Un ransomware est un type de malware qui a pour objectif de chiffrer l’intégralité des données qu’il rencontre. Lors d’attaques à grande échelle, ce sont des réseaux d’entreprise et des data center entiers qui peuvent être ainsi pris en otage. Pour déverrouiller ses données et donc son système, la victime doit alors verser une rançon au hacker. Les ransomwares constituent une menace à la fois sérieuse et en constante augmentation.
Le Département de la justice américain avance le chiffre d’environ 4 000 attaques par jour en 2016, soit 300 % de plus qu’en 2015. Cet article s’intéresse aux moyens de lutte contre le spear phishing, la technique la plus répandue pour transmettre des ransomwares.
Ransomware : un business rentable
Le concept de base des ransomwares n’a rien de bien compliqué. Ce que les gens ont plus de mal à comprendre, c’est qu’il s’agit d’un véritable business pour les hackers. Selon Symantec, la demande de rançon moyenne est de 679 US$ et un hacker peut frauduleusement gagner environ 90 000 US$ par an. Le pire, c’est qu’il n’est même pas nécessaire d’être un as de la programmation. Comme le signale McAfee Labs, on peut facilement trouver des kits de ransomware gratuits en ligne.
De nombreux particuliers et toutes sortes de structures sont concernés. 43 % des victimes sont des entreprises, en particulier du secteur public. Les États-Unis sont le pays le plus touché, avec 31 % des attaques. Les autres pays les plus fréquemment ciblés sont la France, l’Italie, le Japon, les Pays-Bas, l’Allemagne, les Royaume-Uni, le Canada, la Belgique, l’Inde et l’Australie. Les secteurs de la santé et de l’éducation sont les plus souventtouchés, loin devant le secteur financier, qui arrive en dernière position. Les attaques les plus médiatisées concernent toutefois uniquement le secteur de la santé. Selon le site TechRepublic, cela s’expliquerait par le fait que les organismes et établissements des secteurs de la santé et de l’éducation disposent en général de systèmes de sécurité plus vulnérables que ceux des entreprises du secteur financier.
La relation entre Spear phishing et Ransomware
Si le spear phishing et les ransomwares sont deux choses distinctes, les deux fonctionnent en synergie.
Le spear phishing est LE principal vecteur des ransomwares.
Le spear phishing est une variante du phishing, une technique conçue pour inciter les destinataires d’un email à cliquer sur des liens ou à télécharger des fichiers malveillants. Le spear phishing utilise en plus de fausses identités pour rendre les emails plus difficiles à détecter. Il arrive souvent que de tels messages semblent provenir d’un collègue ou d’un ami.
Selon CSO Magazine, 93 % des emails de phishing contenaient un ransomware en mars 2016.
En hausse de 56 % par rapport à décembre, ce chiffre impressionnant était inférieur à 10 % en 2015.
Pourquoi le phishing est-il si prisé pour les attaques aux ransomwares ?
Parce qu’en premier lieu, ça marche. Des études montrent en effet que 30 % des emails de phishing sont ouverts par les personnes ciblées et que, dans 12 % des cas, le destinataire clique sur la pièce jointe.
Cela ne veut pas direque les victimes sont stupides. Les gens sont juste débordés et trop distraits pour détecter un email de spear phishing bien ficelé, voire même assez grossier. Imaginez par exemple que vous avez un collègue qui s’appelle Jean. Un hacker qui consulte votre profil LinkedIn pourrait facilement découvrir que vous travaillez avec le dénommé Jean et se faire passer pour lui. Si vous étiez super occupé, vous feriez la différence entre jean.231@gmail.com et jean_231@gmail.com ? Des études montrent que la plupart des personnes n’arrivent pas à identifier les fausses adresses et pensent recevoir un email d’un ami ou collègue. Un hacker averti saura ensuite établir une relation de confiance avec la victime en conversant avec elle par email avant de lui envoyer le ransomware.
Atténuer le risque d’attaque au ransomware via le spear phishing
Il semble évident que l’identification des emails de spear phishing avant qu’ils n’arrivent dans les boîtes de réception des utilisateurs, permettra de réduire les risques d’attaque au ransomware.
Le problème, c’est que les solutions de sécurité classiques ne peuvent pas les détecter. Les filtres antispam recherchent des signatures connues. Ils sont configurés pour identifier les expressions clés suspectes. Un email de spear phishing personnalisé avec un message de type « Jacques, vous pourriez jeter un œil à ce PDF s’il vous plait ? » et envoyé par un expéditeur à priori connu du destinataire pourrait facilement passer inaperçu.
De nouveaux outils sont donc nécessaires pour vous protéger des emails de spear phishing et des ransomwares qu’ils peuvent transmettre. C’est là que Vade entre en jeu. Notre logiciel d’analyse heuristique peut en effet identifier les emails de spear phishing et même les attaques de type « zero-day » en ne recherchant aucune signature en particulier. Il a été développé sur la base d’une intelligence artificielle qui a analysé des centaines de millions d’emails pendant plus de dix ans. Vade compare le style et les indicateurs techniques du soi-disant expéditeur de tout email donné, à des informations connues sur le véritable expéditeur. Il peut ainsi détecter n’importe quel email de spear phishing, même lorsque le hacker n’envoie pas d’URL ou de pièce jointe malveillante.
Vade protège vos données d’entreprise contre les ransomwares transmis via des emails de spear phishing.
Pour en savoir plus sur l'anti-malware, rendez-vous ici.
