Malware - Ransomware

Ransomwares : exemples récents et modes de diffusion

Adrien Gendre

27 février 2020

22 min

Alors que les attaques de ransomwares se multiplient, les hackers délaissent les grandes entreprises au profit des MSP et de leurs clients. Rien que pendant le 3e trimestre 2019, leur nombre a augmenté de 37 %. 64 % d’entre elles ont été signalées par de petites entreprises et 24 % ont concerné des fournisseurs informatiques ou MSP.  Voici quelques exemples de ransomwares qui s’en sont pris aux entreprises et gouvernements du monde entier ces derniers mois.

Ryuk

Développé par le groupe de hackers russes Wizard Strike, le ransomware Ryuk est responsable des plus grandes attaques de 2019. Tout commence par un email de phishing, mais Ryuk n’infecte pas pour autant l’ordinateur de sa victime lorsque celle-ci clique sur un lien ou visite un site Web.

En effet, les hackers passent d’abord par un kit d’exploit, généralement Trickbot ou Emotet. Ces deux outils ont la capacité de se répandre via un réseau et de recueillir les données dont Ryuk a besoin pour fonctionner efficacement. Ce n’est qu’une fois qu’ils ont fait leur travail que Ryuk est déployé sur le système visé. Il injecte alors son code dans les processus et paralyse des systèmes stratégiques, notamment des logiciels et bases de données antivirus. Le chiffrement est ensuite lancé, et une fois terminé, la demande de rançon est envoyée.

En 2019, Ryuk s’est déchaîné contre les villes de Lake City, Riviera Beach et Pensacola en Floride, la ville de Lincoln, dans le Nebraska et au moins 5 écoles américaines. En décembre 2019, il a touché un centre de données de la ville de Dallas, au Texas, par le biais de CyrusOne, son MSP. La Floride s’est acquittée d’une rançon de plus de 1 million de dollars en Bitcoins pour restaurer ses systèmes stratégiques paralysés par le malware.

La Nouvelle-Orléans, qui a déclaré l’état d’urgence un mois après l’attaque de Ryuk en décembre 2019, a dépensé plus de 7 millions de dollars pour panser ses plaies. Cette attaque a été suivie de près par une autre en janvier 2020, ciblant cette fois-ci l’université ITI de Bâton-Rouge.

Maze

Le ransomware Maze, responsable d’une série d’attaques en 2019, s’est principalement intéressé à des agences gouvernementales allemandes et des entreprises américaines. Il s’agit d’une variante du ransomware Cha-Cha. Maze est distribué par le biais du kit d’exploit Fallout, capable d’infecter un ordinateur via un téléchargement furtif depuis un site Web, généralement dans le cadre d’une campagne de malvertising.

À la différence de ses versions précédentes, la nouvelle édition de Fallout injecte ses fichiers via Powershell, habituellement en tirant parti de vulnérabilités dans Flash et Internet Explorer. Comme Emotet et Trickbot, Fallout prépare l’ordinateur à l’infection par le ransomware. Lorsque Maze atteint enfin sa cible, il utilise les données recueillies par Fallout pour déterminer quel type d’ordinateur il a infecté. Ces informations permettent de générer une demande de rançon personnalisée.

En 2019, des chercheurs d’Infoblox ont détecté une campagne de phishing ciblant les internautes italophones. Ils ont ainsi repéré 28 emails semblant provenir du Fisc italien et renfermant des documents Word dont les macros permettaient à Maze d’infecter l’ordinateur. Leurs destinataires étaient invités à télécharger la pièce pointe pour consulter de soi-disant directives financières du gouvernement.

Sodinokibi

Egalement connu sous le nom de REvil, le ransomware Sodinokibi s’est fait connaître en 2019 en s’attaquant à de multiples reprises au gouvernement américain, et notamment à 22 municipalités texanes. Les hackers remettent Sodinokibi par le biais d’emails de phishing, de kits d’exploit et de vulnérabilités de serveurs.

Sa découverte remonte à avril 2019. Il exploitait alors des vulnérabilités d’Oracle WebLogic Server. Capable de s’exécuter à distance sans authentification, Sodinokibi est lié à GandGrab, un ransomware-as-a-service (RaaS) qui disposerait de centaines d’affiliés, mais dont la popularité s’est récemment érodée en raison de la montée en puissance de son successeur, lui aussi disponible sous forme de RaaS.

Sodinokibi est responsable de l’attaque qui a frappé la société d’échange de devises Travelex lors de la Saint-Sylvestre 2019. À cette occasion, il avait exploité des vulnérabilités non corrigées des serveurs VPN de Pulse Secure. De plus, tout au long de 2019, ce ransomware a infecté des PME par le biais d’attaques ciblant les services de bureau à distance de leur MSP. Le malspam a été lui aussi très utilisé pour distribuer ce ransomware, notamment avec une campagne de spam sur le thème de la liquidation judiciaire détectée en mai 2019.

En décembre 2019, Sodinokibi a frappé de plein fouet LogicalNet, un MSP et hébergeur, avant de s’attaquer à l’aéroport du comté d’Albany, dans l’État de New York. D’autres MSP ont été victimes de ce ransomware cette même année, notamment PerCSoft, Synoptek et CyrusOne.

Mailto (NetWalker)

Détecté pour la première fois en août 2019, le ransomware Mailto est aussi appelé Netwalker, du nom de l’outil de déchiffrement identifié peu après la découverte de Mailto. En février 2020, le gouvernement australien a publié un avertissement concernant la multiplication des attaques par Mailto. Cette alerte a suivi de près une attaque sur Toll Group, une entreprise australienne de transport et logistique, générant ainsi des délais de livraison fortement médiatisés.

D’après l’Australian Cyber Security Center (ACSC), Mailto se répand via le phishing et des campagnes de « password-spraying ». Une analyse récente d’une attaque de Mailto a révélé qu’un fichier exécutable se fait passer pour Sticky Password, un logiciel de gestion de mots de passe. Lorsque l’utilisateur exécute une commande Sticky Password, le chiffrement commence.

Une des caractéristiques notables de Mailto réside dans son utilisation d’une vaste liste blanche. L’idée est de ne pas chiffrer certains fichiers, un phénomène assez inhabituel pour un ransomware. Une fois chiffrés, les fichiers cible se voient ajouter l’extension mailto, et une demande de rançon est envoyée. 

Lutter contre les ransomwares remis par email

La plupart des attaques de ransomwares commencent par un email, mais la plupart des solutions de sécurité de l'email ne recherchent que le code de malwares connus. Par exemple, Exchange Online Protection (EOP), la solution intégrée à Office 365, est très efficace pour détecter les variantes connues des malwares, mais ne sait pas détecter le code caché et d’autres stratégies d’évitement. Les solutions comme EOP ne fonctionnent qu’avec des correspondances parfaites. Les hackers le savent bien, et modifient leurs virus en conséquence.

La détection comportementale des malwares recherche des comportements malveillants, en plus de codes connus. Ces comportements concernent les fichiers exécutables, les caractères, chaînes et commandes suspects, ainsi que le lien entre le fichier et l’email. Ensemble, ces caractéristiques permettent de repérer avec une grande précision un malware, en dépit de l’absence de code connu.

Enfin, pour protéger votre entreprise des attaques de malwares lancées par email, accordez une importance particulière à la sécurité de l'email. Formez votre personnel/vos utilisateurs à reconnaître les signes trahissant les emails de phishing, offrez-leur une formation contextuelle lorsqu’ils se font piéger et suivez les bonnes pratiques ci-dessous :

  • Vérifiez l’adresse email de l’expéditeur pour déterminer si elle a été usurpée.
  • Passez le curseur sur les liens de l’email pour visualiser sa véritable destination.
  • Vérifiez l’URL du site Web dans votre navigateur pour vous assurer qu’elle ne contient pas de caractères ou de codes pays étranges.
  • N’ouvrez pas les pièces jointes d’expéditeurs que vous ne connaissez pas.
  • Utilisez un service d’analyse d’URL gratuit comme IsItPhishing.AI pour vérifier si une URL mène à une page de phishing.

Banner Infographic 4 raisons FRSignature signitic