VietNamNet présente un article de M. Dao Trung Thanh, expert en cybersécurité et directeur adjoint du Blockchain and AI Institute, pour mieux comprendre la cyberattaque de VNDirect Securities Company et les dangers des ransomwares.
Les ransomwares, un type de malware qui crypte les données du système d'une victime et exige une rançon pour les décrypter, sont devenus l'une des menaces de cybersécurité les plus dangereuses au monde aujourd'hui. Photo : zephyr_p/Fotolia

L'affaire VNDirect et qu'est-ce qui rend les ransomwares dangereux ?

Le 24 mars 2024, la société vietnamienne VNDirect Securities est devenue le nouveau foyer d'attaques internationales de rançongiciels. Cette attaque n'est pas un cas isolé.

Les ransomwares, un type de malware conçu pour crypter les données du système d'une victime et exiger une rançon pour les décrypter, sont devenus l'une des menaces de cybersécurité les plus répandues et les plus dangereuses au monde aujourd'hui. La dépendance croissante aux données numériques et aux technologies de l’information dans tous les domaines de la vie sociale rend les organisations et les individus vulnérables à ces attaques.

Le danger des ransomwares ne réside pas seulement dans leur capacité à crypter les données, mais aussi dans la manière dont ils se propagent et exigent une rançon, créant ainsi un canal de transaction financière par lequel les pirates peuvent réaliser des profits illégaux. La sophistication et l’imprévisibilité des attaques de ransomware en font l’un des plus grands défis auxquels la cybersécurité est confrontée aujourd’hui.

L’attaque contre VNDirect est un rappel brutal de l’importance de comprendre et de se protéger contre les ransomwares. Ce n’est qu’en comprenant le fonctionnement des ransomwares et les menaces qu’ils représentent que nous pouvons établir des mesures de protection efficaces, depuis la formation des utilisateurs, l’application de solutions techniques jusqu’à l’élaboration d’une stratégie de prévention globale pour protéger les données critiques et les systèmes d’information.

Comment fonctionnent les ransomwares

Les ransomwares, une menace terrifiante dans le monde de la cybersécurité, opèrent de manière sophistiquée et diversifiée, entraînant de graves conséquences pour les victimes. Pour mieux comprendre le fonctionnement des ransomwares, nous devons nous plonger dans chaque étape du processus d’attaque.

Infection

L'attaque commence lorsque le ransomware infecte le système. Il existe plusieurs méthodes courantes utilisées par les ransomwares pour infiltrer le système d'une victime, notamment :

Courriels de phishing : faux courriels contenant des pièces jointes malveillantes ou des liens vers des sites Web contenant du code malveillant ; Exploitation des vulnérabilités : tirer parti des vulnérabilités des logiciels non corrigés pour installer automatiquement des ransomwares sans interaction de l'utilisateur ; Malvertising : utilisation de la publicité sur Internet pour diffuser du code malveillant ; Téléchargements à partir de sites Web malveillants : les utilisateurs téléchargent des logiciels ou du contenu à partir de sites Web non fiables.

Cryptage

Une fois infecté, le ransomware commence le processus de cryptage des données sur le système de la victime. Le cryptage est le processus de conversion des données dans un format qui ne peut pas être lu sans la clé de décryptage. Les ransomwares utilisent souvent des algorithmes de cryptage puissants, garantissant que les données cryptées ne peuvent pas être récupérées sans une clé spécifique.

Demande de rançon

Après avoir crypté les données, le ransomware affiche un message sur l'écran de la victime, exigeant une rançon pour décrypter les données. L'avis contient généralement des instructions sur la manière de payer (généralement via Bitcoin ou d'autres crypto-monnaies pour masquer l'identité du criminel), ainsi qu'une date limite de paiement. Certaines versions de ransomware menacent également de supprimer des données ou de les publier si une rançon n’est pas payée.

Transactions et décryptage (ou pas)

La victime est alors confrontée à une décision difficile : payer la rançon et espérer récupérer ses données, ou refuser et perdre ses données à jamais. Cependant, payer ne garantit pas que les données seront décryptées. En fait, cela pourrait même encourager les criminels à poursuivre leurs actions.

La manière dont fonctionnent les ransomwares ne témoigne pas seulement d’une sophistication technique, mais reflète également une triste réalité : une volonté d’exploiter la crédulité et l’ignorance des utilisateurs. Cela souligne l’importance de sensibiliser et de mieux faire connaître la cybersécurité, depuis la reconnaissance des e-mails de phishing jusqu’à la mise à jour des logiciels de sécurité. Face à une menace en constante évolution comme les ransomwares, l’éducation et la prévention sont plus importantes que jamais.

Variantes courantes de ransomwares

Dans le monde des menaces de ransomware, certaines variantes se distinguent par leur complexité, leur capacité à se propager et leur impact grave sur les organisations à l’échelle mondiale. Vous trouverez ci-dessous une description de sept variantes courantes et de leur fonctionnement.

REvil (également connu sous le nom de Sodinokibi)

Fonctionnalités : REvil est une variante de Ransomware-as-a-Service (RaaS), permettant aux cybercriminels de le « louer » pour mener leurs propres attaques. Cela augmente considérablement la propagation et le nombre de victimes de ce ransomware.

Méthode de propagation : Distribution via des vulnérabilités de sécurité, des e-mails de phishing et des outils d'attaque à distance. REvil utilise également des méthodes d’attaque pour crypter ou voler automatiquement des données.

Ryûk

Caractéristiques : Ryuk cible principalement les grandes organisations pour maximiser la rançon. Il a la capacité de se personnaliser pour chaque attaque, ce qui le rend difficile à détecter et à supprimer.

Méthode de propagation : via des e-mails de phishing et des réseaux infectés par d'autres logiciels malveillants, tels que Trickbot et Emotet, Ryuk propage et crypte les données du réseau.

Robin des Bois

Caractéristiques : Robinhood est connu pour sa capacité à attaquer les systèmes gouvernementaux et les grandes organisations, en utilisant une tactique de cryptage sophistiquée pour verrouiller les fichiers et exiger des rançons importantes.

Méthode de propagation : se propage par le biais de campagnes de phishing ainsi que par l'exploitation de vulnérabilités de sécurité dans les logiciels.

DoublePaymer

Fonctionnalités : DoppelPaymer est une variante de ransomware autonome capable de causer de graves dommages en cryptant les données et en menaçant de divulguer des informations si une rançon n'est pas payée.

Méthode de propagation : propagée via des outils d'attaque à distance et des e-mails de phishing, ciblant notamment les vulnérabilités des logiciels non corrigés.

SERPENT (également connu sous le nom d'EKANS)

Caractéristiques : SNAKE est conçu pour attaquer les systèmes de contrôle industriels (ICS). Non seulement il crypte les données, mais il peut également perturber les processus industriels.

Méthode de propagation : Par le biais de campagnes de phishing et d’exploitation, en mettant l’accent sur le ciblage de systèmes industriels spécifiques.

Phobos

Caractéristiques : Phobos partage de nombreuses similitudes avec Dharma, une autre variante de ransomware, et est souvent utilisé pour attaquer les petites entreprises via RDP (Remote Desktop Protocol).

Méthode de propagation : principalement via un RDP exposé ou vulnérable, permettant aux attaquants d'obtenir un accès à distance et de déployer des ransomwares.

LockBit

LockBit est une autre variante populaire de ransomware, fonctionnant selon le modèle Ransomware-as-a-Service (RaaS), et est connue pour ses attaques contre les entreprises et les organisations gouvernementales. LockBit mène ses attaques en trois étapes principales : l'exploitation des vulnérabilités, la pénétration en profondeur dans le système et le déploiement de charges utiles cryptées.

Phase 1 - Exploitation : LockBit exploite les vulnérabilités du réseau en utilisant des techniques telles que l'ingénierie sociale, par exemple via des e-mails de phishing, ou des attaques par force brute sur les serveurs intranet et les systèmes réseau.

Phase 2 - Infiltration : Après l'infiltration, LockBit utilise un outil de « post-exploitation » pour augmenter son niveau d'accès et préparer le système à l'attaque de chiffrement.

Phase 3 - Déploiement : LockBit déploie la charge utile chiffrée sur chaque appareil accessible du réseau, chiffrant tous les fichiers système et laissant une note de rançon.

LockBit utilise également un certain nombre d'outils gratuits et open source pendant le processus d'intrusion, des scanners de réseau aux logiciels de gestion à distance, pour effectuer la reconnaissance du réseau, l'accès à distance, le vol d'informations d'identification et l'exfiltration de données. Dans certains cas, LockBit menace également de divulguer les données personnelles des victimes si les demandes de rançon ne sont pas satisfaites.

Avec sa complexité et sa portée étendue, LockBit représente l’une des plus grandes menaces dans le monde moderne des ransomwares. Les organisations doivent adopter un ensemble complet de mesures de sécurité pour se protéger contre ce ransomware et d’autres variantes.

Dao Trung Thanh

Partie 2 : De l'attaque VNDirect à la stratégie anti-ransomware