L I VRE B L A N C

LES RANÇONGICIELS
DECRYPTÉS
Comprendre et prévenir les cyberattaques par rançongiciels.
Les rançongiciels : une menace permanente.
Bien que le nombre de cyberattaques par rançongiciel ait considérablement chuté au début 2018, une recrudescence
de ce type d’attaque a été observée au cours des années suivantes. Le montant global des paiements de rançons
a également subi une inflation spectaculaire : fin 2019, une rançon s’élevait en moyenne à plus de 80.000 dollars.
Aujourd’hui, les cyberattaquants ne se contentent plus de prendre les données dérobées en otage, ils les vendent
désormais sur internet. Cela dénote de la tendance actuelle des attaquants qui ne se contentent plus d’exécuter des
logiciels malveillants ; ils infiltrent préalablement les réseaux ciblés, parviennent ensuite à en exfiltrer des données
sensibles, pour finalement déployer leurs rançongiciels.

THE EVOLUTION
Les rançongiciels sont en constante évolution.

OF RANSOMWARE
De nombreux types de logiciels malveillants prennent racine silencieusement dans le réseau. Ils en explorent les
différentes ramifications, communiquent discrètement avec leur centre de commande et de contrôle, et adoptent des
comportements furtifs pour empêcher leur détection. A l’inverse, les rançongiciels traditionnels n’avaient pour objectif
que de faire un coup d’éclat en causant des dommages immédiats. Le but était uniquement de pénétrer dans la machine
ciblée et de demander une rançon pour les données. Plus vite le logiciel malveillant chiffrait les fichiers, moins l’attaque
était risquée et plus l’attaquant augmentait ses chances s’enrichir rapidement.

L’ÉVOLUTION DES R ANÇONGICIELS

1989 2016 2017 2018

AIDS TROJAN 2015
PETYA 2016
WANNACRY 2017
GANDCRAB 2019
TESL ACRYPT POWERWARE THUNDERCRYPT SODINOKIBI

2016 2016 2017

2013
LOCKY 2016
ZCRYPTOR 2017
RYUK 2019
CRYPTOLOCKER JIGSAW GOLDENEYE MAZE

Cet objectif clair et précis a engendré un grand nombre de logiciels malveillants simples, rapides et parfois redoutables.
Les recherches effectuées par Cybereason démontrent justement que si certains rançongiciels de première génération
étaient très sophistiqués, d’autres étaient somme toute assez rudimentaires. Cela n’empêche nullement les rançongiciels
d’être terriblement efficaces ; en effet, le développement rapide de rançongiciels basiques associé au spamming
d’utilisateurs peu méfiants demeure une tactique d’attaque particulièrement rentable.

Fondamentalement différent de celui des autres logiciels malveillants, le mode opératoire des rançongiciels peut s’avérer
particulièrement difficile à détecter. Combinés à des techniques de dissimulation et exploitant des vulnérabilités qui
permettent l’exécution d’un code malveillant à distance, les rançongiciels sont capables d’échapper aux solutions de
prévention existantes pour atteindre leur objectif.

Les rançongiciels modernes adoptent une approche légèrement différente. Au lieu de les utiliser uniquement pour
percevoir une rançon, les cyberattaquants déploient désormais des logiciels malveillants qui dérobent les informations
d’identification en amont, puis infiltrent discrètement le réseau longtemps avant de déployer le rançongiciel. Cette
méthode permet d’obtenir un meilleur retour sur investissement, car elle laisse tout le temps aux attaquants de vendre
les informations d’identification volées, d’infecter d’autres machines sur le réseau, avant de finalement déployer le
rançongiciel à proprement parler.

Retrouvez-nous sur Cybereason.com

Lancer une attaque par rançongiciel : un exploit à la portée de tous.

Avec la diffusion du Ransomware-as-a-Service (RaaS),

(RaaS) même des utilisateurs sans compétences techniques particulières
sont désormais en mesure de déployer des rançongiciels clés-en-mains pour perpétrer des cyberattaques dans le
monde entier. En effet, de nombreux auteurs de logiciels malveillants exploitent le modèle Malware-as-a-Service
(MaaS) pour constituer une manne financière récurrente. Comme la plupart des MaaS modernes, les RaaS permettent
à des utilisateurs malintentionnés, qu’ils soient novices ou techniques, d’accéder facilement à des logiciels extrêmement
nuisibles, à l’aide d’une simple carte de crédit. Les MaaS poursuivent leur expansion en créant des nouveaux groupes de
cybercriminels experts qui tirent profit d’autres cybercriminels techniquement moins aguerris.

Leur stratégie n’a rien à envier à celles des fournisseurs de Software-as-a-Service (SaaS) ayant pignon sur rue : campagnes
de marketing sous-jacentes, rédaction d’avis positifs pour étayer la confiance, service après-vente réactif, amélioration
régulière des fonctionnalités du logiciel, pour finalement réunir tous les ingrédients d’un SaaS rentable.

Faire des sauvegardes régulières ou payer la rançon n’est pas toujours la panacée.
Afin de se prémunir des attaques par rançongiciel, le conseil le plus répandu est d’effectuer régulièrement des
sauvegardes sécurisées de toutes vos données. C’est une sage précaution, mais la sauvegarde des données doit s’intégrer
dans le cadre d’une vaste stratégie de défense, afin de ne pas constituer l’unique ligne de défense. Aujourd’hui, de
nombreuses équipes de sécurité informatique adoptent une posture réactive aux attaques, sachant qu’un cyberattaquant
motivé sera presque toujours capable d’enfreindre les défenses préventives. Comme dans un château fort où même si
les bijoux de la couronne sont enfermés dans un coffre, il y a toujours des fortifications, une herse, des serrures et des
gardes pour empêcher les assaillants d’atteindre le coffre. Il va sans dire que les cyberattaquants chercheront également à
neutraliser les sauvegardes, afin de les rendre inutilisables.

Parmi les entreprises rackettées qui ont payé la rançon, 17% d’entre elles n’ont malgré tout pas pu récupérer leurs
données. Et celles qui parviennent à récupérer leurs données courent toujours le risque que l’outil de décryptage qui leur
a été fourni par les pirates soit instable, voir inefficace.

Même en cas d’acquittement de la rançon et de récupération de toutes les données, l’attaque aura toujours des
conséquences néfastes sur l’activité de l’entreprise. Les fournisseurs de services managés ont pu observer que le coût
de l’arrêt de la production lors d’une cyberattaque était en moyenne 23 fois plus élevé que la rançon demandée, et
impactait négativement l’image de marque d’une société, sans oublier des perturbations préjudiciables à son activité. Une
cyberattaque entraîne généralement plus de 16 jours d’interruption de service pour une entreprise, une interruption de
son activité susceptible de mettre en péril sa survie.

En résumé, les attaques par ransomware restent dangereuses même si vous sauvegardez régulièrement vos données, de
plus elles présentent un important risque financier, même si vous payez rapidement la rançon.

A quoi ressemblent les rançongiciels modernes ?

RY U K R A N SOMWAR E ( F E AT. E M OT E T & T RI C K BOT )
L’équipe Nocturnus de Cybereason a étudié le mode opératoire d’une campagne d’attaques en plusieurs étapes visant
à diffuser furtivement le rançongiciel Ryuk.
Ryuk Les différentes phases comportaient la livraison de TrickBot par Emotet,
les capacités de vol d’informations, la diffusion et l’utilisation de TrickBot comme downloader de Ryuk, et enfin les
fonctionnalités du rançongiciel Ryuk. Avec Ryuk, les cybercriminels sont capables de chiffrer la machine ciblée et de
demander une rançon à la victime, ce qui peut lui occasionner d’importantes déconvenues financières en raison de l’arrêt
de l’activité, des coûts de sa reprise, sans parler de l’atteinte à l’image de marque de l’entreprise.

| maliciel
À R E T E N I R : De nombreuses entreprises victimes de Ryuk n’ont pas seulement été frappées par un rançongiciel, mais également par un autre
s’infiltrant dans le réseau pour collecter des informations d’identification. Cela confirme une fois de plus que les attaques par rançongiciel
évoluent pour infliger le plus de dommages collatéraux possibles à leurs victimes.
Retrouvez-nous sur Cybereason.com
GA NDC R A B
L’équipe Nocturnus de Cybereason a disséqué une campagne visant à diffuser le rançongiciel GandCrab au sein d’une
entreprise internationale basée au Japon. Comptant parmi les rançongiciels les plus répandus, GandCrab évoluait
constamment et perfectionnait ses méthodes de diffusion pour échapper à la détection.

La société Bitdefender estime que GandCrab est responsable de 40 % de toutes les infections par rançongiciel dans le
monde, ce qui démontre son efficacité. Ses auteurs sont reconnus pour leur capacité à faire évoluer rapidement et de
manière itérative GandCrab avec de nouveaux mécanismes de diffusion furtifs ainsi que d’autres améliorations.

|
À R E T E N I R : Avant d’être retiré, GandCrab avait engendré de nombreux variants et continue toujours d’évoluer. La seule manière de prévenir
efficacement ce rançongiciel est de recourir à des outils de sécurité capables d’identifier et de corréler les comportements, et pas seulement les
signatures. Si vous souhaitez tester si ce rançongiciel est détectable dans votre environnement, nous serons heureux de vous assister dans cette
démarche.

S O DI NOK IBI
L’équipe Nocturnus de Cybereason a analysé Sodinokibi, un rançongiciel particulièrement furtif qui fait preuve
d’ingéniosité pour empêcher sa détection par les antivirus et autres logiciels de sécurité. Une connexion a auparavant
été établie entre les auteurs de Sodinokibi et ceux du prolifique rançongiciel GandCrab, récemment retiré.

Lorsque Sodinokibi est apparu, il exploitait les vulnérabilités des serveurs et d’autres actifs sensibles. Au fil du temps,
il a également exploité d’autres vecteurs d’infection tels que le phishing et les maliciels en kits. A plusieurs reprises, le
rançongiciel Sodinokibi a délibérément utilisé un antivirus fabriqué par l’éditeur de sécurité sud-coréen Ahnlab afin d’y
injecter sa charge utile malveillante.

| aux
À R E T E N I R : Sodinokibi est un rançongiciel qui utilise une série d’astuces, notamment des commandes PowerShell obfusquées, pour échapper
défenses existantes. Cela confirme la nécessité d’une solution de prévention et de détection complètes pour les endpoints.

COMMENT STOPPER
SODINOKIBI ?
VOIR LA DEMO

C LI Q U E Z I C I

R E C O MME N DAT ION S DE SÉCURITÉ POUR PREVE N I R L E S ATTAQUE S PAR R AN Ç O N G I C I E LS

1. Effectuez régulièrement des sauvegardes sécurisées en suivant la règle 3-2-1.

3-2-1 Conservez trois copies de vos
données, stockez deux copies sur des supports différents et assurez-vous qu’une copie est conservée hors site.

2. Formez votre personnel à l’identification et à la suppression des courriels de phishing,

phishing une méthode
couramment utilisée par les attaquants pour infiltrer un réseau.

3. Investissez dans une plate-forme de protection des endpoints qui intègre plusieurs couches de prévention des
cyberattaques par rançongiciel.

Retrouvez-nous sur Cybereason.com

 A PROPOS
DE CYBEREASON
Adepte d’une approche de la cybersécurité radicalement innovante,
Cybereason permet aux défenseurs de reprendre l’avantage sur
les assaillants. La plateforme de défense Cybereason propose des
solutions de prévention, de détection et de réponse, gérées comme
un service, ou directement sur site. Cybereason a mis au point une
technologie de protection multicouche des endpoints, en exploitant
des techniques avec et sans signature, afin de prévenir les menaces
connues et inconnues, le tout associé à des techniques d’analyse
comportementale, pour prévenir les rançongiciels et les attaques sans
fichier. Cybereason est une société de droit privée dont le siège social
se trouve à Boston, et qui possède des bureaux dans le monde entier.

Rendez-vous sur notre site web pour en savoir plus :

C LIQ UE Z IC I

SUIVEZ NOTRE FIL D’ACTUALITÉ :

Retrouvez-nous sur Cybereason.com