Ransomware est un type de malware qui empêche l'accès normal à un système ou à des fichiers, sauf si la victime paie une rançon. La plupart des gens sont familiers avec les variantes de crypto-ransomware, où les fichiers sont enfermés dans un cryptage incontrôlable, mais le paradigme est en réalité beaucoup plus ancien que cela.
En fait, les rançongiciels datent de presque dix ans. Comme de nombreuses menaces à la sécurité informatique, elle est originaire de Russie et des pays limitrophes. Depuis sa première découverte, Ransomware a évolué pour devenir une menace de plus en plus puissante, capable d'extraire des rançons toujours plus grandes.
Early Ransomware: De la Russie avec la haine
Les premiers spécimens de rançongiciels ont été découverts en Russie entre 2005 et 2006. Ils ont été créés par des criminels organisés russes et visaient en grande partie les victimes russes, ainsi que ceux vivant dans les pays voisins russes comme la Biélorussie, l'Ukraine et le Kazakhstan.
L'une de ces variantes de ransomware s'appelait TROJ_CRYZIP.A. Cela a été découvert en 2006, longtemps avant que le terme a été inventé. Il a grandement affecté les machines exécutant Windows 98, ME, NT, 2000, XP et Server 2003. Une fois téléchargé et exécuté, il identifie les fichiers avec un certain type de fichier et les déplace dans un dossier ZIP protégé par mot de passe, après avoir supprimé originaux. Pour que la victime récupère ses fichiers, elle devrait transférer 300 $ à un compte E-Gold.
E-Gold peut être décrit comme un prédécesseur spirituel de BitCoin. Une monnaie numérique anonyme, basée sur l'or, gérée par une société basée en Floride, mais enregistrée à Saint-Kitts-et-Nevis, a offert un anonymat relatif, mais a rapidement été favorisée par les criminels organisés comme moyen de blanchir de l'argent sale. Cela a conduit le gouvernement des États-Unis à le suspendre en 2009, et la compagnie s'est repliée peu de temps après.
Plus tard, les variantes de ransomware utiliseraient des crypto-monnaies anonymes comme Bitcoin, des cartes de débit prépayées, et même des numéros de téléphone premium comme moyen de paiement.
TROJ_RANSOM.AQB est une autre variante de ransomware identifiée par Trend Micro en 2012. Sa méthode d'infection consistait à remplacer le Master Boot Record (MBR) de Windows par son propre code malveillant. Lorsque l'ordinateur a démarré, l'utilisateur verrait un message de rançon écrit en russe, qui exigeait que la victime paye 920 Ukrainian Hryvnia via QIWI - un système de paiement appartenant à la Russie et appartenant à Chypre. Une fois payée, la victime obtiendrait un code, ce qui leur permettrait de restaurer leur ordinateur à la normale.
Étant donné que bon nombre des exploitants de rançongiciels identifiés sont identifiés comme étant originaires de Russie, on pourrait soutenir que l'expérience acquise en ciblant le marché intérieur les a rendus plus aptes à cibler les utilisateurs internationaux.
Arrêtez, police!
Vers la fin des années 2000 et le début des années 2010, les rançongiciels étaient de plus en plus reconnus comme une menace pour les utilisateurs internationaux. Mais il y avait encore un long chemin à parcourir avant de l'homogénéiser dans la puissante variante crypto-ransomware que nous voyons aujourd'hui.
À cette époque, il devenait courant que les ransomwares incarnent l'application de la loi afin d'obtenir des rançons. Ils accusent la victime d'être impliquée dans un crime - allant de la simple violation du droit d'auteur, à la pornographie illicite - et disent que leur ordinateur fait l'objet d'une enquête et a été verrouillé.
Ensuite, ils donneraient un choix à la victime. La victime pourrait choisir de payer une "amende". Cela permettrait de supprimer les frais (inexistants) et de rétablir l'accès à l'ordinateur. Si la victime tardait, l'amende doublerait. Si la victime refusait de payer entièrement, les rançongiciels les menaceraient d'arrestation, de procès et d'emprisonnement potentiel.
La variante la plus largement reconnue de ransomware de police était Reveton. Ce qui a rendu Reveton si efficace, c'est qu'il a utilisé la localisation pour apparaître plus légitime. Cela permettrait de déterminer où l'utilisateur était basé, puis d'usurper l'identité de l'application de la loi locale pertinente.
Donc, si la victime était basée aux États-Unis, la note de rançon semblerait émaner du ministère de la Justice. Si l'utilisateur était italien, il adopterait le style de la Guardia di Finanza. Les utilisateurs britanniques verraient un message de la police métropolitaine de Londres ou de la police de Strathclyde.
Les fabricants de Reveton ont couvert toutes leurs bases. Il était localisé pour pratiquement tous les pays européens, ainsi qu'en Australie, au Canada, en Nouvelle-Zélande et aux États-Unis. Mais il y avait un défaut. Comme il n'a pas crypté les fichiers de l'utilisateur, il pourrait être supprimé sans aucun effet indésirable. Cela pourrait être accompli avec un antivirus live-CD, ou en démarrant en mode sans échec.
CryptoLocker: Le premier Big Crypto-Ransomware
Crypto-ransomware n'a pas un tel défaut. Il utilise un cryptage quasi incassable pour intégrer les fichiers de l'utilisateur. Même si le logiciel malveillant a été supprimé, les fichiers restent verrouillés. Cela met une pression énorme sur la victime à payer.
CryptoLocker a été le premier crypto-ransomware largement reconnaissable CryptoLocker est le malware le plus dangereux jamais et voici ce que vous pouvez faire CryptoLocker est le malware le plus dangereux jamais et voici ce que vous pouvez faire CryptoLocker est un type de logiciel malveillant qui rend votre ordinateur entièrement inutilisable en cryptant tous de vos fichiers. Il exige ensuite un paiement monétaire avant que l'accès à votre ordinateur ne soit retourné. Lire la suite, et est apparu vers la fin de 2013. Il est difficile d'estimer l'ampleur des utilisateurs infectés avec un certain degré de précision. ZDNet, un journal technologique très respecté, a retracé quatre adresses bitcoin utilisées par les logiciels malveillants et découvert qu'ils ont reçu environ 27 millions de dollars en paiements.
Il a été distribué via des pièces jointes infectées, propagées via de vastes réseaux de spams, ainsi que via le botnet Gameover ZeuS. Une fois qu'il a compromis un système, il crypte systématiquement les fichiers de documents et de médias avec une forte cryptographie à clé publique RSA.
La victime aurait alors peu de temps pour payer une rançon de 400 USD ou 400 EUR, soit via Bitcoin, soit via GreenDot MoneyPak - un système de coupons prépayés favorisé par les cybercriminels. Si la victime ne payait pas dans les 72 heures, les opérateurs ont menacé de supprimer la clé privée, rendant impossible le déchiffrement.
En juin 2014, les serveurs de distribution de CryptoLocker ont été démantelés par une coalition d'universitaires, de vendeurs de sécurité et d'organismes d'application de la loi dans l'opération Tovar. Deux fournisseurs, FireEye et Fox-IT, ont pu accéder à une base de données de clés privées utilisées par CryptoLocker. Ils ont ensuite publié un service qui permettait aux victimes de déchiffrer leurs fichiers gratuitement. CryptoLocker est mort: Voici comment vous pouvez récupérer vos fichiers! CryptoLocker est mort: Voici comment vous pouvez récupérer vos fichiers! Lire la suite
Bien que CryptoLocker ait été de courte durée, il a définitivement prouvé que le modèle crypto-ransomware pouvait être lucratif et aboutir à une course aux armements quasi-digitale. Alors que les fournisseurs de sécurité ont préparé l'atténuation, les criminels ont publié des variantes de ransomware toujours plus sophistiquées.
TorrentLocker et CryptoWall: Ransomware devient plus intelligent
TorrentLocker est l'un de ces variants de rançongiciels améliorés, qui a vu le jour peu après la chute de CryptoLocker.
C'est une forme plutôt cryptographique de crypto-ransomware. Comme la plupart des formes de crypto-ransomware, son vecteur d'attaque est des pièces jointes malveillantes, en particulier des documents Word avec des macros malveillantes Comment se protéger de Microsoft Word Malware Saviez-vous que votre ordinateur peut être infecté par Microsoft malveillant Documents Office, ou que vous pourriez être dupé en activant les paramètres dont ils ont besoin pour infecter votre ordinateur? Lire la suite . Une fois qu'une machine est infectée, elle crypte l'assortiment habituel de fichiers médias et bureautiques en utilisant le cryptage AES.
La plus grande différence était dans les notes de rançon affichées. TorrentLocker afficherait la rançon requise dans la devise locale de la victime. Donc, si la machine infectée était basée en Australie, TorrentLocker afficherait le prix en dollars australiens TorrentLocker est un nouveau Ransomware Down Under. Et c'est le mal. TorrentLocker est un nouveau rançongiciel. Et c'est le mal. Lire la suite, payable dans BitCoin. Il liste même les échanges locaux BitCoin.
Il y a même eu des innovations dans le processus d'infection et d'obfuscation. Prenez CryptoWall 4.0, par exemple, la dernière souche dans la famille redoutée de crypto-ransomware.
Cela a changé la façon dont il infecte les systèmes, et renomme maintenant tous les fichiers infectés, empêchant ainsi l'utilisateur de déterminer ce qui a été chiffré, et rendant la restauration à partir d'une sauvegarde plus difficile.
Ransomware cible maintenant les plateformes de niche
La plupart des rançongiciels ciblent les ordinateurs exécutant Windows et, dans une moindre mesure, les smartphones fonctionnant sous Android. La raison pour laquelle peut principalement être attribuée à la part de marché. Beaucoup plus de gens utilisent Windows que Linux. Cela fait de Windows une cible plus attrayante pour les développeurs de logiciels malveillants.
Mais au cours de l'année écoulée, cette tendance a commencé à s'inverser - quoique lentement - et nous commençons à voir le crypto-ransomware cibler les utilisateurs Mac et Linux.
Linux.Encoder.1 a été découvert en novembre 2015 par Dr.Web, une importante société russe de cybersécurité. Il est exécuté à distance par une faille dans le CMS Magento, et cryptera un certain nombre de types de fichiers (fichiers office et media, ainsi que les types de fichiers associés aux applications web) en utilisant la cryptographie à clé publique AES et RSA. Afin de déchiffrer les fichiers, la victime devra payer une rançon d'un bitcoin.
Plus tôt cette année, nous avons assisté à l'arrivée du KeRanger ransomware, qui ciblait les utilisateurs de Mac. Quelles menaces de sécurité rencontrent les utilisateurs de Mac en 2016? Quelles menaces de sécurité rencontrent les utilisateurs de Mac en 2016? Mérité ou pas, Mac OS X a la réputation d'être plus sécurisé que Windows. Mais cette réputation est-elle encore méritée? Quelles sont les menaces de sécurité pour la plate-forme Apple et comment affectent-elles les utilisateurs? Lire la suite . Cela avait un vecteur d'attaque inhabituel, car il entrait dans les systèmes en infiltrant les mises à jour logicielles de Transmission - un client BitTorrent populaire et légitime.
Bien que la menace de rançongiciels sur ces plateformes soit faible, elle augmente indéniablement et ne peut être ignorée.
L'avenir du ransomware: la destruction en tant que service
Alors, à quoi ressemble le futur de ransomware? Si je devais le mettre en mots: les marques et les franchises.
Parlons d'abord des franchises. Une tendance intéressante est apparue au cours des dernières années, dans le respect que le développement des rançongiciels est devenu incroyablement banalisé. Aujourd'hui, si vous êtes infecté par un ransomware, il est tout à fait plausible que la personne qui l'a distribuée ne soit pas la personne qui l'a créée.
Ensuite, il y a l'image de marque. Alors que de nombreuses souches de rançongiciels ont acquis une reconnaissance de nom pour le pouvoir destructeur qu'elles possèdent, certains fabricants visent à rendre leurs produits aussi anonymes et génériques que possible.
La valeur d'un ransomware en marque blanche est qu'il peut être renommé. D'une souche de ransomware principale, des centaines d'autres peuvent émerger. C'est peut-être la raison pour laquelle, au premier trimestre 2015, plus de 725 000 échantillons de ransomware ont été collectés par McAfee Labs. Cela représente une augmentation trimestrielle de près de 165%.
Il semble extrêmement improbable que les forces de l'ordre et l'industrie de la sécurité soient en mesure de contenir cette marée montante.
Avez-vous été frappé par un rançongiciel? Avez-vous payé, perdu vos données ou réussi à surmonter le problème d'une autre manière (peut-être une sauvegarde)? Parle-nous-en dans les commentaires!
Crédits image: confidentialité et sécurité par Nicescene via Shutterstock