VietNamNet présente un article de M. Dao Trung Thanh, expert en cybersécurité et directeur adjoint du Blockchain and AI Institute, pour comprendre la cyberattaque de VNDirect Securities Company et les dangers du Ransomware.
Les rançongiciels, un type de logiciel malveillant qui chiffre les données du système de la victime et exige une rançon pour les déchiffrer, sont devenus l'une des cybermenaces les plus dangereuses au monde . Photo : zephyr_p/Fotolia

L'affaire VNDirect et qu'est-ce qui rend le ransomware dangereux ?

Le 24 mars 2024, la société vietnamienne VNDirect Securities est devenue le nouveau foyer d'attaques internationales de rançongiciels. Cette attaque n'est pas un cas isolé.

Les rançongiciels, un type de logiciel malveillant conçu pour chiffrer les données du système de la victime et exiger une rançon pour les déchiffrer, sont devenus l'une des menaces de cybersécurité les plus répandues et les plus dangereuses au monde. La dépendance croissante aux données numériques et aux technologies de l'information dans tous les domaines de la vie sociale rend les organisations et les individus vulnérables à ces attaques.

Le danger des rançongiciels réside non seulement dans leur capacité à chiffrer les données, mais aussi dans leur mode de propagation et de demande de rançon, créant ainsi un canal de transactions financières par lequel les pirates peuvent réaliser des profits illégaux. La sophistication et l'imprévisibilité des attaques par rançongiciel en font l'un des plus grands défis actuels en matière de cybersécurité.

L'attaque VNDirect nous rappelle brutalement l'importance de comprendre et de prévenir les rançongiciels. Seule une compréhension du fonctionnement des rançongiciels et de la menace qu'ils représentent permettra de mettre en place des mesures de protection efficaces, allant de la formation des utilisateurs à l'application de solutions techniques, en passant par l'élaboration d'une stratégie de prévention complète pour protéger les données et les systèmes d'information critiques.

Comment fonctionnent les ransomwares

Les rançongiciels, une menace terrifiante en cybersécurité, opèrent de manière sophistiquée et multiforme, entraînant de graves conséquences pour les victimes. Pour mieux comprendre leur fonctionnement, il est nécessaire d'analyser chaque étape du processus d'attaque.

Infection

L'attaque commence lorsqu'un rançongiciel infecte un système. Il existe plusieurs façons courantes pour un rançongiciel de pénétrer dans le système d'une victime, notamment :

Courriels d'hameçonnage : faux courriels contenant des pièces jointes malveillantes ou des liens vers des sites Web contenant du code malveillant ; exploitation des vulnérabilités de sécurité : tirer parti des vulnérabilités des logiciels non corrigés pour installer automatiquement des rançongiciels sans interaction de l'utilisateur ; malvertising : utiliser des publicités sur Internet pour diffuser des logiciels malveillants ; téléchargements à partir de sites Web malveillants : les utilisateurs téléchargent des logiciels ou du contenu à partir de sites Web non fiables.

Cryptage

Une fois infecté, le rançongiciel commence à chiffrer les données du système de la victime. Le chiffrement consiste à convertir les données dans un format illisible sans la clé de déchiffrement. Les rançongiciels utilisent souvent des algorithmes de chiffrement puissants, garantissant que les données chiffrées ne peuvent être récupérées sans la clé spécifique.

Demande de rançon

Après avoir chiffré les données, le rançongiciel affiche un message sur l'écran de la victime, exigeant une rançon pour déchiffrer les données. Ce message contient généralement des instructions de paiement (généralement en Bitcoin ou autres cryptomonnaies pour masquer l'identité du criminel), ainsi qu'une date limite de paiement. Certaines versions du rançongiciel menacent également de supprimer les données ou de les publier si la rançon n'est pas payée.

Transactions et décryptage (ou pas)

La victime est alors confrontée à un choix difficile : payer la rançon et espérer récupérer ses données, ou refuser et les perdre à jamais. Cependant, payer ne garantit pas le déchiffrement des données. Au contraire, cela peut encourager les criminels à poursuivre leurs agissements.

Le mode opératoire des rançongiciels témoigne non seulement d'une sophistication technique, mais aussi d'une triste réalité : la volonté d'exploiter la crédulité et l'ignorance des utilisateurs. Ceci souligne l'importance d'accroître la sensibilisation et les connaissances en matière de cybersécurité, de la reconnaissance des e-mails de phishing à la mise à jour des logiciels de sécurité. Face à une menace aussi évolutive que les rançongiciels, la sensibilisation et la prévention sont plus importantes que jamais.

Variantes courantes de ransomwares

Dans le monde en constante évolution des menaces de rançongiciels, certaines variantes se distinguent par leur sophistication, leur capacité de propagation et l'impact considérable qu'elles ont sur les organisations du monde entier. Voici la description de sept variantes populaires et de leur fonctionnement.

REvil (également connu sous le nom de Sodinokibi)

Fonctionnalités : REvil est une variante du ransomware-as-a-service (RaaS), permettant aux cybercriminels de le « louer » pour mener leurs propres attaques. Cela augmente considérablement la capacité de propagation du ransomware et le nombre de victimes.

Méthodes de propagation : Diffusion via des failles de sécurité, des courriels d'hameçonnage et des outils d'attaque à distance. REvil utilise également des méthodes d'attaque pour chiffrer ou voler automatiquement des données.

Ryuk

Caractéristiques : Ryuk cible principalement les grandes organisations afin d'optimiser les paiements de rançon. Il est capable de s'adapter à chaque attaque, ce qui le rend difficile à détecter et à supprimer.

Méthode de propagation : via des e-mails de phishing et des réseaux infectés par d'autres logiciels malveillants, tels que Trickbot et Emotet, Ryuk propage et crypte les données du réseau.

Robin des Bois

Caractéristiques : Robinhood est connu pour sa capacité à attaquer les systèmes gouvernementaux et les grandes organisations, en utilisant une tactique de cryptage sophistiquée pour verrouiller les fichiers et exiger des rançons importantes.

Méthode de propagation : Se propage par le biais de campagnes de phishing ainsi que par l'exploitation de vulnérabilités de sécurité dans les logiciels.

DoppelPaymer

Caractéristiques : DoppelPaymer est une variante de ransomware autonome capable de causer de graves dommages en cryptant les données et en menaçant de divulguer des informations si une rançon n'est pas payée.

Méthode de propagation : propagée via des outils d'attaque à distance et des e-mails de phishing, ciblant notamment les vulnérabilités des logiciels non corrigés.

SERPENT (également connu sous le nom d'EKANS)

Caractéristiques : SNAKE est conçu pour attaquer les systèmes de contrôle industriel (ICS). Non seulement il chiffre les données, mais il peut également perturber les processus industriels.

Méthode de propagation : Par le biais de campagnes de phishing et d’exploitation, en mettant l’accent sur le ciblage de systèmes industriels spécifiques.

Phobos

Caractéristiques : Phobos partage de nombreuses similitudes avec Dharma, une autre variante de ransomware, et est souvent utilisé pour attaquer les petites entreprises via RDP (Remote Desktop Protocol).

Méthode de propagation : principalement via un RDP exposé ou vulnérable, permettant aux attaquants d'accéder à distance et de déployer des ransomwares.

LockBit

LockBit est une autre variante populaire de rançongiciel fonctionnant selon le modèle RaaS (Ransomware-as-a-Service) et connue pour ses attaques contre les entreprises et les organisations gouvernementales. LockBit mène ses attaques en trois étapes principales : l'exploitation des vulnérabilités, la pénétration en profondeur du système et le déploiement de la charge utile de chiffrement.

Phase 1 - Exploitation : LockBit exploite les vulnérabilités du réseau en utilisant des techniques telles que l'ingénierie sociale, par exemple via des e-mails de phishing, ou des attaques par force brute sur les serveurs intranet et les systèmes réseau.

Phase 2 - Infiltration : Après l'infiltration, LockBit utilise un outil de « post-exploitation » pour augmenter son niveau d'accès et préparer le système à l'attaque de chiffrement.

Phase 3 - Déploiement : LockBit déploie la charge utile chiffrée sur chaque appareil accessible du réseau, chiffrant tous les fichiers système et laissant une note de rançon.

LockBit utilise également plusieurs outils gratuits et open source pour son processus d'intrusion, allant des scanners réseau aux logiciels de gestion à distance, afin de réaliser des reconnaissances réseau, des accès à distance, des vols d'identifiants et des exfiltrations de données. Dans certains cas, LockBit menace même de divulguer les données personnelles de la victime si la rançon demandée n'est pas honorée.

De par sa complexité et sa capacité à se propager à grande échelle, LockBit représente l'une des plus grandes menaces du monde moderne des ransomwares. Les entreprises doivent adopter un ensemble complet de mesures de sécurité pour se protéger contre ce ransomware et ses variantes.

Dao Trung Thanh

Leçon 2 : De l'attaque VNDirect à la stratégie anti-ransomware