Tendances 2018 : La révolution des rançongiciels

Tendances 2018 : La révolution des rançongiciels

David Harley discute de l'évolution et de la révolution en cours entourant les rançongiciels, tout en réfléchissant sur ce que l'avenir nous réserve.

David Harley discute de l’évolution et de la révolution en cours entourant les rançongiciels, tout en réfléchissant sur ce que l’avenir nous réserve.

Je suis entré en scène, il y a près de 30 ans. La première éclosion de logiciels malveillants pour laquelle j’ai fourni des conseils a été le mémorable cheval de Troie AIDS du Dr Popp, qui a rendu les données d’une victime inaccessible jusqu’à ce que le paiement de « renouvellement de bail de logiciel » ait été effectué. Et pendant longtemps après, il n’y avait pas grand-chose d’autre qui pourrait être appelé rançongiciels, à moins que vous ne comptiez les menaces faites contre des organisations d’attaques DDoS (Distributed Denial of Service) persistantes.

Une négation trop plausible

Alors que les attaques de déni de service (DoS) amplifiées par l’utilisation de réseaux de PC piratés sont devenues un problème de plus en plus important au tournant du siècle, les menaces d’extorsion par DDoS ont parallèlement connu une hausse (moins spectaculaire), avec l’augmentation des rançongiciels au cours des dernières années. Cependant, les statistiques peuvent être embrouillées par la réticence de certaines organisations victimes à s’exprimer, et par une augmentation correspondante des attaques DDoS ayant des objectifs politiques plutôt que simplement pour le profit. Il existe cependant d’autres interactions complexes entre les types de logiciels malveillants : des cas de variantes de rançongiciels ayant incorporé un bot DDoS ont été observés. Plus récemment les pirates derrière le réseau de robots Mirai ont choisi de lancer la campagne de DDoS WannaCryptor (alias WannaCry) pour permettre la réactivation des copies dormantes du logiciel malveillant.

Ver et rançongiciels

Bien sûr, il y a bien plus à dire au sujet du logiciel qu’ESET détecte sous le n om Win32/Filecoder.WannaCryptor que le facteur Mirai. La combinaison entre rançongiciels et vers a accéléré la propagation de logiciels malveillants. Cependant, cette hausse n’est pas aussi spectaculaire en termes de volume pur que certaines attaques de vers que nous avons pu voir au cours de la première décennie du millénaire, notamment parce que la propagation dépendait alors d’une vulnérabilité qui était déjà largement réparée. Toutefois, son impact financier sur les grandes organisations a attiré l’attention des médias du monde entier.

Payez! Afin de jouer à notre jeu*

Une des particularités un peu étrange de WannaCryptor était que, même en payant la rançon, les chances qu’une victime retrouve accès à ses données déchiffrés étaient très faibles. Ce n’est pas un cas unique, bien sûr : il y a trop d’exemples de rançongiciels où les victimes ont été incapables de récupérer une partie ou la totalité des données en raison d’une incapacité du codage, ou parce que les criminels n’ont jamais eu l’intention de les restituer. Ranscam et Hitler, par exemple, ont simplement supprimé les fichiers : pas de chiffrement, et aucun moyen permettant probablement au cybercriminel de le retrouver. Heureusement, ces exemples ne semblent pas avoir été particulièrement répandus. L’exemple le plus tristement célèbre, cependant, est possiblement le semi-clone Petya, qu’ESET détecte sous le nom de DiskCoder.C, qui chiffre les données. Étant donné la compétence d’exécution du logiciel malveillant, l’absence de mécanisme de récupération ne semble pas accidentelle. Il s’agit plutôt s’agir d’un cas de « prendre l’argent et s’enfuir ».

Hyper wiper

Alors que le logiciel malveillant DiskCoder.C, aussi connu sous le nom NotPetya, ne rechigne pas à se faire passer pour un rançongiciel pour faire des profits, d’autres « wiper » ont un objectif clairement différent. C’est notamment le cas du logiciel malveillant Shamoon, de retour depuis (assez) peu de temps. Les logiciels malveillants avec une fonctionnalité « wiper » visant l’Ukraine incluent KillDisk (associé à BlackEnergy) et, plus récemment, les payloads déployés par Industroyer.

Quoi apprendre de ces tendances?

Retenir vos données et exiger une rançon est un moyen facile pour un agresseur de faire un profit malhonnêtement, alors que la destruction des données pour d’autres raisons, par exemple un objectif politique semble être à la hausse. Plutôt que de spéculer sur toutes les variations possibles sur le thème du chevauchement des données, examinons certaines mesures qui, de façon générale, réduisent les risques :

  1. Nous comprenons que des gens choisissent de payer, dans l’espoir de récupérer leurs données, même s’ils savent que cela encourage les criminels. Avant de payer, cependant, vérifiez avec votre fournisseur de logiciel de sécurité (a) si la récupération pourrait être possible sans payer la rançon (b) s’il est connu que le paiement de la rançon ne sera pas ou ne peut pas avoir comme conséquence la récupération pour cette variante de rançon particulière.
  2. Protéger vos données de manière proactive est plus sûr que de compter sur la compétence et la bonne foi d’un criminel. Sauvegardez tout ce qui vous importe, souvent, en conservant au moins certaines sauvegardes hors ligne – sur des médias qui ne sont pas systématiquement exposés aux risques de corruption par les rançongiciels ou autres logiciels malveillants – dans un emplacement physiquement sécurisé (de préférence plus d’un emplacement). Bien évidemment, puisque les sauvegardes protègent vos données contre rançongiciels et autres logiciels malveillants, elles doivent faire partie de votre plan de reprise après sinistre.
  3. De nos jours, beaucoup de personnes et d’organisations ne pensent pas aux sauvegardes en termes de supports physiques comme les disques optiques et le stockage flash, mais plutôt en termes de stockage dans le nuage. Ces derniers sont très susceptibles de se trouver hors site, bien sûr. N’oubliez pas, cependant, qu’alors que ce type de stockage est « toujours activé », son contenu peut être susceptible d’être compromis par les rançongiciels de la même manière que le stockage local et les autres systèmes de stockage connectés en réseau. Assurez-vous que le système de stockage hors site choisis :
    1. Ne soit pas en ligne de façon routinière et permanente;
    2. Protège les données sauvegardées des modifications automatiques et silencieuses ou de l’écrasement par des programmes malveillants lorsque l’installation à distance est en ligne;
    3. Protège les générations précédentes de données sauvegardées, évitant qu’elles ne soient compromises, de sorte que même si un désastre frappe les toutes dernières sauvegardes, vous puissiez au moins récupérer certaines données, y compris les versions antérieures des données actuelles.
    4. Protège le client, en précisant les responsabilités légales/contractuelles du fournisseur, ce qui se passe si le fournisseur cesse ses activités, etc.
  4. Ne sous-estimez pas l’utilité des supports de sauvegarde qui ne sont pas réinscriptibles ou réutilisables. Si vous ne pouvez pas modifier ce qui y a été écrit, les rançongiciels ne le pourront pas non plus. Vérifiez souvent que votre opération de sauvegarde/restauration fonctionne (toujours) correctement et que vos supports (lecture seule, écriture désactivée ou écrite) sont toujours lisibles (et que les supports accessibles en écriture ne le sont pas systématiquement). Et sauvegardez vos sauvegardes.
  5. Tout ceci ne veut certainement pas dire que vous devriez vous fier exclusivement à des sauvegardes au lieu d’utiliser des logiciels de sécurité. Cependant, n’oubliez pas que la suppression des rançongiciels actifs avec un logiciel de sécurité qui détecte ces menaces n’égale pas la récupération des données : supprimer le rançongiciel et ensuite décider de payer signifie que les données peuvent ne plus être récupérables même avec la coopération des criminels, parce que le mécanisme de déchiffrage fait partie des logiciels malveillants. D’un autre côté, vous ne voulez certainement pas restaurer vos données dans un système sur lequel le rançongiciel est toujours actif. Heureusement, des sauvegardes sécurisées peuvent protéger vos données si ou quand un logiciel malveillant passe à travers le filet que représente votre logiciel de sécurité.

Que nous réserve l’avenir?

Rançongiciels

« Ne faites pas de prédictions sur ce qui attend l’informatique au cours de votre vie, » soulignait avec sagesse Daniel Delbert McCracken. Néanmoins, nous pouvons risquer une certaine extrapolation de l’évolution récente des rançongiciels afin d’offrir quelques prudentes réflexions sur son évolution future.

Ciblage

Le cheval de Troie AIDs utilisait un ciblage très précis. Même à cette époque, peu de gens s’intéressaient aux détails de la recherche sur le sida; la distribution du cheval de Troie par disquette était relativement coûteuse et le mécanisme de paiement de la rançon ne fonctionnait pas vraiment à l’avantage de l’attaquant. Bien sûr, en 1989, le Dr Popp n’avait pas l’avantage d’avoir accès à la cryptomonnaie ou au Dark Web, ni à des moyens faciles d’utiliser Western Union (le favori des 419 arnaqueurs) ou de monétiser des photographies de nus.

L’attaque elle-même formait un rançongiciel classique, en ce sens qu’elle privait la victime de ses données. Plus tard, le DoS et le DDoS e sont attaqués aux entreprises privées de la possibilité de bénéficier des services qu’elles fournissent: alors que les clients sont privés de ces services, c’est le fournisseur qui doit payer. Toutefois, à mesure que l’utilisation d’Internet par les particuliers a explosé, la surface d’attaque et l’éventail des cibles potentielles se sont également élargis. Ceci a probablement une influence sur la distribution de proximité de la plupart des rançongiciels modernes.

Non-ciblage

Bien que les spécialistes des médias et du marketing des produits de sécurité ont tendance à s’emballer lorsqu’une victime très visible ou de grande valeur est divulguée – les sites de soins de santé, les établissements d’enseignement, les fournisseurs de services téléphoniques, les FSI – il est inopportun de supposer que ces établissements sont toujours ciblés de façon spécifique. Comme nous ne savons pas toujours quel vecteur de compromis a été utilisé par une campagne spécifique, nous ne pouvons pas dire « Ça n’arrive jamais! »

Mais il semble que les cybercriminels utilisant ces demandes de rançons se débrouillent plutôt bien avec les paiements effectués par les grandes institutions compromises par les attaques latérales des employés qui ont été attaqués avec succès lors de l’utilisation de leurs comptes de travail. Le NHS Digital britannique, par exemple, réfute le point selon lequel les soins de santé soient spécifiquement ciblés – un point de vue que je partage, en général – tout en reconnaissant que les sites de soins de santé ont « souvent été victimes » de ces attaques.

Cela pourrait-il changer?

À l’heure actuelle, certaines organisations semblent toujours prêtes à dépenser des sommes plutôt importantes en rançons. Dans certains cas, il s’agit d’une « stratégie de sauvegarde » raisonnable, reconnaissant qu’il est judicieux de maintenir un coffre de (rançon de) guerre, au cas où les défenses techniques de l’organisation échoueraient. Dans d’autres cas, les entreprises peuvent espérer que le paiement sera plus rentable que la mise en place de moyens de défense supplémentaires complexes qui ne peuvent pas toujours être pleinement efficaces. Cela peut en soi attirer le ciblage d’entreprises perçues comme douces ou particulièrement aptes à payer (organisations financières, casinos).

L’augmentation du volume des attaques d’essuie-glaces et des attaques de rançongiciel où le paiement n’entraine pas la rétribution des données, peut limiter la progression cette tendance malsaine. En ce cas, les entreprises qui sont encore perçues comme peu susceptibles de durcir leurs défenses au mieux de leurs capacités pourraient néanmoins être ciblées plus spécifiquement. Après tout, il est probable qu’une attaque réussie contre une grande organisation sera plus rentable et plus rapide que des attaques généralisées contre des utilisateurs d’ordinateurs et des adresses électroniques au hasard.

Les données par rapport aux dispositifs

Si l’on examine les attaques sur les téléphones intelligents (ou smartphones) et autres appareils mobiles, on constate que ceux-ci tendent à se concentrer moins sur les données et plus sur la négation de l’utilisation de l’appareil et des services qu’il facilite. C’est déjà assez mauvais là où l’alternative au paiement de la rançon peut être de perdre des paramètres et d’autres données, surtout que plus de gens utilisent des appareils mobiles de préférence aux ordinateurs personnels et même les ordinateurs portables, de sorte qu’une gamme plus large de données pourrait être menacée. À mesure qu’une multitude d’appareils devient inutilement connectés, rendant l’Internet des objets (IdO) de moins en moins évitable, la surface d’attaque augmente, avec des dispositifs et des capteurs en réseau intégrés dans des objets et des contextes inattendus : des routeurs aux réfrigérateurs et aux compteurs intelligents, des téléviseurs aux jouets, des centrales électriques aux pacemakers. Au fur et à mesure que tout devient  » intelligent « , le nombre de services susceptibles d’être perturbés par des logiciels malveillants (qu’une rançon soit exigée ou non) augmente. Au cours des années précédentes, nous avons discuté des possibilités de ce que mon collègue Stephen Cobb appelle le Rançongiciel des Objets. À ce jour, il y a moins d’exemples de telles menaces « dans la nature » que ce que vous pourriez croire, compte tenu de l’attention qu’elles suscitent. La situation pourrait facilement changer, cependant, surtout si les rançongiciels plus conventionnels deviennent moins efficaces comme moyen de faire un peu d’argent rapidement. Même si je ne suis pas sûr que ça va arriver avant un moment…

D’autre part, on n’a que peu d’indications que la sécurité de l’Internet des objets évolue au même rythme que la croissance de l’IdO. Nous voyons déjà beaucoup de pirates informatiques s’intéresser à la monétisation de l’insécurité de l’IdO. Ce n’est pas aussi simple que les médias supposent parfois d’écrire et de distribuer des logiciels malveillants qui affecteront un large éventail de périphériques connectés; il n’y a donc aucune raison de paniquer, mais nous ne devrions pas sous-estimer la ténacité et la capacité du monde numérique souterrain à entrainer des rebondissements surprenants.

* Mes excuses au regretté Henry Newbolt qui a écrit Vitai Lampada, que j’ai mal cité: https://en.wikipedia.org/wiki/Henry_Newbolt.

 

Discussion