Malware - Ransomware

Attaques de ransomwares : pourquoi l’email reste le principal vecteur

Adrien Gendre

16/01/2020

6 min

Les attaques de ransomwares ont fait leur grand retour en 2019. Contrairement aux années précédentes, les hackers ont par contre délaissé les grandes entreprises au profit des PME. D’après Datto, 1 PME sur 5 a été touchée par une attaque de ransomware en 2019. Aux États-Unis les attaques visant les gouvernements locaux et d’État ont quant à elles battu des records, avec 144 cyberattaques enregistrées au cours de l’année.

Bien que de nombreux officiels n’aient dit mot des origines de ces attaques, certains ont admis que la diffusion de ces ransomwares a été le résultat de clics d’employés sur des liens de phishing. Lors d’une enquête réalisée auprès de MSP du monde entier, Statista a découvert que 67 % des attaques de ransomwares commençaient par un email de phishing ou de spam.

Il existe d’autres méthodes pour installer un ransomware sur un système, notamment à distance, comme cela a été le cas lors des nombreuses attaques très médiatisées ayant touché des MSP en 2019. Toutefois, ce type d’attaque demande une dextérité qui n’est pas à la portée du premier hacker venu. Le phishing constitue ainsi la méthode la plus simple, en plus d’être extrêmement rentable.

Les emails de phishing sont faciles à créer

Pas besoin d’avoir fait des études universitaires pour créer un email de phishing. Pour donner à leurs emails l’apparence de l’authenticité, les hackers imitent la charte graphique des marques en reprenant leurs image et logos directement depuis leur site Web ou sur Google. Pour usurper une adresse email, il leur suffit d’indiquer l’adresse de leur choix comme nom d’affichage, une technique appelée usurpation du nom d’affichage. Ils peuvent également créer une adresse extrêmement similaire à celle de la marque grâce à la technique des domaines voisins.

Leur travail est même encore simplifié par la disponibilité de kits de phishing en ligne. Un kit de phishing classique inclut tous les composants nécessaires à une attaque, notamment une page Web malveillante et les outils aidant à donner à cette page une apparence légitime et à éviter la détection. Certains kits permettent même d’identifier les cibles, de créer l’email de phishing et de récupérer les données. Ces kits sont disponibles sous forme d’achat unique ou sur abonnement (Phishing-as-a-Service, PhaaS), modèle qui offre une licence permettant d’utiliser le logiciel pendant une durée déterminée, à la manière du SaaS classique.

Pour contourner un filtre de messagerie, les hackers disposent d’un vaste arsenal d’outils dont la plupart sont gratuits. Bitly, un outil de raccourcissement d’URL, peut par exemple être utilisé pour créer un alias de l’URL de phishing et tromper les filtres qui recherchent des URL en liste noire. Une autre possibilité consiste à créer une redirection d’une URL légitime vers une URL frauduleuse. Pour ce faire, les hackers recherchent les sites Web disposant de redirections ouvertes, les insèrent dans les emails de phishing, puis lancent la redirection vers des pages de phishing une fois l’email remis.

Les kits de ransomwares sont bon marché et prêts à l’emploi

Vous pouvez trouver en ligne un kit d’exploit contenant un malware pour environ 500 $. Le travail du hacker est ainsi simplifié , et l’attaque peut être lancée plus facilement par email. De plus, de nombreux kits sont fournis avec une licence, en général d’une durée de trois mois, ce qui permet aux hackers de lancer autant d’attaques qu’ils le peuvent pendant cette période.

Certains des malwares les plus connus et dangereux peuvent être achetés en ligne. Le ransomware Robbinhood, utilisé dans les attaques ayant touché la ville de Baltimore, est notamment proposé sous forme de Ransomware-as-a-service (RaaS).

Comme le PhaaS, le RaaS se présente comme un abonnement incluant tout ce dont un hacker a besoin pour lancer une attaque. De plus, certains services incluent des outils propres aux ransomwares, notamment des tableaux de bord générant des rapports en temps réel sur les attaques en cours. Dans le cadre du modèle RaaS, le distributeur reçoit une partie des rançons récoltées.

Emotet, le malware utilisé pour lancer le ransomware Ryuk, est lui aussi proposé à la vente. Ryuk est soupçonné d’être responsable de l’attaque qui a frappé La Nouvelle-Orléans en 2019. D’après les officiels de la ville, ce ransomware avait été remis via un lien dans un email de phishing et coûtera à la ville bien plus que les 3 millions de dollars facturés par sa cyberassurance. On estime que l’attaque de Robbinhood coûtera quant à elle à Baltimore environ 18 millions de dollars en dégâts et pertes de revenus.

L’ingénierie sociale aide les hackers à créer l’email parfait

Les PDG et responsables de la sécurité des systèmes d’information ont peu de chance d’être trompés par des emails de phishing, même s’il existe des exceptions. Toutefois, un employé fraîchement débarqué qui ne connaît pas encore bien l’entreprise constitue une cible tout indiquée. Les hackers n’ont d’ailleurs aucune difficulté à retrouver des employés en ligne, et en particulier sur les réseaux sociaux.

Un profil LinkedIn peut par exemple leur indiquer quels employés sont nouveaux ou peu expérimentés. Il peut également révéler le poste et les tâches de l’employé. De quoi déterminer à quels types d’emails sa victime pourrait être la plus sensible : avertissement de Microsoft concernant un abonnement à Office 365 non réglé ou notification d’une banque expliquant avoir détecté une activité suspecte, par exemple. Chacun de ces emails est pensé pour inquiéter et entraîner une réaction immédiate. Les employés non sensibilisés à la détection des signes de phishing peuvent ainsi cliquer sur un lien sans se méfier.

La charge utile se cache dans les pièces jointes et les fichiers partagés

De nombreux filtres de messagerie ne vérifient pas la présence de liens dans les pièces jointes, ce qui permet d’y cacher efficacement une URL de phishing. Les pièces jointes contenant des ransomwares prennent souvent la forme d’une facture. La victime pense alors avoir reçu une facture d’un collègue ou d’un fournisseur. Un lien dans la pièce jointe lance le téléchargement du malware au moment du clic. Dans d’autres cas, le ransomware commence à être téléchargé dès l’ouverture de la pièce jointe, souvent par l’intermédiaire de macros de fichiers Word ou PDF ou de scripts malveillants zippés.

Une autre méthode pour lancer une attaque de ransomware consiste à envoyer de fausses notifications de partage de fichier, souvent associées aux services SharePoint et OneDrive. Dans ce type d’attaque, l’utilisateur reçoit un email factice semblant provenir d’un collègue ou d’un service de partage de fichiers. Cet email contient un lien OneDrive ou SharePoint qui mène à un document contenant le lien de phishing. Dans certains cas, le lien pointe vers un site de phishing qui lance un téléchargement furtif du ransomware. Dans d’autres, le lien mène directement au malware.

Parfois, l’email n’est que le début

Les utilisateurs formés correctement savent reconnaître une adresse email usurpée. Ce n’est pas toujours facile. Pourtant, il existe souvent des signes qui compliquent la tâche des hackers. C’est pour cette raison qu’ils emploient aujourd’hui des attaques en plusieurs phases, qui commencent par un email de phishing avant de se transformer en attaques venues de l’intérieur et basées sur le spear phishing.

Une fois qu’un hacker dispose des identifiants d’une entreprise, par exemple des identifiants Office 365, il peut envoyer des emails internes depuis des comptes légitimes et ainsi lancer des attaques de spear phishing depuis l’intérieur. Les employés visés pensent communiquer avec leurs collègues, voire leurs responsables. Le hacker est ainsi en mesure de faire des dégâts bien plus importants que lorsqu’il attaque depuis l’extérieur.

Un hacker pourrait par exemple rester présent dans le système pendant des mois sans être détecté. Ce serait alors pour lui l’occasion de découvrir le fonctionnement et les processus de l’entreprise, de récupérer des informations pour de futures attaques et de réaliser des transactions financières progressives qui passent inaperçues tant qu’elles restent modestes. Lorsque le hacker finit par lancer un ransomware ou un autre malware, il est déjà trop tard.

Comment éviter les ransomwares

La plupart des attaques de ransomwares commencent par un email de phishing, ce qui rend d’autant plus essentielle la sensibilisation au phishing pour protéger votre entreprise. Votre personnel sera ainsi plus vigilant et y réfléchira à deux fois avant de cliquer sur des liens et d’ouvrir des pièces jointes. Pour autant, nous avons tous des moments de faiblesse, et c’est là-dessus que comptent les hackers pour nous piéger. Pour traiter ces exceptions, vous avez besoin d’une technologie qui va plus loin que les signes évidents du phishing :

  • Notre technologie d’analyse au moment du clic suit les URL de phishing jusqu’à leur destination. Elle analyse les liens raccourcis et les redirections, et inspecte les pages Web.
  • L’exploration des pièces jointes analyse les fichiers PDF, Word et .zip en temps réel pour détecter les liens cachés dans les pièces jointes et le code malveillant visant à cacher les ransomwares/malwares.
  • L’exploration des fichiers partagés analyse les fichiers partagés, comme les fichiers SharePoint et OneDrive, pour y détecter des liens de phishing ou menant à des malwares.
  • L’exploration des fichiers HTML analyse les fichiers de services comme Evernote et OneNote pour y détecter des liens malveillants.
  • La détection des images reconnaît les images, logos et QR codes manipulés pour faire croire qu’un email de phishing en liste noire est unique.

Les MSP sont particulièrement visés par les auteurs de ransomwares qui cherchent à infiltrer les systèmes de leurs clients, en particulier dans le secteur gouvernemental. Toujours plus sophistiqués, les ransomwares doivent être combattus avec des technologies qui le sont tout autant et qui gardent une longueur d’avance sur les cybercriminels.