Les rançongiciels – des logiciels malveillants qui cryptent les fichiers de la victime et les retiennent en otage jusqu’à ce que la victime paie une rançon en Bitcoin – sont devenus une menace puissante et de plus en plus courante en ligne. Mais de nombreux internautes ignorent que les ransomwares peuvent aussi facilement prendre le contrôle des fichiers stockés sur les services cloud.
Toni Casala découvert cela à la dure. L’entreprise de Casala – Children in Film – travaille en tant que défenseur des jeunes acteurs et de leurs familles. Toutes les opérations de l’entreprise reposent sur des services d’hébergement d’applications dans une société de solutions cloud gérées en Californie, de QuickBooks à Microsoft Office et Outlook. Les employés utilisent Citrix pour se connecter au cloud, et l’application de la société d’hébergement mappe le lecteur cloud en tant que disque local sur le disque dur de l’utilisateur.
« Nous aimions cette situation », a déclaré Casala. « Nous pouvons garder les ordinateurs ici au travail vides, et le service est très bon marché si vous le comparez au coût d’avoir plus d’informaticiens dans le personnel. De plus, lorsque nous avons besoin d’aide, ils sont très réactifs. Nous ne sommes pas confiés à un centre d’appels en Inde. »
Ils l’adoraient, c’est-à-dire jusqu’à la veille du Nouvel An, lorsqu’un employé a ouvert une pièce jointe à un e-mail qui semblait être une facture. Trente minutes plus tard, personne dans l’entreprise de Casala ne pouvait accéder à l’un des plus de 4 000 fichiers de l’entreprise stockés sur le lecteur cloud.
« Quelqu’un dans mon bureau s’est connecté à Outlook et a ouvert la pièce jointe de la facture et BAM !, en 30 minutes, chaque fichier sur notre lecteur Q avait ‘vvv’ ajouté en tant qu’extension de fichier », a-t-elle déclaré. Chaque dossier contenait un fichier qui disait « help.decrypt », essentiellement les instructions de l’attaquant pour savoir comment payer la rançon.
Le fournisseur de cloud que la société de Casala utilise gardait des sauvegardes quotidiennes, mais elle a dit qu’il leur a quand même fallu près d’une semaine pour restaurer complètement tous les fichiers retenus en otage. Elle a déclaré que le service d’hébergement lui avait dit que le logiciel malveillant perturbait également les opérations d’autres clients sur le même serveur.
Casala a déclaré que son entreprise avait eu de la chance sur plusieurs fronts. Pour commencer, l’infection s’est produite juste avant que son entreprise ne ferme ses activités pour les vacances du Nouvel An, de sorte que la panne a été moins gênante qu’elle n’aurait normalement dû l’être.
Plus important encore, le malware qui a brouillé leurs fichiers – une souche de ransomware appelée TeslaCrypt, contenait une faiblesse de codage qui a permis aux sociétés de sécurité et d’antivirus d’aider les victimes à décrypter les fichiers sans payer la rançon. Utilisateurs sur le forum d’aide informatique BipOrdinateur ont créé TeslaDecoder, qui permet aux victimes de décrypter les fichiers verrouillés par TeslaCrypt.
Casala a déclaré que la société d’hébergement avait installé un antivirus sur le serveur, mais que le ransomware avait échappé à ces défenses. En effet, les escrocs qui distribuent les logiciels de rançon ont conçu le logiciel malveillant pour échapper à la détection par le logiciel antivirus. Pour en savoir plus sur la façon dont les cybercriminels y parviennent, consultez Antivirus is Dead : Long Live Antivirus.
La meilleure défense contre les ransomwares est un bon ensemble de sauvegardes de données effectuées chaque jour, de préférence sur un appareil qui n’est pas toujours connecté au réseau. Malheureusement, c’est souvent plus facile à dire qu’à faire, surtout pour les petites entreprises. Pour de nombreuses victimes de rançongiciels qui n’ont pas de sauvegardes sur lesquelles s’appuyer, le choix de payer se résume à la question de savoir dans quelle mesure la victime a besoin d’accéder aux fichiers rançonnés et si les fichiers perdus valent plus que la demande de rançon (qui n’est généralement que de quelques centaines de dollars en Bitcoin).
De nombreux lecteurs peuvent avoir du mal à croire que les colporteurs de ransomwares remettront réellement les fichiers cryptés dans leur état d’origine si la rançon est payée. Mais les cybercriminels qui gèrent ces stratagèmes ont tout intérêt à s’assurer que la transaction est relativement transparente : ils comprennent que si l’on apprend que les victimes ne récupèrent pas leurs fichiers après avoir payé, moins de victimes paieront. De plus, le montant demandé en rançon vise à atteindre ce point idéal : les voleurs savent que s’ils exigent trop de chaque victime, ils auront moins de victimes qui finiront par payer.
Cela dit, un rançongiciel est un code informatique, et même les codeurs de logiciels malveillants font des erreurs. De temps en temps, les escrocs publient une nouvelle version de ransomware qui contient des erreurs de programmation critiquesrendant ainsi les fichiers de la victime irrécupérables même si elle paie la rançon.
L’une des principales raisons pour lesquelles les escroqueries par ransomware sont de plus en plus répandues est liée à la prolifération d’outils et de services plug-and-play qui facilitent la création de votre propre syndicat de la cybercriminalité. Plus tôt ce mois-ci, la société de sécurité Emsisoft a publié un regard fascinant sur un produit crimeware-as-a-service commercialisé dans l’underground appelé Rançon32qui permet à quiconque de lancer sa propre campagne de ransomware simplement en fournissant une adresse Bitcoin à laquelle les victimes seront invitées à envoyer les fonds.
Le logiciel criminel en tant que package de rançongiciel de service, Ransome32. Image : Emsisoft.
« Après avoir saisi votre adresse Bitcoin, vous aurez accès au panneau d’administration rudimentaire », a expliqué la société. « Dans le panneau d’administration, vous pouvez obtenir diverses statistiques, comme par exemple combien de personnes ont déjà payé ou combien de systèmes ont été infectés. Vous pouvez également configurer votre « client », qui est leur terme pour le malware réel. Il est possible de modifier la quantité de Bitcoins que le logiciel malveillant demandera, ainsi que de configurer des paramètres tels que de fausses boîtes de message que le logiciel malveillant est censé afficher lors de l’installation.
Selon Emsisoft, le service de logiciels criminels Ransom32 comprend également une fonctionnalité qui propose de décrypter un seul fichier pour démontrer que l’auteur du logiciel malveillant a la capacité d’inverser le cryptage.
Il me semble que les attaques de ransomwares ont une grande marge de croissance. Je m’attendrais à ce que les criminels qui ont les compétences nécessaires pour construire et gérer leurs propres campagnes de ransomware finissent par commencer à faire un meilleur travail en ciblant les victimes – c’est-à-dire en prenant le temps supplémentaire pour avoir une meilleure idée de la valeur des fichiers rançonnés, puis en ajustant la demande de rançon en conséquence.
Si vous ou votre entreprise êtes victime d’un rançongiciel, résistez à la tentation de payer, ce qui ne fait que perpétuer ces escroqueries. Respirez profondément, dirigez-vous vers Section de suppression des rançongiciels de BleepingComputerqui comprend des ressources qui peuvent vous permettre de récupérer des fichiers sans récompenser les escrocs.