Comment les hackers attaquent avec des rançongiciels ?

Dans une mise en garde publié par l’Agence nationale de sécurité des systèmes d’information, il avait été mentionné que : « Le rançongiciel représente actuellement la menace informatique la plus sérieuse pour les entreprises et les institutions. ».

Le rançongiciel traduit par « ransomware » en anglais est un programme informatique qui fait beaucoup parler de lui depuis ces 5 dernières années. Depuis l’année dernière, les spécialistes ont observé une explosion de son utilisation et le nombre de victimes ne fait que croître de plus en plus.

Cet article va aussi vous intéresser : Ransomware : les autorités italiennes décident de contre-attaquer

Si depuis les décennies il existe cette pratique qui consiste à extorquer des structures publiques et privées grâce à se programmes informatiques, dernièrement, les cybercriminels ont décidé de prendre une autre envergure dans leurs méthodes. Ce qui a visiblement attiré l’attention des autorités et les contraindre à agir.

Aujourd’hui, il est recensé près de 800 rançongiciels différents par le site de référence ID-ransomware. La majorité de ces programmes malveillants ne cible pas des entreprises ou des organismes publics.  Ils ciblent des particuliers. Ce qui signifie que, n’importe qui c’est-à-dire, vous n’êtes pas à l’abri de ce genre de situation.

Selon l’Agence national de sécurité des systèmes d’information, il existe aujourd’hui des groupes de cybercriminels qui sont en mesure de « lancer des attaques d’un niveau de sophistication équivalent aux opérations d’espionnages informatiques opérées par des États ».

Dans cet article nous allons essayer de vous décrire comment les pirates informatiques ont tendance à lancer des attaques de type rançongiciels. Dans un but pédagogique cela pourra vous permettre de vous protéger ou d’informer votre entourage. Car personne est à l’abri et ces actes de cybermalveillance ne vont pas cesser d’aussi tôt.

1- Nature des rançongiciels

De façon en pratique, il faut signifier que les logiciels de rançonnage sont des logiciels composés simplement comme tous les autres de lignes de codes. Ces programmes peuvent-être activer manuellement ou automatiquement. Pour ceux qui en ont les compétences, ils peuvent les coder mêmes. Cependant, il est possible de se procurer des codes de rançongiciels sur des marchés du Dark web. Il y a aussi la possibilité de faire appel à des groupes spécialisés dans la mise à disposition de rançongiciels déjà conçus. On parle alors de ransomwares as à service (RaaS). Une activité qui est en train de prendre de l’ampleur depuis quelques années maintenant.

Il est possible de cacher des codes de rançongiciels derrière plusieurs formats de fichiers. Notamment des formats JPEG, PDF ou docx. Vous constaterez que ce sont des formes assez légères qui peuvent être facilement intégrés dans des emails.

2- Le déploiement du rançongiciel

Pour réussir une attaque de type rançongiciels, les cybercriminels procèdent par différentes étapes. La première étape consiste à faire télécharger le programme malveillant. La seconde étape est l’installation de programme dans un ordinateur. La dernière va consister alors au téléchargement d’un programme beaucoup plus lourd sur un serveur externe qui servira à lancer le chiffrement des données, l’acte le plus important de l’attaque.

Pour réaliser cela, le principal enjeu des cybercriminels est de réussir à faire télécharger le programme malveillant dans le système informatique ciblé. Et pour cela il y a plusieurs alternatives ou plusieurs méthodes qu’ils utilisent :

– L’hameçonnage : c’est d’ailleurs la première méthode et là plus utilisée dans le contexte des logiciels de rançonnage. En effet, il est de connaissance générale que le point faible des entreprises réside dans les pratiques numériques des collaborateurs. De ce fait, il n’est pas rare que les employés de bureau ou même les dirigeants sont généralement ciblés par le phishing. Il suffit d’une simple erreur, de l’ouverture d’une pièce jointe de façon négligente où le clic sur un lien dans un email corrompu, et tout peux basculer en un instant. Si aujourd’hui les personnes sont de plus en plus informées sur cette pratique, les cybercriminels s’adaptent.

– L’exploitation de failles de sécurité : derrière le phishing, les cybercriminels peuvent aussi exploiter des failles de sécurité présentent dans un système informatique pour implanter leur logiciel. Selon la société de cybersécurité Checkpoint, 80 % des attaques de type rançongiciels observer durant le premier semestre de l’année 2020 ont réussi grâce à l’exploitation de vulnérabilité découverte depuis 2017, à savoir :

*CVE-2019-19781 : une vulnérabilité dans Citrix Application Delivery Controller ;

*CVE-2019-11510 : une vulnérabilité dans Pulse Connect Secure ;

*CVE-2012-0158 : une vulnérabilité dans Microsoft Office Common Controls ;

*CVE-2018-8453 : une vulnérabilité dans les composants Windows Win32k 

– Utiliser les mots de passe : l’utilisation des mots de passe a toujours posé problème. Dans notre cas d’espèce, les hackers arrivent souvent à accéder à des systèmes informatiques grâce à des mots de passe faiblement constitués. Mais, ce n’est pas tout. Il peut arriver que suite à des divulgations de données, Certains identifiants de connexion toujours actifs sont récupérés par ces derniers et utilisés dans leurs actions.

– Corrompre un collaborateur : il arrive des fois que les cybercriminels ont du mal à pouvoir déterminer des failles dans la sécurité du système informatique ciblé. Dans ce cas de figure, ces derniers peuvent être amener à corrompre des collaborateurs ou des personnes ayant un accès à ce système informatique.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage