L’Australie est un canard assis pour les attaques de ransomware

L'Australie est-elle un canard assis pour les attaques de ransomware ?  Oui, et le danger grandit depuis 30 ans

Le cheval de Troie du SIDA de 1989 (PC Cyborg) demande de rançon. Crédit : Joseph L. Popp, auteur du cheval de Troie d’information sur le SIDA, domaine public, via Wikimedia Commons

Les organisations australiennes sont une cible privilégiée pour les attaques de ransomware, déclarent les experts qui ont lancé hier un nouvel avertissement selon lequel le gouvernement doit faire plus pour empêcher les agences et les entreprises de devenir la proie de la cybercriminalité. Mais en vérité, le danger augmente dans le monde entier depuis plus de trois décennies.

Bien qu’il s’agisse d’un concept relativement nouveau pour le public, le ransomware a ses racines à la fin des années 1980 et a considérablement évolué au cours de la dernière décennie, récoltant des milliards de dollars de gains mal acquis.

Avec des noms comme Bad Rabbit, Chimera et GoldenEye, le ransomware a établi une qualité mythique avec une allure de mystère et de fascination. À moins, bien sûr, que vous soyez la cible.

Les victimes ont peu d’options à leur disposition; refuser de payer la rançon dépend d’avoir des pratiques de sauvegarde suffisamment bonnes pour récupérer les données corrompues ou volées.

Selon une étude de la société de sécurité Coveware, 51 % des entreprises interrogées ont été touchées par un type de ransomware en 2020. Plus inquiétant encore, les demandes de rançon typiques augmentent considérablement, passant d’une moyenne de 6 000 USD en 2018 à 84 000 USD en 2019, et un montant stupéfiant de 178 000 $ US en 2020.

Un bref historique des ransomwares

Le premier exemple connu de ransomware remonte à 1988-89. Joseph Popp, un biologiste, a distribué des disquettes contenant une enquête (la « disquette d’introduction d’informations sur le SIDA ») pour déterminer les risques d’infection par le SIDA. Quelque 20 000 d’entre eux auraient été distribués lors d’une conférence de l’Organisation mondiale de la santé et via des listes de diffusion postales. À l’insu de ceux qui recevaient les disques, il contenait son propre virus. Le cheval de Troie AIDS était en sommeil sur les systèmes avant de verrouiller les fichiers des utilisateurs et d’exiger des « frais de licence » pour restaurer l’accès.

Bien que le malware soit inélégant et facile à supprimer, il a attiré l’attention des médias à l’époque en tant que nouveau type de cybermenace. La demande de paiement (par chèque à une boîte postale au Panama) était primitive par rapport aux approches modernes, qui demandent que les fonds soient transférés par voie électronique, souvent en crypto-monnaies.

Il a fallu plus d’une décennie avant que les ransomwares ne commencent vraiment à proliférer. Au milieu des années 2000, un cryptage plus fort a permis des campagnes de rançon plus efficaces avec l’utilisation de la cryptographie asymétrique (dans laquelle deux clés sont utilisées : une pour crypter et une seconde, gardée secrète par les criminels, pour décrypter), ce qui signifiait même des compétences qualifiées. les administrateurs système ne pouvaient plus extraire les clés du malware.

L'Australie est-elle un canard assis pour les attaques de ransomware ?  Oui, et le danger grandit depuis 30 ans

Demande de rançon CryptoLocker. Crédit : Nikolai Grigorik, CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0, via Wikimedia Commons

En 2013, les logiciels malveillants CryptoLocker ont atteint une domination mondiale, en partie pris en charge par le botnet GameOver Zeus. Cryptolocker a crypté les fichiers des utilisateurs, en envoyant la clé de déverrouillage à un serveur contrôlé par les criminels avec un délai de trois jours avant que la clé ne soit détruite. Le réseau a été fermé en 2014, grâce à un important effort mondial d’application de la loi appelé Opération Tovar. On estime qu’il a touché plus de 250 000 victimes et potentiellement rapporté 42 000 Bitcoin, d’une valeur d’environ 2 milliards de dollars US à l’évaluation d’aujourd’hui.

En 2016, il y a eu plusieurs incidents très médiatisés impliquant le ransomware Petya, qui ont empêché les utilisateurs d’accéder à leurs disques durs. C’était l’un des premiers exemples significatifs de Ransomware as a Service, où des gangs criminels « vendent » leurs outils de ransomware en tant que service géré.

L’année suivante a sans doute vu l’attaque de ransomware la plus notoire de tous les temps : l’attaque WannaCry. Il a touché des centaines de milliers d’ordinateurs, dont environ 70 000 systèmes du National Health Service du Royaume-Uni. L’impact mondial de WannaCry a été estimé à 4 milliards de dollars US.

Plus récent encore était le ransomware Ryuk, qui ciblait les conseils locaux et les agences gouvernementales nationales. Mais les cybercriminels ont également attaqué des entreprises privées spécifiques, notamment le plus grand réseau de distribution de pétrole raffiné des États-Unis, Colonial Pipeline, la multinationale de transformation de viande JBS Foods et le réseau australien Channel Nine.

Tous les ransomwares sont-ils identiques ?

Il existe des centaines de types de ransomwares, mais ils appartiennent à quelques grandes catégories :

Logiciel de rançon cryptographique

Dans les attaques de ransomware crypto modernes, le malware crypte les fichiers des utilisateurs (« verrouille » les fichiers pour les rendre illisibles) et implique généralement une « clé » pour déverrouiller les fichiers stockés sur un serveur distant contrôlé par les cybercriminels. Les premières variantes obligeraient la victime à acheter un logiciel pour déverrouiller les fichiers.

L'Australie est-elle un canard assis pour les attaques de ransomware ?  Oui, et le danger grandit depuis 30 ans

Demande de rançon Wannacry avec prise en charge multilingue intégrée. Capture d’écran d’une attaque de ransomware WannaCry sur Windows 8. Crédit : domaine public, via Wikimedia Commons

Ransomware Locker

Le ransomware Locker est généralement un type de malware plus complexe qui cible l’ensemble du système d’exploitation d’un utilisateur (tel que Windows, macOS ou Android), ce qui entrave sa capacité à utiliser son appareil. Les exemples peuvent inclure empêcher l’ordinateur de démarrer, ou forcer une fenêtre de demande de rançon à apparaître au premier plan et empêcher l’interaction avec les autres applications.

Bien que les fichiers ne soient pas cryptés, le système est généralement inutilisable par la plupart des utilisateurs (car vous auriez probablement besoin d’un autre système ou logiciel pour extraire les fichiers). Dans certains cas, les demandes de rançon font référence à des agences gouvernementales avec des menaces d’enquêtes relatives à la fraude fiscale, à la possession de matériel pédopornographique ou à des activités terroristes.

Fuite

Dans une attaque de fuite, les données ne sont pas cryptées mais sont plutôt volées à la victime et détenues par des cybercriminels. C’est la menace de divulgation publique seule qui est utilisée pour garantir le paiement d’une rançon. De 2020 à 2021, les occurrences signalées de rançons non cryptées ont doublé.

Double extorsion

La double extorsion est une évolution alarmante dans laquelle non seulement un paiement est requis pour sécuriser la diffusion des données chiffrées de l’organisation, mais il existe également une menace supplémentaire de diffusion publique.

Cette approche implique généralement que les données soient volées à l’organisation pendant le processus d’infection par les logiciels malveillants, puis envoyées aux serveurs gérés par les cybercriminels. Pour encourager le paiement, des extraits peuvent être publiés sur des sites Web publics pour prouver la possession des données, couplés à des menaces de publier les données restantes.






Le ransomware en tant que service est là – et moins cher que vous ne le pensez !

Ransomware en tant que service (RaaS)

Les premiers ransomwares ont été développés par des particuliers mais, comme pour tous les logiciels, les ransomwares ont atteint leur maturité. C’est maintenant une industrie de plusieurs milliards de dollars (environ 20 milliards de dollars US en 2020) et est tout aussi bien conçue et mise en œuvre que n’importe quel logiciel commercial.

Tout comme Office 365 de Microsoft est devenu un service, où au lieu d’acheter le logiciel, vous payez un abonnement mensuel ou annuel, il en va de même pour les ransomwares. Le ransomware en tant que service (RaaS) permet aux criminels d’obtenir des services, généralement en échange d’une partie de la rançon.

Payer ou ne pas payer?

La plupart des organismes chargés de l’application des lois déconseillent le paiement de rançons (tout comme de nombreux gouvernements ne négocieront pas avec les terroristes), car cela est susceptible d’encourager de futures attaques. Mais de nombreuses organisations paient néanmoins. Fait intéressant, le secteur public verse jusqu’à dix fois plus d’argent pour libérer leurs dossiers que les victimes du secteur privé.

Payer une rançon est souvent considéré comme le moindre de deux maux, en particulier pour les petites organisations qui autrement seraient complètement fermées en raison de la perturbation de leurs systèmes. Ou, si vous avez de la chance, le malware aura déjà un antidote accessible au public.

Mais payer la rançon ne garantit pas que vous récupérerez toutes vos données. Selon une estimation, une moyenne de 65 % des données étaient généralement récupérées après le paiement de la rançon, et seulement 8 % des organisations ont réussi à les restaurer toutes.

Les groupes criminels engrangeant désormais des profits de plusieurs millions de dollars, les attaques de ransomwares cibleront probablement les grandes organisations où les récompenses sont plus importantes, peut-être en se concentrant sur les détenteurs de propriété intellectuelle précieuse tels que les secteurs de la santé et de la recherche médicale. L’Internet des objets (IoT) sera probablement une cible pour les cybercriminels, avec des réseaux mondiaux d’appareils connectés tenus en otage.

Alors que les grandes organisations sont susceptibles d’avoir des garanties techniques appropriées, l’éducation des utilisateurs est toujours la clé – un manque de jugement d’une seule personne peut toujours mettre une organisation à genoux. Pour les petites entreprises, la recherche (et le suivi) de cyber-conseils est cruciale.

Compte tenu de l’énorme échelle à laquelle les cybercriminels opèrent actuellement, nous devons espérer que les ingénieurs chargés de l’application de la loi et de la sécurité logicielle pourront garder une longueur d’avance.


Des professeurs étudient les réponses idéales aux attaques de ransomware


Fourni par La Conversation

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l’article original.La conversation

Citation: L’Australie est un canard assis pour les attaques de ransomware (2021, 14 juillet) récupéré le 14 juillet 2021 à partir de https://techxplore.com/news/2021-07-australia-duck-ransomware.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.