Accueil / IT Business / Cybersécurité / Sept méthodes couramment utilisées pour qu’un ransomware infecte une entreprise

Sept méthodes couramment utilisées pour qu’un ransomware infecte une entreprise

Il est essentiel de comprendre comment un ransomware, ou rançongiciel, infecte un appareil et se propage sur un réseau afin d’éviter d’être la prochaine victime. Au vu des récentes attaques, le risque de ne plus avoir accès à son matériel, aux données ou aux services est d’autant plus important que désormais les hackers menacent de divulguer les données piratées sur des sites publics si les victimes ne paient pas. Même si de plus en plus d’entreprises, sensibilisées à ce risque, investissent dans des solutions de sauvegarde et de reprise après incident, cela n’est plus suffisant car les cyber délinquants détiennent des données cruciales sur les clients et l’entreprise.

Mieux vaut prévenir que guérir : telle est la véritable réponse à apporter face à ce phénomène. Mais comment ces malwares dévastateurs infectent-ils précisément les équipements ?

1. Piratage via des techniques d’hameçonnage (phishing) et d’ingénierie sociale

La méthode la plus couramment utilisée par les pirates pour infecter un poste de travail avec un rançongiciel, c’est de procéder à un hameçonnage par e-mail. Des informations toujours plus ciblées, personnalisées et précises sont employées pour tromper la victime potentielle et l’inciter à ouvrir une pièce jointe ou à cliquer sur des liens, et télécharger ainsi des documents malveillants. Les fichiers peuvent prendre une forme standard, de type pièces jointes MS Office, fichiers PDF ou JavaScript. En cliquant sur ces fichiers ou en activant les macros, le fichier s’exécute alors, lançant le processus de cryptage des données sur la machine de la victime.

2. Infection via des sites web compromis

Les attaques par ransomware ne se déclenchent pas toutes à partir d’un e-mail malveillant. Les sites web compromis permettent également d’insérer facilement un code malveillant. Il suffit à une victime peu méfiante de visiter le site en question, qu’elle a éventuellement l’habitude de fréquenter. Le site compromis est ensuite redirigé vers une page qui invite l’utilisateur à télécharger une nouvelle version d’un logiciel (navigateur web, module externe ou lecteur multimédia, par exemple). Si le site a été conçu pour diffuser un ransomware, ce dernier peut être soit activé directement, soit (et c’est le scénario le plus courant) exécuter un programme d’installation qui le télécharge.

3. « Malvertising » et piratage du navigateur

Si une vulnérabilité dans le navigateur de l’utilisateur n’a pas été corrigée, celui-ci peut être la cible d’une attaque par « malvertising ». Les cybercriminels peuvent, en se servant de publicités courantes sur un site web, insérer du code malveillant qui téléchargera le rançongiciel une fois la publicité affichée. Bien que moins fréquent, ce vecteur de rançongiciel n’en représente pas moins un danger puisqu’il n’exige de la victime aucune action.

4. « Exploit Kits » à l’origine de malwares personnalisés

Les « exploit kits » ou kits d’exploitation ?Angler, Neutrino et Nuclear sont largement utilisés dans les attaques par ransomware. Il s’agit d’attaques pré-programmées qui ciblent les vulnérabilités des modules externes de navigateurs tels que Java et Adobe Flash. Microsoft Internet Explorer et Microsoft Silverlight sont aussi des cibles courantes. Des rançongiciels comme Locky et CryptoWallont été diffusés via des « exploit kits » sur des sites piégés et via des campagnes de « malvertising ».

5. Téléchargement de fichiers et applications infectés

N’importe quel fichier ou application susceptible d’être téléchargé peut être utilisé pour des rançongiciels. Les logiciels crackés sur des sites illégaux de partage de fichiers, vecteurs privilégiés de compromission, sont bien souvent porteurs de malwares. Les récentes variantes de MBRLocker, par exemple, suivent le même chemin. Les cybercriminels risquent également de détourner des sites web légitimes pour diffuser un exécutable infecté. Il suffit à la victime de télécharger le fichier ou l’application pour que le rançongiciel soit injecté.

6. Applications de messagerie instantanée comme vecteurs d’infection

Dans des applications de messagerie instantanée comme WhatsApp et Facebook Messenger, un rançongiciel peut, sous couvert d’une image au format SVG, charger un fichier contournant les filtres d’extension traditionnels. À partir du moment où la victime accède au fichier d’image infecté, elle est redirigée vers un site apparemment légitime. À l’issue du chargement, elle est invitée à accepter une installation qui, si elle est menée à bien, diffuse la charge utile et se propage à ses contacts.

7. Attaques par force brute via le protocole RDP

Les cybercriminels font appel à des ransomwares pour compromettre directement des postes de travail en lançant une attaque par force brute via des serveurs RDP (Remote Desktop Protocol). Les pirates peuvent rechercher des machines vulnérables à l’aide d’outils comme Shodan et de scanners de ports tels que Nmap et Zenmap. Une fois leurs cibles définies, les attaquants lancent une attaque pour cracker le mot de passe et se connecter en tant qu’administrateurs. L’utilisation de mots de passe faibles ou d’authentifiants par défaut, conjuguée à des outils open source de crackage facilitent leurs tentatives. Une fois connectés comme administrateurs, les attaquants peuvent crypter les données. Ils ont également tout loisir de désactiver la protection des postes de travail, d’effacer les sauvegardes pour accroître la probabilité des paiements.

Les ransomwares ne cessant d’évoluer, le RaaS (Ransomware-as-a-Service) jouit à l’heure actuelle d’une popularité croissante. Les auteurs de malwares vendent des rançongiciels « sur mesure » aux cybercriminels en échange d’un pourcentage sur les profits réalisés. L’acheteur du service décide des cibles et des méthodes de livraison. Cette division du travail et des risques donne lieu à des malwares toujours plus ciblés, à des techniques de diffusion innovantes et, au final, à une fréquence accrue des attaques par ransomware.

 

A voir

Conscio Technologies confirme son dynamisme en 2020

Conscio Technologies, spécialiste de la sensibilisation à la sécurité IT et éditeur de la plateforme Sensiwave...