Les rançongiciels sont des logiciels malveillants conçus pour pénétrer, dans certains cas extraire et crypter les données de la victime. Grâce à ce cryptage, les fichiers deviennent inaccessibles et une rançon est demandée pour que la victime puisse à nouveau accéder à ses fichiers.
Les pirates ciblent toujours les entreprises ayant de grandes quantités de données sur leurs serveurs, plus il y a de données cryptées, plus la rançon est élevée. Par conséquent, les principales cibles des attaques sont : Les serveurs, les machines virtuelles, les stockages NAS, DAS, SAN, les systèmes RAID, les bases de données et autres. En bref, tout appareil qui stocke des données est une cible pour les criminels.
Même si les groupes de ransomware sont extrêmement sophistiqués dans leurs attaques, il y a des obstacles qu’ils doivent surmonter, qui ne sont pas faciles du tout, et le principal est de s’introduire dans le système de la victime. Les entreprises ont beaucoup investi dans les pare-feu, les antivirus, les anti-ransomware et surtout dans la formation de leurs employés. C’est pourquoi les criminels ont créé des stratégies pour contourner ces défenses.
Formes d’attaques par ransomware
Même s’il y a tous ces investissements en matière de sécurité, aucun d’entre eux ne garantit une sécurité des données à 100 %, et les pirates profitent de ces lacunes pour leurs attaques. Voyons quelles sont les principales tactiques qu’ils utilisent pour envahir le réseau de la victime.
Via RDP (Remote Desktop Protocol)
RDP est un port Windows pour l’accès à distance, les groupes de pirates utilisent une attaque par force brute pour accéder au réseau et en prendre le contrôle, installant ainsi un ransomware. Il est nécessaire de développer des protocoles pour l’accès à distance, et de limiter les utilisateurs qui peuvent y accéder, ainsi que d’avoir des mots de passe forts. Cette tactique est utilisée pour attaquer des cibles spécifiques.
Campagnes de spam par e-mail
Les campagnes de spam consistent en un envoi massif de courriels contenant des liens malveillants ou des documents joints. Ces documents sont les plus courants, tels que .word, .excel, .pdf, .jpg et autres. Les courriels sont conçus pour être identiques à ceux de grandes entreprises telles que des banques, des bureaux de poste, des magasins, etc.
Cette campagne repose sur l’inattention de l’utilisateur, la maxime étant de ne jamais télécharger de fichiers à partir d’e-mails provenant d’expéditeurs inconnus. La sensibilisation des employés est vitale pour les grandes entreprises.
Programmes non officiels/craqués
Vous pouvez trouver presque n’importe quel programme gratuitement sur Internet, ils peuvent même ne pas être payants pour être téléchargés, mais ils peuvent acheter une valeur beaucoup plus élevée plus tard.
Les groupes de ransomware cachent leurs logiciels malveillants dans ces programmes, et peuvent se manifester longtemps après le téléchargement du programme, de sorte que le lien avec le programme téléchargé n’est pas évident.
Ces programmes, lorsqu’ils sont téléchargés, demandent à l’utilisateur de désactiver la sécurité de Windows, ce qui revient à ouvrir les portes d’une maison pour que le pirate de l’air puisse y entrer. Ne téléchargez jamais ces programmes, optez toujours pour les programmes officiels.
Phishing
Le phishing est la tactique la plus simple, mais aussi l’une des plus dangereuses. Elle ne repose pas sur une faille du système, mais plutôt sur l’inattention de l’utilisateur qui peut divulguer un nom d’utilisateur et un mot de passe, afin que le groupe puisse s’introduire dans le système sans résistance des pare-feu.
Le hameçonnage ne se limite pas au courrier électronique et peut également être utilisé sur des sites non sécurisés, comme les fenêtres pop-up qui, une fois cliquées, conduisent les utilisateurs vers des pages contenant des messages d’urgence demandant des informations personnelles.
La sensibilisation des employés est la meilleure contre-mesure à ce type de tactique.
Toilettage des employés
Cette tactique est l’une des plus dommageables que les pirates utilisent, elle a la capacité de mettre à genoux tous les investissements que l’entreprise a faits dans les pare-feu, les antivirus, la formation, etc.
Des groupes ont déjà été identifiés qui ont contacté des employés par le biais de LinkedIn, offrant des valeurs élevées pour leurs références.
Conclusion
Ce sont les tactiques les plus couramment utilisées par les pirates, mais ce ne sont pas les seules. Il existe plusieurs groupes qui cherchent de nouvelles voies pour mener des attaques.
Les rançongiciels sont une branche des logiciels malveillants qui ont élevé leurs attaques d’une manière surprenante. On n’est jamais trop prudent en matière de sécurité.
Le soin le plus important est la routine de sauvegarde, il n’est pas destiné à prévenir les attaques de ransomware, mais c’est une sauvegarde au cas où une attaque se produit.
Mais même si la sauvegarde est chiffrée par le ransomware, il reste une issue, le déchiffrement des fichiers du ransomware par RansomHunter.