L'affaire VNDirect et pourquoi les ransomwares sont-ils dangereux ?
Le 24 mars 2024, la société VNDirect Securities au Vietnam est devenue la dernière cible d'une série d'attaques internationales de rançongiciels. Cette attaque n'est pas un cas isolé.
Les rançongiciels, logiciels malveillants conçus pour chiffrer les données d'un système et exiger une rançon pour les déchiffrer, constituent aujourd'hui l'une des menaces de cybersécurité les plus répandues et les plus dangereuses au monde. La dépendance croissante aux données numériques et aux technologies de l'information dans tous les aspects de la vie sociale rend les organisations et les particuliers vulnérables à ces attaques.
Le danger des rançongiciels réside non seulement dans leur capacité à chiffrer les données, mais aussi dans leur mode de propagation et de demande de rançons, créant ainsi un canal de transactions financières permettant aux pirates de réaliser des profits illégaux. La sophistication et l'imprévisibilité des attaques par rançongiciel en font l'un des plus grands défis auxquels la cybersécurité est confrontée aujourd'hui.
L'attaque VNDirect nous rappelle brutalement l'importance de comprendre et de prévenir les rançongiciels. Seule une compréhension approfondie de leur fonctionnement et de la menace qu'ils représentent nous permettra de mettre en place des mesures de protection efficaces : sensibilisation des utilisateurs, application de solutions techniques et élaboration d'une stratégie de prévention globale pour protéger les données critiques et les systèmes d'information.
Comment fonctionnent les ransomwares ?
Les rançongiciels, une menace terrifiante dans le monde de la cybersécurité, opèrent de manière sophistiquée et multiforme, entraînant de graves conséquences pour leurs victimes. Pour mieux comprendre leur fonctionnement, il est nécessaire d'examiner chaque étape du processus d'attaque.
Infection
L'attaque débute lorsqu'un rançongiciel infecte un système. Il existe plusieurs méthodes courantes permettant à un rançongiciel de s'introduire dans le système d'une victime, notamment :
Courriels d'hameçonnage : faux courriels contenant des pièces jointes malveillantes ou des liens vers des sites Web contenant du code malveillant ; Exploitation des failles de sécurité : utilisation des vulnérabilités des logiciels non corrigés pour installer automatiquement des rançongiciels sans intervention de l'utilisateur ; Publicité malveillante : utilisation de publicités sur Internet pour diffuser des logiciels malveillants ; Téléchargements depuis des sites Web malveillants : les utilisateurs téléchargent des logiciels ou du contenu depuis des sites Web non fiables.
Cryptage
Une fois infecté, le ransomware entame le processus de chiffrement des données sur le système de la victime. Le chiffrement consiste à convertir les données en un format illisible sans la clé de déchiffrement. Les ransomwares utilisent généralement des algorithmes de chiffrement robustes, garantissant ainsi l'impossibilité de récupérer les données chiffrées sans la clé spécifique.
Demande de rançon
Après avoir chiffré les données, le rançongiciel affiche un message sur l'écran de la victime, exigeant une rançon pour les déchiffrer. Ce message contient généralement des instructions sur la manière de payer (souvent en Bitcoin ou autres cryptomonnaies afin de masquer l'identité du criminel), ainsi qu'une date limite de paiement. Certaines versions de rançongiciels menacent également de supprimer les données ou de les publier si la rançon n'est pas payée.
Transactions et décryptage (ou non)
La victime se trouve alors face à un choix difficile : payer la rançon et espérer récupérer ses données, ou refuser et les perdre définitivement. Or, le paiement ne garantit pas le décryptage des données. En réalité, il peut même encourager les criminels à poursuivre leurs agissements.
Le mode opératoire des rançongiciels témoigne non seulement d'une grande sophistication technique, mais aussi d'une triste réalité : la volonté d'exploiter la crédulité et l'ignorance des utilisateurs. Ceci souligne l'importance de sensibiliser et d'informer davantage sur la cybersécurité, depuis la reconnaissance des courriels d'hameçonnage jusqu'à la mise à jour régulière des logiciels de sécurité. Face à une menace en constante évolution comme les rançongiciels, la formation et la prévention sont plus cruciales que jamais.
Variantes courantes de ransomware
Dans le monde en constante évolution des menaces de rançongiciels, certaines variantes se distinguent par leur sophistication, leur capacité de propagation et leur impact considérable sur les organisations du monde entier. Voici la description de sept variantes courantes et leur mode de fonctionnement.
REvil (également connu sous le nom de Sodinokibi)
Caractéristiques : REvil est une variante de ransomware-as-a-Service (RaaS), permettant aux cybercriminels de le « louer » pour mener leurs propres attaques. Cela augmente considérablement la capacité de propagation du ransomware et le nombre de victimes.
Méthodes de propagation : Diffusion via des failles de sécurité, des courriels d’hameçonnage et des outils d’attaque à distance. REvil utilise également des méthodes d’attaque pour chiffrer ou voler automatiquement des données.
Ryuk
Caractéristiques : Ryuk cible principalement les grandes organisations afin de maximiser les rançons. Il est capable de s’adapter à chaque attaque, ce qui le rend difficile à détecter et à supprimer.
Méthode de propagation : Ryuk se propage et chiffre les données du réseau par le biais de courriels d’hameçonnage et de réseaux infectés par d’autres logiciels malveillants, tels que Trickbot et Emotet.
Robin des Bois
Caractéristiques : Robinhood est connu pour sa capacité à attaquer les systèmes gouvernementaux et les grandes organisations, en utilisant une technique de chiffrement sophistiquée pour verrouiller les fichiers et exiger d'importantes rançons.
Méthode de propagation : Diffusion par le biais de campagnes d'hameçonnage et exploitation des failles de sécurité des logiciels.
DoppelPaymer
Caractéristiques : DoppelPaymer est une variante de ransomware autonome capable de causer des dommages importants en chiffrant les données et en menaçant de divulguer des informations si une rançon n'est pas payée.
Méthode de propagation : Propagation via des outils d’attaque à distance et des courriels d’hameçonnage, ciblant notamment les vulnérabilités des logiciels non corrigés.
SERPENT (également connu sous le nom d'EKANS)
Caractéristiques : SNAKE est conçu pour attaquer les systèmes de contrôle industriels (ICS). Il chiffre les données et peut également perturber les processus industriels.
Méthode de propagation : par le biais de campagnes d’hameçonnage et d’exploitation de failles, ciblant en priorité des systèmes industriels spécifiques.
Phobos
Caractéristiques : Phobos partage de nombreuses similitudes avec Dharma, une autre variante de ransomware, et est souvent utilisé pour attaquer les petites entreprises via RDP (Remote Desktop Protocol).
Méthode de propagation : principalement via des connexions RDP exposées ou vulnérables, permettant aux attaquants d’accéder à distance au système et de déployer des ransomwares.
LockBit
LockBit est une autre variante répandue de ransomware fonctionnant selon le modèle Ransomware-as-a-Service (RaaS) et connue pour ses attaques contre les entreprises et les organismes gouvernementaux. LockBit mène ses attaques en trois étapes principales : l’exploitation des vulnérabilités, l’infiltration profonde du système et le déploiement de la charge utile de chiffrement.
Phase 1 - Exploitation : LockBit exploite les vulnérabilités du réseau en utilisant des techniques telles que l'ingénierie sociale, par exemple via des e-mails d'hameçonnage, ou des attaques par force brute sur les serveurs intranet et les systèmes réseau.
Phase 2 - Infiltration : Après l'infiltration, LockBit utilise un outil de « post-exploitation » pour augmenter son niveau d'accès et préparer le système à l'attaque de chiffrement.
Phase 3 - Déploiement : LockBit déploie la charge utile chiffrée sur chaque appareil accessible du réseau, chiffrant tous les fichiers système et laissant une note de rançon.
LockBit utilise également plusieurs outils libres et open source lors de ses intrusions, notamment des scanners de réseau et des logiciels de gestion à distance, pour effectuer des reconnaissances de réseau, des accès à distance, le vol d'identifiants et l'exfiltration de données. Dans certains cas, LockBit menace même de divulguer les données personnelles de la victime si la rançon n'est pas versée.
De par sa complexité et sa capacité de propagation rapide, LockBit représente l'une des plus grandes menaces dans le monde des ransomwares modernes. Les organisations doivent adopter un ensemble complet de mesures de sécurité pour se protéger contre ce ransomware et ses variantes.
Dao Trung Thanh
Leçon 2 : De l’attaque VNDirect à la stratégie anti-ransomware
Source
![[Photo] Le secrétaire général de Lam reçoit le président du Sénat de la République tchèque, Miloš Vystrčil.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F21%2F1763723946294_ndo_br_1-8401-jpg.webp&w=3840&q=75)
![[Photo] Visitez Hung Yen pour admirer la pagode « chef-d'œuvre en bois » au cœur du delta du Nord](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F21%2F1763716446000_a1-bnd-8471-1769-jpg.webp&w=3840&q=75)
![[Photo] Le président de l'Assemblée nationale, Tran Thanh Man, s'entretient avec le président du Sénat de la République tchèque, Milos Vystrcil](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F21%2F1763715853195_ndo_br_bnd-6440-jpg.webp&w=3840&q=75)
![[Photo] Le président Luong Cuong reçoit le président de l'Assemblée nationale coréenne, Woo Won Shik](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F21%2F1763720046458_ndo_br_1-jpg.webp&w=3840&q=75)
Comment (0)