Pourquoi les ransonwares font-ils plus peur que les autres types de virus ?

**Victor Vincent** · 13/04/2016, 14h56

Pourquoi les ransonwares font-ils plus peur que les autres types de virus ?
Voici des éléments de réponse compilés sur les forums de cybersécurité

Depuis la fin 2015 jusqu’en début d’année 2016, les attaques aux ransomwares ont fait plusieurs victimes parmi lesquelles des hôpitaux, des systèmes de traitement d’eau pour ne citer que ceux-là. Ces ransonwares ont tous des méthodes d’attaques similaires bien que chacun ait une spécificité. Leur méthode étant bien connue des chercheurs, ces ransonwares continuent de faire peur en s’attaquant à des structures aussi sensibles que des hôpitaux. Leurs méthodes d’attaques consistent à infecter leur cible par la méthode du phishing et ensuite, si le phishing est réussi, à chiffrer les fichiers contenus sur le poste et à demander le paiement d’une rançon en échange de la clé permettant de les déchiffrer.

Haran Carvey, chercheur sénior en sécurité chez Dell SecureWorks, note qu’à l’époque, les attaquants par cheval de Troie s’en prenaient aux systèmes dès lors que ces derniers pouvaient être accessibles depuis internet. Il ajoute que par la suite les attaquants se sont intéressés à des cibles particulières du fait qu’elles disposaient des données qui les intéressaient soit pour les voler ou encore pour les supprimer en vue de nuire. D’après le chercheur, le phénomène des ransonwares est encore plus grave puisque dès lors que vous disposez de fichiers, vous êtes une cible potentielle. C’est ce qui expliquerait le fait que ces types de virus soient aussi redoutés, mais aussi la croissance de plus en plus notée de leur nombre.

Un autre aspect qui rend les ransonwares particulièrement redoutables est le fait qu’ils utilisent la méthode de phishing, réussissant à convaincre des utilisateurs pas souvent très avisés de cliquer sur des liens ou des pièces jointes. Certains réussissent même à convaincre les utilisateurs de changer les paramètres de leur système donnant ainsi des droits au virus pour s’installer. Nombreux sont les spécialistes en sécurité qui pensent que compte tenu de la croissance de plus en plus rapide des ransonwares et les ambitions et compétences de plus en plus grandissantes de ceux qui les déploient, les choses vont aller de mal en pis pour beaucoup d’organisations.

Un point qui a été noté par les chercheurs, comme favorisant l’augmentation des ransonwares, est le fait qu’ils s’attaquent aux plus faibles. En effet, les victimes favorites des hackers utilisant les ransonwares pour atteindre leurs victimes sont les PME, un particulier ne pouvant pas débourser une somme trop importante pour payer la rançon, et les grandes entreprises ayant en général une sécurité informatique aboutie et des moyens pour contrer ce type d’attaque. La cible privilégiée reste donc les petites et moyennes entreprises, qui sont peu sensibles aux risques informatiques et moins vigilantes.

D’après les experts, si certains pirates de l’époque menaient des attaques pour certaines convictions justifiées ou pas d’ailleurs, c’est la quête de l’argent facile qui anime les gens qui mènent des attaques par ransonware et qui n’épargnent même pas les systèmes de traitement d’eau potable comme cela a été le cas récemment. Certains ransonwares peuvent réclamer des rançons dont le montant varie entre 10 000 et 20 000 €, des montants qui sont souvent payés sous forme de bitcoins aux attaquants. Les entreprises accèdent à la demande des pirates dans la majeure partie des cas sachant que les données sont ce qu’elles ont de plus précieux, et que sans elles aucune activité ne serait possible.

Le chercheur en sécurité Roel Schouenwenberg estime que le silence des entreprises contribue également à la multiplication des ransonwares. D’après lui, quand une entreprise subit une attaque par ransonware, elle cherche à payer la rançon le plus rapidement et le plus discrètement possible pour ne pas détruire sa réputation et être considérée comme une entreprise avec un mauvais système de sécurité ou alors pour ne pas s’exposer aux attaques d’autres ransonwares dont les auteurs seraient au courant qu’elle a une faille dans son système de sécurité.

Les ransonwares sont également connus pour être particulièrement efficaces quand il s’agit de profiter des défaillances que peuvent présenter certains systèmes ou serveurs. C’est le cas notamment avec les ransonwares Samsam qui exploitent une faille du serveur d’application JBoss pour perpétrer leurs attaques. La difficulté pour les organisations de se prémunir de systèmes pouvant contrer ces ransonwares est aussi liée au fait qu’ils ciblent différents types de plateformes aussi bien des applications web que des applications mobiles pour atteindre leurs victimes. Selon Kevin Kelly, PDG de LGS Innovations, une société de sécurité, la grande quantité de logiciels qui sont installés un peu partout dans les systèmes ainsi que l’internet des objets qui connecte des structures jusqu’ici épargnées à internet, multiplie les vulnérabilités des systèmes d’information qui ne vont faire qu’augmenter et permettre aux ransonwares de faire encore plus de dégâts.

Sources :

windowsir.blogspot.sn,

blog SecureWorks,

blog Microsoft,

blog Fortinet,

lsc.sans.edu

Et vous ?

Qu'en pensez-vous ?

Voir aussi

le forum Sécurité

**shaun_the_sheep** · 13/04/2016, 16h06

Bonjour,

Petya ransomware encryption system cracked

en voila un de moins

http://www.bbc.com/news/technology-36014810

**pcdwarf** · 13/04/2016, 20h44

Le truc, c'est qu'avec les ransomwares, le crime paye.
Le virus destructeur ne rapporte pas grand chose.
Le spyware est très incertain.
Le ransomware, ça paye et ça paye vite.

Le type qui a perdu ses données et à qui on prouve qu'on peut les lui rendre, il réfléchit un moment et décide généralement de s'asseoir sur ses principes....

Pour avoir déjà eu à gérer les relations avec ces escrocs pour des clients, je peux assurer que c'est un business qui tourne bien avec hotline réactive et tout.
On envoie un mail, la réponse tombe dans les minutes qui suivent.

Mon client avait décidé de payer.
Pour info en regardant le blockchain, le wallet en Bitcoin des cryptolockers avait engrangé 75 bitcoin en une semaine…

c’est donc *très* lucratif, et donc ca va perdurer …

FAITES DES SAUVEGARDES A FROID !!!!!

**TiranusKBX** · 14/04/2016, 12h55

Les sauvegardes c'est magique !

**kabaman** · 14/04/2016, 13h18

Envoyé par TiranusKBX

Les sauvegardes c'est magique !

Les PME qui sont le plus souvent ciblées n'ont malheureusement pas tous les moyens de se payer n serveurs pour effectuer tout le temps des sauvegardes.

**eldrad95** · 15/04/2016, 21h16

oui enfin on parle d'un nas a 200 € + un logiciel de sauvegarde gratuit plus une installation à quoi 350€ de mains d'oeuvre grand max. 550€ n'importe quel entreprise peut.
le problème c'est parfois les petites ssii qui vont vouloir faire acheter une rolls pour faire la sauvegarde de 3 pcs et demander 10k€ surtout

.

**odbo13** · 18/04/2016, 19h49

Ok mais évite les mappages SMB alors...

**tchize_** · 20/04/2016, 01h25

On a des infos sur la faille jboss concernée? Vu le nombre de site ayant un jboss admin avec les passes par défaut ou pas de password exposé sur le net, je crois qu'il ne faut pas vraiment chercher loin la faille...

Edit: je viens de vérifier l'outil jexboss concerné, ça consiste effectivement bêtement à accéder à l'interface admin non sécurisée. On devrait rétablir la pendaison pour ces admin système

**Fagus** · 20/04/2016, 17h52

Récemment dans un hôpital français, arrêt de tous les systèmes informatiques, motif "nous sommes attaqués par un ransomware !"

Analyse de "nous sommes attaqués"
- internet explorer 9 sur les postes avec accès internet
- flash antédiluvienne pas mis à jour (jamais) sur les postes
- probablement des versions antédiluviennes de java un peu partout.
- plusieurs postes sans antivirus à jour car c'est compliqué les licences multiples
- postes win xp pas à jour
- session unique commune pour les utilisateurs
- droits d'écriture sur le réseau commun de l'hôpital (NAS) pour tout le monde...

Donc, bizarrement, dès qu'un utilisateur consulte un site légitime infecté en drive by download, ça écrase son poste, puis tout le réseau...
On peut se promener déguisé en daim dans les bois le jour de chasse aussi.

**Paul_Le_Heros** · 20/04/2016, 18h50

Il y a un truc que je ne comprends pas : si une sauvegarde est faite après que le "virus" ait bordelisé, la sauvegarde sera bordelisée elle aussi, non_? Je suppose que les seuls contenus des fichiers sont crypté, pas leurs noms...

**danardf** · 20/04/2016, 19h56

Si si ....les noms sont cryptés également

Ma femme a eu le droit à un ransomware sur son portable.
J'ai du refaire son profile.
Pas de bobo.
Par contre, j'avais oublié un mappage SMB sur un serveur, Pas de bobo non plus, j'avais des sauvegardes!
Juste une vingtaine ou trentaine de fichiers cryptés en tout.

**tchize_** · 20/04/2016, 20h13

Envoyé par Fagus

On peut se promener déguisé en daim dans les bois le jour de chasse aussi.

Ha, je connaissais une version bien moins socialement acceptable de cette expression, je note.

**pcdwarf** · 21/04/2016, 11h31

Il y a un truc que je ne comprends pas : si une sauvegarde est faite après que le "virus" ait bordelisé, la sauvegarde sera bordelisée elle aussi, non_?

C'est pour ça que les sauvegardes doivent être "à froid". C'est à dire sur un support qui cesse d'être accessible à la machine qu'on sauvegarde sitôt la sauvegarde terminée.
Et c'est aussi pour ça qui'il faut en faire plusieurs.
Si tout les jours on efface la sauvegarde d'hier, ça ne sert à rien.
Il faut faire un roulement sur au moins 8 jours. ou en tout cas sur plus long que le temps de détection des problèmes.

Un plan de sauvegarde ça s'étudie.

Professionnellement, le coût est en fait ridicule par rapport au coût de la perte.
Et le risque de perte va aller en augmentant avec la diffusion des malwares.

Argument : "Monsieur, oublions les attaques de virus/malwares auxquelles vous ne croyez visiblement pas et qui sont pourtant le risque principal. Admettons simplement que je suis un salarié mécontent. Je vais dans votre local technique. J'arrache les disques des serveurs et je les jette par terre assez fort pour être certain de les détruire. Vous n'avez plus de mails, plus de gestion de stock, plus de factures, plus de comptabilité. Et il y a longtemps que vous n'avez plus d'archives papier de toutes ces choses. Comment votre entreprise fera-t-elle face à la perte de ses données ? Combien de temps votre entreprise mettra à repartir ? Quel sera le délai de réaction de votre assureur ? Combien de temps votre trésorerie vous permet-elle de survivre ?"

**tchize_** · 21/04/2016, 14h33

Envoyé par pcdwarf

Si tout les jours on efface la sauvegarde d'hier, ça ne sert à rien.

Ca me rappelle l'histoire du gars qui utilisait le mirroring RAID pour faire les sauvegarde. Tous les jours, il arrachait le disque esclave à chaud et rebranchait le disque de 7 jours avant. Et le RAID faisait son boulot de réplication.
Ca a marché jusqu'au jour où le master est mort. Et avec un RAID il fait ça assez silencieusement si tu ne monitore pas. Quand il a branché le disque de la semaine précédente pour le backup journalier, après avoir arraché le slave qui lui était viable, le RAID a restauré les donnés de la semaine précédente, comme un grand, le master étant marqué comme "defectueux". Quand le type s'est rendu qu'il avait perdu des données il a suivi sa procédure de restore et branché le disque de la veille, qui s'est retrouvé écrasé par les données de la semaine précédente en provenance du master. Etc etc

Envoyé par pcdwarf

Argument : "Monsieur, oublions les attaques de virus/malwares auxquelles vous ne croyez visiblement pas et qui sont pourtant le risque principal. Admettons simplement que je suis un salarié mécontent. Je vais dans votre local technique. J'arrache les disques des serveurs et je les jette par terre assez fort pour être certain de les détruire. Vous n'avez plus de mails, plus de gestion de stock, plus de factures, plus de comptabilité. Et il y a longtemps que vous n'avez plus d'archives papier de toutes ces choses. Comment votre entreprise fera-t-elle face à la perte de ses données ? Combien de temps votre entreprise mettra à repartir ? Quel sera le délai de réaction de votre assureur ? Combien de temps votre trésorerie vous permet-elle de survivre ?"

Vous avez raison, je vais mettre un verrou sur le local technique et je serais le seul à avoir la clé, c'est moins cher.

**popovivi** · 21/04/2016, 14h49

Témoignage !
Vécu chez un client avec un antivirus professionnel, un utilisateur reçoit régulièrement des mails vérolés. Un moment d'égarement ou de curiosité, un clic sur un lien hypertexte dans un fichier Word et tous les fichiers du serveur (10Go) cryptés et inaccessibles. Tous les fichiers Word, Excel, TXT (tous les fichiers de config de logiciel sont cryptés...) Pourtant il m'a appelé très rapidement. Tous les fichiers récupérés dans la nuit sur une sauvegarde sur internet. Le matin tout est reparti ! C'est chaud très chaud et ça motive fortement à mettre en place tout se qu'il faut. Soyons honnête, là il manquait la sauvegarde locale qui aurait rendu plus rapide la récupération...
Petite question quelqu'un a t-il une idée pour contrer ces mail vérolés qui arrivent depuis la messagerie d'un contact connu (car les adresses des émetteurs sont connues) et dont le contenu vari ? J'ai pu voir plusieurs de ces mails qui continuent d'arriver.

**kabaman** · 04/05/2016, 13h43

C'est dommage que ces gens s'en prennent le plus osuvent aux plus faibles

**ngmsky** · 04/05/2016, 20h45

Bonjour à tous.

Je viens à peine de découvrir cette nouvelle d'attaque, et c'est vraiment inquiettant.
La question que je me pose souvent c'est que comment on arrive pas à retrouver les malfaiteurs, sachant que la reçan et payée par moyen numérique, donc identifiable, traçable, etc.
Je ne sais pas comment se fait le paiement par bitcoin mais il faut bien envoyer l'argent vers un compte quand même, non ? Et ce compte numérique/informatique et connu devrait être lié à un utilisateur.
Et si l'utilisateur peut-être anonyme, on pourrait normalement l'identifier en consultant la destination (adresse postal de livraison) des biens achetés et payés par ce compte !
Certe qu'il parait que cet argent est souvent dépensé à l'achat des biens vituels mais bon, ils ne vont pas quand même dépenser 10.000 € en gadgets !

Envoyé par popovivi

Témoignage !
...
Petite question quelqu'un a t-il une idée pour contrer ces mail vérolés qui arrivent depuis la messagerie d'un contact connu (car les adresses des émetteurs sont connues) et dont le contenu vari ? J'ai pu voir plusieurs de ces mails qui continuent d'arriver.

L'utilisation d'une machine virtuelle dediée à la lecture des mails (et navigation vers des sites douteux ou peu fiables) pourrai peut-être reduire les dégat en ce sens que seule la machine virtuelle serait infectée.

NB :
- la machine virtuelle (MV) doit être isolée du système (ne pas avoir de dossier partagé avec l’hôte),
- elle ne doit pas avoir accès au partage réseau (config à faire avec le pare-feu)
- l’échange de données entre la MV et l’hôte peut se faire par copier/coller (il faut activer l'option dans les paramètres de la MV)
- cet échange pourra aussi se faire (à froid) à l'aide d'un dossier de partage avec l'hôte qui ne sera accessible qu'en cas de besoin (mais pas en permanence).

- et pour finir interdir la machine hote de se connecter aux serveurs mails (fermeture des ports concernées (pop, smtp, imap... par firewall). Cela obligerait l'utilisateur de passer par la MV pour consulter les mails.

En cas d'infection, il suffira de reinstaller la MV, enfin restaurer la MV à un état ultérieur. (voir les options de sauvegardes des MV)

NB : Ceci doit-être un complément à la politique de sécurité déjà existante, comme des sauvegardes régulières et à froid de la machine hôte.

----------

Pour finir, la meilleure et véritable solution c'est des faire remonter le niveau de conscience et de justice de chaque être humain.
Nous (le monde) avons suffisamment et largement des moyens de le faire, mais nous n'avons pas la volonté de le faire.

1/ Tant que la justice et l'amour de l'autre ne seront pas enseigner et mis en avant (par les parents envers leurs enfants : au sein de la famille) ce type de comportement ne feront que se multiplier.

2/ De même tant que la violence, l'immoralité, l'agressivité, la perversité, l'incitation de consommation de tout sorte de drogues/alcool, l’égoïsme, l'orgueil, l'amour de l'argent facile, ... seront encore/toujours présentés comme "du bien, du plaisir, la joie, la vie, la liberté, l'évolution, ... " (voir contenu des films/séries d'actions, jeux vidéos de combat/guère, musique rap et hip-hop en général), il ne faut pas rêver et s’entonner de la montée exponentielle de la violence dans le monde et dans tous les domaines.

Souvenons-nous que : "science SANS conscience n'est que r???? de ????"
De François Rabelais

Qu'est ce que tu en pense ? .......
Il avait raison ou pas ? .........

Pour moi, il avait tout compris et tout dit. Il avait tout à fait raison.

Aujourd'hui la science (l'intelligence scolaire/universitaire : intelligence artificielle) est à la portée de tous, elle est devenue même obligatoire pour survivre et se faire accepter.

Mais, ...... mais, ... la conscience (l’intelligence naturelle : cad la bonne moralité, la justice naturelle, l'humanisme, la sagesse, l'humilité, la sensibilité, ... ou tout simplement l'amour véritable de l'autre) sont des valeurs en voie de disparition. Et presque personne ne s'en inquiète. Chacun pense à soit-même et à son ventre.

Bref, pour revenir au sujet, pour (tenter) de corriger ces multiples fléau d'injustices de façon sûre et durable, il faut investir et contribuer à la restauration d'un bon niveau de conscience humanitaire à grande échelle.

Et pour ça, chaque humain a son rôle à jouer (pierre à l'édifice).
L'investissement de François Rabelais est un exemple à suivre.
Il n'a pas écrit d'abord gagner de l'argent. Mais d'abord pour instruire le peuple dans la justice et la sagesse.

S'il était cinéaste, chanteur, dessinateur, humoriste, acteur, webmaster, ... je crois qu'il aurait utiliser son métier pour éduquer la société et non la détruire comme nous le faisons aujourd'hui, juste pour gagner de l'argent.

Oui, il suffit de voir les catastrophes écologiques que nous avons occasionnés en moins de 2 siècles, sans parler des dégât à venir (d'ici 25ans) du réchauffement climatique dont nous sommes tous responsable N°1.

C'est grâce aux efforts de rééducation de chaque humain en vers son prochain qui pourra améliorer les choses, bien que le mal ne disparaîtra pas complètement, il sera peut-être quand même réduit considérablement.

Voila un peu l'idée.

Bonne soirée à tous

**Médinoc** · 05/05/2016, 14h20

Par pitié, n'écrivez pas ce mot "ransonware"! "ranson" n'est pas un mot ni en français (où le mot correct est rançon) ni en anglais (où le mot correct est ransom)...

Pourquoi les ransonwares font-ils plus peur que les autres types de virus ?

Sécurité

Discussions similaires

Partager

Partager