et de Cryptolocker dès que celles-ci sont passées sur nos serveurs. Vade Secure n'a jamais manqué une seule attaque de ransomware par e-mail. Pas une seule!

Sécurisez vos e-mails et reprenez le pouvoir

Contactez-nous pour demander une étude personnalisée de protection de vos messageries

 Sources: Vade Secure, Vittoria Conseil est partenaire officiel de Vade Secure, spécialisé dans la sécurité des e-mails. En savoir plus sur nos services de protection des messageries