Des ransomwares, encore et toujours

Cropped Favicon Economi Matin.jpg
By Satnam Narang Published on 6 mars 2020 6h02
Piratage Attaque Ransomware Petya Notpetya Windows Eternalblue
@shutter - © Economie Matin
41%Un ransomware, logiciel qui bloque les données de votre ordinateur et demande une rançon, a 41% de chances de réussite.

En 2019, chaque semaine a semblé apporter son lot de nouveaux rapports d’infections par des ransomwares, un peu partout dans le monde. Le ransomware, un type de logiciel malveillant (ou « malware »), est l’illustration la plus récente d’un type de menace connu sous le nom de « scareware ». Traditionnellement, les scarewares étaient conçus pour faire croire aux utilisateurs que leur ordinateur était infecté par des malwares et qu’ils devaient acheter un logiciel de sécurité frauduleux pour en venir à bout.

Le ransomware a porté le scareware à un tout autre niveau, encore plus nuisible, en cryptant les fichiers sur un système infecté et en exigeant une rançon pour pouvoir obtenir des outils de déchiffrement. Le ransomware est devenu une source de revenus très lucrative pour les cybercriminels, et il ne montre aucun signe de faiblesse.

Rien de neuf sous le soleil

Le premier cas connu d’attaque par ransomware a eu lieu en 1989 et a été déclenché par l’intermédiaire d’une disquette. S’il n’est pas nouveau, le ransomware est cependant devenu un outil très utile pour les cybercriminels ces dernières années. En 2019, plus particulièrement, les cybercriminels ont ciblé une multitude de secteurs, tels que la santé, l’énergie, les collectivités locales et les établissements scolaires.

Les attaques par ransomware se propagent de plusieurs façons. En octobre 2019, FBI a publié un avertissement sur les attaques par ransomware à forte incidence menaçant les entreprises et les organisations américaines, en attirant l’attention sur trois méthodes de propagation fréquentes : les menaces secondaires liées aux spams malveillants, les failles du RDP et les vulnérabilités des logiciels, de manière générale. Cet avertissement a été publié en complément d’un avertissement diffusé trois ans plus tôt qui invitait les victimes de ransomware à en informer les forces de l’ordre.

Le Zero Day exploité dans la nature pour propager des ransomwares

En avril 2019, des cybercriminels ont utilisé CVE-2019-2725, une vulnérabilité de désérialisation dans un serveur WebLogic qui peut être exploitée par un attaquant distant non authentifié pour obtenir l’exécution de code à distance. Elle a été utilisée par des hackers pour propager un ransomware dénommé Sodinokibi. La faille a été corrigée par Oracle dans le cadre d’un correctif hors bande fin avril, peu après sa divulgation publique. En juin 2019, Oracle a publié un autre correctif hors bande pour CVE-2019-2729, une autre faille de désérialisation dans WebLogic, cette fois dans le XMLDecoder. Cette faille semblait être dérivée de CVE-2019-2725 et avait également été observée dans la nature.

Les failles corrigées : un élément précieux pour les cybercriminels

Toutes les attaques par ransomware ne reposent pas sur des vulnérabilités zero-day, bien que l’absence de mesures d’atténuation ou de correctifs permette aux cybercriminels d’exploiter les cibles vulnérables de manière très utile. Cependant, les vulnérabilités qui ont fait l’objet de correctifs constituent également un atout précieux. Par exemple, CVE-2019-3396, une vulnérabilité de type Path Traversal dans le serveur Confluence d’Atlassian et le Data Center Widget Connector, a été utilisée pour propager le ransomware GandCrab. Ce dernier était une famille de ransomwares populaires et lucratifs qui a cessé ses activités en juin 2019. Ainsi, bien que l’on prête beaucoup d’attention à l’utilisation des failles de type « zero-day » dans les attaques par ransomware, ce sont les vulnérabilités non corrigées qui constituent une plus grande menace pour les entreprises et les organisations dans le monde entier.

Le ransomware : une menace perpétuelle

En août 2019, Ars Technica a fait état d’une « vague d’attaques par ransomware », touchant principalement les écoles. L’article mentionne des statistiques d’Armor, qui indiquait à l’époque que 149 attaques par ransomware avaient été signalées au public. Les mots clés dans ce cas précis sont les termes « signalées au public ». Bien que nous ne connaissions pas le nombre d’attaques par ransomware qui n’ont pas été signalées, on peut dire sans risque de se tromper que beaucoup de ces attaques ne sont pas déclarées. La véritable portée de ces attaques par ransomware est dès lors inconnue.

Le ransomware est une menace dont il faut tenir compte. Selon nous, les ransomwares resteront l’une des principales menaces qui pèseront sur les entreprises en 2020, alors que les cybercriminels continueront à affiner leurs méthodes, notamment en recourant à de nouvelles vulnérabilités logicielles qu’ils pourront exploiter dans leurs attaques.

Les attaques par ransomware se sont multipliées au cours de l’année dernière, tandis que les attaquants poursuivent avec succès leurs attaques contre des organisations de toutes tailles et de toutes formes, en utilisant diverses tactiques. Ce succès a enhardi les cybercriminels qui cherchent à affiner leurs attaques, que ce soit au niveau des vulnérabilités de type « zero-day », des failles corrigées, des emails de spams malveillants ou des faiblesses du Remote Desktop Protocol – et cette tendance se maintiendra probablement au cours de l’année à venir.

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

 Senior Researcher Engineer chez Tenable

No comment on «Des ransomwares, encore et toujours»

Leave a comment

* Required fields