À propos de l'Auteur
Kelvin Murray est chercheur principal sur les menaces à Webroot.
Ransomware est un logiciel malveillant qui contient votre rançon de données. Aujourd'hui, il s'agit généralement de crypter les données d'une victime avant de demander de l'argent (généralement une crypto-monnaie) à décrypter. Les ransomwares dominent le monde des malwares depuis fin 2013, mais ils ont finalement connu un déclin l'année dernière. La baisse générale du nombre de logiciels malveillants, ainsi que les améliorations défensives apportées par le monde informatique en général (comme l'adoption plus généralisée des sauvegardes), ont été des facteurs, mais ont également conduit cette menace à être plus spécifique et implacable.
Modes de livraison
Lorsque le logiciel de rançon est apparu pour la première fois, il était généralement distribué par le biais de campagnes de courrier électronique massives et de kits opérationnels. Les consommateurs et les utilisateurs professionnels ont été touchés sans grande discrétion. Aujourd'hui, de nombreux criminels de ransomware préfèrent choisir leurs cibles pour maximiser leurs profits. Faire des affaires a un coût pour infecter les gens. Plus le groupe de personnes que vous essayez d'atteindre est grand, plus cela coûtera cher.
Kits d'opération
Le simple fait de visiter certains sites Web peut vous infecter, même si vous n'essayez pas de télécharger quoi que ce soit. Cela se fait généralement en exploitant les faiblesses du logiciel utilisé pour naviguer sur le Web, comme votre navigateur, Java ou Flash. Les outils de développement et de gestion de contenu comme WordPress et Microsoft Silverlight sont également des sources courantes de vulnérabilités. Mais de nombreux logiciels et sites Web sont impliqués dans la transmission d'infections de cette manière. La plupart de ces travaux sont inclus dans un kit d'exploitation qui peut être loué à des criminels pour les aider à propager leurs logiciels malveillants.
La location d'un kit d'exploitation peut coûter 1,000 XNUMX € par mois. Ce mode de livraison n'est pas pour tout le monde. Uniquement des cybercriminels suffisamment motivés et financés.
Eric Klonowski, analyste principal de la recherche sur les menaces chez Webroot, a déclaré: «Étant donné que le coût des opérations a augmenté de manière si spectaculaire au cours de la dernière décennie, nous continuons à constater une diminution du coût des activités commerciales. En utilisant la période de 0 jour dans la nature (comme fuite d'exploitation privée associée).
"Sans aucun doute, les acteurs étatiques continueront de les stocker pour les utiliser dans les cibles les plus rentables, mais ils espèrent que les occurrences de Shadowbrokers cesseront." Les fuites susmentionnées ont probablement servi de puissant outil d'éveil interne. vous avez accès à ces utilitaires (ou peut-être là où ils sont laissés pour compte). »
Les opérations destinées à être utilisées à la fois par les logiciels malveillants et les menaces Web sont plus difficiles à obtenir aujourd'hui et, par conséquent, nous constatons une diminution du nombre de kits opérationnels et une augmentation du coût des opérations dans la nature. Cette menace ne va nulle part, mais elle diminue.
Campagnes par e-mail
Les courriers indésirables sont un excellent moyen de propager des logiciels malveillants. Ils sont bons pour les criminels car ils peuvent frapper des millions de victimes à la fois. Cependant, contourner les filtres de messagerie, créer un message de phishing convaincant, créer une pipette et contourner la sécurité globale est difficile à faire à grande échelle. La gestion de ces grandes campagnes nécessite du travail et de l'expérience, donc elles coûtent cher, tout comme un kit opérationnel.
Attaques ciblées
La probabilité qu'une cible paie une rançon et le montant de cette rançon sont soumis à un certain nombre de facteurs, notamment:
- Le pays de la victime. Le PIB du pays d'origine de la victime est corrélé au succès d'une campagne électorale, et les victimes de pays plus riches sont plus susceptibles de payer une rançon;
- L'importance des données cryptées;
- Les coûts associés aux temps d'arrêt;
- Le système d'exploitation utilisé. Selon les données Webroot, les utilisateurs de Windows 7 sont deux fois plus susceptibles d'être exposés à des logiciels malveillants que les utilisateurs de Windows 10.
- Que la cible soit une entreprise ou un particulier. Les clients professionnels sont plus susceptibles de payer et de payer gros.
Étant donné que la probabilité de succès varie en fonction des circonstances de la cible, il est important de noter qu'il existe des moyens de restreindre la sélection des cibles à l'aide de kits d'exploitation ou de campagnes par e-mail, mais ces attaques sont plus dispersées que d'autres attaques plus ciblées.
Protocole de bureau à distance (RDP)
Le protocole RDP (Remote Desktop Protocol) est un système Microsoft populaire que les administrateurs utilisent principalement pour se connecter à distance aux serveurs et autres points de terminaison. Lorsqu'ils sont activés par de mauvais paramètres et politiques de mot de passe, les cybercriminels peuvent facilement les pirater. Les violations du PDR ne sont pas nouvelles, mais malheureusement, la communauté des affaires (et en particulier la communauté des petites entreprises) a ignoré la menace pendant des années.
Récemment, des agences gouvernementales aux États-Unis et au Royaume-Uni ont mis en garde contre cette attaque totalement évitable. Les cybercriminels moins sophistiqués peuvent acheter un accès RDP à des machines déjà piratées sur le dark web. L'accès aux machines dans les principaux aéroports a été observé sur les marchés noirs pour seulement quelques dollars.
phishing
Si vous connaissez votre cible, vous pouvez personnaliser un e-mail spécifiquement pour les induire en erreur. C'est ce qu'on appelle le harponnage, et c'est une technique extrêmement efficace qui est utilisée dans de nombreux cas de ransomwares.
Malware modulaire
Les logiciels malveillants modulaires attaquent un système à différentes étapes. Une fois exécuté sur une machine, un travail de reconnaissance est effectué avant que le malware ne reprenne les communications avec sa base et que des charges utiles supplémentaires soient téléchargées.
Trickbot
Nous avons également vu le Trojan Trickbot Modular Banking Trojan Deposit Ransomware Trojan comme Bitpaymer sur les machines. Récemment, il a été utilisé pour tester la valeur d'une entreprise avant de permettre aux attaquants de déployer des outils d'accès à distance et Ryuk (ransomware) pour crypter ses informations les plus précieuses. Les acteurs derrière cette campagne Trickbot / Ryuk ne poursuivent que de grands objectifs lucratifs dont ils savent qu'ils peuvent paralyser.
Trickbot lui-même est souvent abandonné par un autre programme malveillant modulaire, Emotet.
Quelles sont les tendances actuelles?
Comme indiqué, l'utilisation des ransomwares peut être en baisse en raison de l'augmentation des défenses et de la sensibilisation accrue aux menaces, mais la tendance plus large et plus notable est de cibler plus attentivement. choisi. Les extensions RDP ont été la plus grande source d'appels de ransomwares à nos équipes d'assistance au cours des 2 dernières années. Ils sont totalement dévastateurs pour les personnes touchées, de sorte que des rançons sont souvent payées.
Les logiciels malveillants modulaires consistent à rechercher une cible avant de décider de s'exécuter ou non, et cette menace est en train de devenir une menace au cours des six derniers mois.
automation
Lorsque nous parlons de ciblage, vous supposez probablement qu'un humain est impliqué. Mais, dans la mesure du possible, l'attaque sera codée pour libérer la main-d'œuvre. Les programmes malveillants décident généralement de ne pas s'exécuter s'ils se trouvent dans un environnement virtualisé ou si des outils d'analyse sont installés sur des ordinateurs. Trickbot et Emotet utilisent une automatisation transparente pour maintenir les réseaux de zombies opérationnels et se propager à l'aide d'informations d'identification volées. Les violations de RDP sont plus faciles que jamais grâce aux processus automatisés qui ciblent des cibles à utiliser sur Internet. Attendez-vous à une automatisation de plus en plus intelligente des ransomwares et autres logiciels malveillants à l'avenir.
Qu'est-ce que je peux faire?
- Sécurisez votre RDP;
- Utilisez la politique de mot de passe appropriée. Ceci est lié aux menaces de ransomware RDP et s'applique particulièrement aux administrateurs;
- Tout mettre à jour;
- Sauvegardez tout. Cette sauvegarde est-elle physiquement connectée à votre environnement (comme le stockage USB)? Si tel est le cas, il peut être facilement chiffré par des acteurs malveillants. Assurez-vous de sauvegarder votre courrier aérien ou votre cloud.
- Si vous pensez avoir été victime d'une violation, des outils de décryptage peuvent être disponibles. Malgré les brillants efforts des chercheurs en matière de décryptage, ce n'est le cas que dans certains cas.
Kelvin Murray est chercheur principal sur les menaces à Webroot.