Une fois qu'un ransomware s'est emparé de vos précieuses informations, il y a très peu de choses que vous puissiez faire pour le récupérer, à part accéder aux demandes de l'attaquant. Ransomware, un type de malware qui retient un ordinateur en rançon, est devenu particulièrement répandu au cours des dernières années et le cryptage pratiquement incassable en a fait une force encore plus puissante.

Les ransomwares sont généralement fournis par de puissants botnets utilisés pour envoyer des millions d'e-mails malveillants à des victimes ciblées au hasard. Ceux-ci visent à extorquer des sommes d'argent relativement faibles (normalement 300 à 500 £, mais plus récemment) d'autant de victimes que possible. Mais selon les policiers que nous avons interrogés des unités de cybercriminalité britanniques, Les attaques de ransomware ciblent de plus en plus les victimes de grande valeur. Ce sont généralement des entreprises qui peuvent se permettre de payer de très grosses sommes d'argent, jusqu'à 1 £ 000, 000 pour récupérer leurs données.

En 2017 et 2018, le nombre d'attaques de ransomware ciblées contre les entreprises britanniques a augmenté. Les attaquants utilisent de plus en plus des logiciels pour rechercher des ordinateurs et des serveurs vulnérables, puis utilisent diverses techniques pour les pénétrer. Le plus souvent, les auteurs utilisent des attaques par force brute (en utilisant un logiciel pour essayer à plusieurs reprises différents mots de passe pour trouver le bon), souvent sur des systèmes qui vous permettent d'utiliser des ordinateurs à distance.

Si les attaquants y accèdent, ils essaieront d'infecter d'autres machines sur le réseau et de recueillir des informations essentielles sur les opérations commerciales de l'entreprise, Infrastructure informatique et autres vulnérabilités potentielles. Ces vulnérabilités peuvent inclure lorsque les réseaux ne sont pas efficacement séparés en différentes parties, ou ne sont pas conçus de manière à les rendre faciles à surveiller (visibilité du réseau), ou avoir des mots de passe d'administration faibles.

Ils téléchargent ensuite le ransomware, qui crypte les données précieuses et envoie une demande de rançon. En utilisant des informations telles que la taille de l'entreprise, chiffre d'affaires et bénéfices, les attaquants évalueront ensuite le montant que l'entreprise peut se permettre et adapteront leur demande de rançon en conséquence. Le paiement est généralement demandé en crypto-monnaie et généralement entre 35 et 100 bitcoins (valeur au moment de la publication 100 £, 000-£288, 000).

Selon les policiers à qui nous avons parlé, une autre méthode d'attaque populaire est le "spear phishing" ou la "chasse au gros gibier". Cela implique de rechercher des personnes spécifiques qui gèrent les finances d'une entreprise et de leur envoyer un e-mail qui prétend provenir d'un autre employé. L'e-mail fabriquera une histoire qui encourage le destinataire à ouvrir une pièce jointe, normalement un document Word ou Excel contenant un code malveillant.

Ces types d'attaques ciblées sont généralement menées par des groupes professionnels uniquement motivés par le profit, bien que certaines attaques cherchent à perturber les entreprises ou les infrastructures. Ces groupes criminels sont très organisés et leurs activités évoluent constamment. Ils sont méthodiques, méticuleux et créatif pour extorquer de l'argent.

Par exemple, les attaques de ransomware traditionnelles demandent un montant fixe dans le cadre d'un message initial d'intimidation, parfois accompagné d'un compte à rebours. Mais dans des attaques plus ciblées, les auteurs déposent généralement un fichier de « preuve de vie » sur l'ordinateur de la victime pour démontrer qu'ils contrôlent les données. Ils enverront également les coordonnées et les coordonnées de paiement pour la divulgation des données, mais aussi ouvrir un processus de négociation difficile, qui est parfois automatisé, pour extraire le plus d'argent possible.

Selon la police, les criminels préfèrent généralement cibler les entreprises entièrement numérisées qui dépendent fortement de l'informatique et des données. Ils ont tendance à privilégier les petites et moyennes entreprises et à éviter les grandes entreprises qui ont une sécurité plus avancée. Les grandes entreprises sont également plus susceptibles d'attirer l'attention des médias, ce qui pourrait entraîner un intérêt accru de la police et des perturbations importantes des opérations criminelles.

Comment se protéger

Alors, que peut-on faire pour lutter contre ces attaques ? Nos travaux s'inscrivent dans le projet de recherche multi-universitaire EMPHASIS, qui étudie l'économie, impact social et psychologique des ransomwares. Les données (non encore publiées) collectées par EMPHASIS indiquent que la faible cybersécurité dans les organisations concernées est la principale raison pour laquelle les cybercriminels ont si bien réussi à leur extorquer de l'argent.

Une façon d'améliorer cette situation serait de mieux protéger l'accès aux ordinateurs distants. Cela peut être fait en désactivant le système lorsqu'il n'est pas utilisé, et en utilisant des mots de passe plus forts et une authentification en deux étapes (quand une seconde, un code spécialement généré est nécessaire pour se connecter avec un mot de passe). Ou alternativement passer à un réseau privé virtuel, qui connecte les machines via Internet comme si elles étaient dans un réseau privé.

Lorsque nous avons interviewé le chercheur en cybercriminalité Bob McArdle de la société de sécurité informatique Trend Micro, il a indiqué que les filtres de messagerie et les logiciels antivirus contenant une protection dédiée contre les ransomwares sont essentiels. Les entreprises doivent également sauvegarder régulièrement leurs données afin que peu importe si quelqu'un saisit l'original. Les sauvegardes doivent être testées et stockées dans des emplacements inaccessibles aux ransomwares.

Ce type de contrôle est crucial car les attaques de ransomware ont tendance à laisser très peu de preuves et sont donc intrinsèquement difficiles à enquêter. En tant que tel, les attaques de ransomware ciblées ne vont pas s'arrêter de sitôt, et les attaquants sont seulement susceptibles de devenir plus sophistiqués dans leurs méthodes. Les attaquants sont très adaptatifs, les entreprises devront donc réagir tout aussi intelligemment.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original. Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original