Attaques de ransomwares : pourquoi l’email reste le principal vecteur
Adrien Gendre
—16 juin 2022
—6 min de lecture
Bien que de nombreuses entreprises et administrations n’aient dit mot des origines de ces attaques, plusieurs ont admis que leur exécution avait été permise par des clics d’employés sur des emails de phishing. Lors d’une enquête réalisée auprès de MSP du monde entier, Statista a découvert que 54 % des attaques de ransomwares commençaient par un email de phishing ou de spam.
Il existe d’autres méthodes pour installer un ransomware sur un système, notamment via les outils de surveillance et de gestion à distance, comme cela a été le cas lors des nombreuses attaques très médiatisées ayant touché des MSP. Toutefois, ce type d’attaque demande une dextérité qui n’est pas à la portée du premier hacker venu. Le phishing constitue ainsi la méthode la plus simple et la plus rapide pour arriver à ses fins.
Les emails de phishing sont faciles à créer
Pas besoin d’avoir fait des études universitaires pour créer un email de phishing. Les hackers reprennent directement les images et logos des marques depuis leur site Web ou sur Google et renforcent ainsi l’authenticité perçue de leurs emails. Pour usurper une adresse email, il leur suffit d’indiquer l’adresse de leur choix comme nom d’affichage, une technique appelée usurpation du nom d’affichage. Ils peuvent également créer une adresse extrêmement similaire à celle de la marque grâce à la technique des domaines voisins.
Leur travail est même encore simplifié par la disponibilité de kits de phishing en ligne. Un kit de phishing classique inclut tous les composants nécessaires aux attaques de ransomwares, notamment une page Web malveillante et les outils aidant à donner à cette page une apparence légitime et à éviter la détection. Certains kits permettent même d’identifier les cibles, de créer l’email de phishing et de récupérer les données. Ces kits sont disponibles sous forme d’achat unique ou sur abonnement (Phishing-as-a-Service, PhaaS), modèle qui offre une licence permettant d’utiliser le logiciel pendant une durée déterminée, à la manière du SaaS classique.
Pour contourner un filtre de messagerie, les hackers disposent d’un vaste arsenal d’outils dont la plupart sont gratuits. Bitly, un outil de raccourcissement d’URL, peut par exemple être utilisé pour créer un alias de l’URL de phishing et tromper les filtres qui recherchent des URL en liste noire. Une autre possibilité consiste à créer une redirection d’une URL légitime vers une URL frauduleuse. Pour ce faire, les hackers recherchent les sites Web disposant de redirections ouvertes, les insèrent dans les emails de phishing, puis lancent la redirection vers des pages de phishing une fois l’email remis.
Les kits de ransomwares sont bon marché et prêts à l’emploi
Vous pouvez trouver en ligne un kit d’exploitation contenant un malware pour environ 500 $. Le travail du hacker est ainsi simplifié, et l’attaque peut être lancée plus facilement par email. De plus, de nombreux kits sont fournis avec une licence, en général d’une durée de trois mois, ce qui permet aux hackers de lancer autant d’attaques de ransomwares qu’ils le peuvent pendant cette période.
Certains des malwares les plus connus et dangereux peuvent être achetés en ligne. Le ransomware Robbinhood, utilisé dans les attaques ayant touché la ville de Baltimore, est notamment proposé sous forme de Ransomware-as-a-service (RaaS).
Comme le PhaaS, le RaaS se présente sous la forme d’un abonnement incluant tout ce dont un hacker a besoin pour lancer une attaque. De plus, certains services incluent des outils propres aux ransomwares, notamment des tableaux de bord générant des rapports en temps réel sur les attaques en cours. Dans le cadre du modèle RaaS, le distributeur reçoit une partie des rançons récoltées.
Emotet, le malware utilisé pour lancer le ransomware Ryuk, est lui aussi proposé à la vente, après une brève disparition en 2021. Ryuk est soupçonné d’être responsable de l’attaque qui a frappé La Nouvelle-Orléans en 2019. D’après les officiels de la ville, ce ransomware avait été remis via un lien dans un email de phishing et coûtera à la ville bien plus que les 3 millions de dollars facturés par sa cyberassurance. Ryuk est depuis devenu le ransomware Conti. Comme son prédécesseur, il est probablement développé par Wizard Spider, un groupe de hackers russes.
L’ingénierie sociale aide les hackers à créer l’email parfait
Les PDG et responsables de la sécurité des systèmes d’information ont peu de chance d’être trompés par des emails de phishing, même s’il existe des exceptions. Toutefois, un employé fraîchement débarqué qui ne connaît pas encore bien l’entreprise constitue une cible tout indiquée. Les hackers n’ont d’ailleurs aucune difficulté à retrouver des employés en ligne, et en particulier sur les réseaux sociaux.
Un profil LinkedIn peut par exemple leur indiquer quels employés sont nouveaux ou peu expérimentés. Il peut également révéler le poste et les tâches de l’employé. De quoi déterminer à quels types d’emails sa victime pourrait être la plus sensible : avertissement de Microsoft concernant un abonnement à Microsoft 365 non réglé ou notification d’une banque expliquant avoir détecté une activité suspecte, par exemple. Chacun de ces emails est pensé pour inquiéter et entraîner une réaction immédiate. Les employés non sensibilisés à la détection des signes de phishing peuvent ainsi cliquer sur un lien sans se méfier.
La charge utile se cache dans les pièces jointes et les fichiers partagés
De nombreux filtres de messagerie ne vérifient pas la présence de liens dans les pièces jointes, ce qui permet d’y cacher efficacement une URL de phishing. Les pièces jointes contenant des ransomwares prennent souvent la forme d’une facture. La victime pense alors avoir reçu une facture d’un collègue ou d’un fournisseur. Un lien dans la pièce jointe lance le téléchargement du malware au moment du clic. Dans d’autres cas, le ransomware commence à être téléchargé dès l’ouverture de la pièce jointe, souvent par l’intermédiaire de macros de fichiers Word ou PDF ou de scripts malveillants zippés.
Une autre méthode pour lancer des attaques de ransomwares consiste à envoyer de fausses notifications de partage de fichier, souvent associées aux services SharePoint et OneDrive. Dans ce type d’attaque, l’utilisateur reçoit un email factice semblant provenir d’un collègue ou d’un service de partage de fichiers. Cet email contient un lien OneDrive ou SharePoint qui mène à un document contenant le lien de phishing. Dans certains cas, le lien pointe vers un site de phishing qui lance un téléchargement furtif du ransomware. Dans d’autres, le lien mène directement au malware.
Parfois, l’email n’est que le début
Les utilisateurs formés correctement savent reconnaître une adresse email usurpée. Ce n’est pas toujours facile. Pourtant, il existe souvent des signes qui compliquent la tâche des hackers. C’est pour cette raison qu’ils emploient aujourd’hui des attaques en plusieurs phases, qui commencent par un email de phishing avant de se transformer en attaques de ransomwares venues de l’intérieur et basées sur le spear phishing.
Une fois qu’un hacker dispose des identifiants d’une entreprise, par exemple des identifiants Microsoft 365, il peut envoyer des emails internes depuis des comptes légitimes et ainsi lancer des attaques de spear phishing depuis l’intérieur. Les employés visés pensent communiquer avec leurs collègues, voire leurs responsables. Le hacker est ainsi en mesure de faire des dégâts bien plus importants que lorsqu’il attaque depuis l’extérieur.
Un hacker pourrait par exemple rester présent dans le système pendant des mois sans être détecté. Ce serait alors pour lui l’occasion de découvrir le fonctionnement et les processus de l’entreprise, de récupérer des informations pour de futures attaques et de réaliser des transactions financières progressives qui passent inaperçues tant qu’elles restent modestes. Lorsque le hacker finit par lancer un ransomware ou un autre malware, il est déjà trop tard.
Comment éviter les ransomwares
La plupart des attaques de ransomwares commencent par un email de phishing, ce qui rend d’autant plus essentielle la sensibilisation au phishing pour protéger votre entreprise. Votre personnel sera ainsi plus vigilant et y réfléchira à deux fois avant de cliquer sur des liens et d’ouvrir des pièces jointes. Pour autant, nous avons tous des moments de faiblesse, et c’est là-dessus que comptent les hackers pour nous piéger. Pour traiter ces exceptions, vous avez besoin d’une technologie qui va plus loin que les signes évidents du phishing :
- Suivi des URL de phishing jusqu’à leur destination, analyse des liens raccourcis et des redirections, et recherche de contenu malveillant dans les pages Web
- Analyse des fichiers PDF, Word et .zip en temps réel pour détecter les liens cachés dans les pièces jointes et le code malveillant visant à cacher les ransomwares/malwares
- Analyse des fichiers partagés, comme les fichiers SharePoint et OneDrive, pour y détecter des liens de phishing ou menant à des malwares
- Analyse des fichiers de services comme Evernote et OneNote pour y détecter des liens malveillants
- Détection des images distantes et images, logos et QR codes manipulés pour faire croire qu’un email de phishing en liste noire est unique
Les MSP sont particulièrement visés par les auteurs de ransomwares qui cherchent à infiltrer les systèmes de leurs clients, en particulier dans le secteur gouvernemental. Toujours plus sophistiqués, les ransomwares doivent être combattus avec des technologies qui le sont tout autant et qui gardent une longueur d’avance sur les cybercriminels.