Quelles sont les meilleures cibles pour les ransomwares ?

Attaques ransomwares qui ont été médiatisées

Qui sont les cibles ?

Quelles sont les meilleures cibles pour les ransomwares ? Les particuliers ? Les institutions ? Quelles sont les raisons ? Tout d’abord il faut savoir que personne n’est à l’abri contre les ransomwares : les particuliers, les entreprises ou encore des institutions publiques. N’importe qui peut en être la cible d’une attaque. Mais les hackeurs ont appris à mieux cibler leurs attaques. Les raisons qui poussent les hackeurs à attaquer des particuliers sont nombreuses. Les particuliers ne font quasiment jamais de sauvegarde de leurs données. Ils manquent de connaissances en sécurité informatique ce qui les rend faciles à manipuler (par exemple ils ne font pas attention à ce qu’ils vont cliquer). Ils ne gardent pas leurs logiciels à jour. Ils utilisent des antivirus gratuits qui sont moins performants, Ils pensent que les antivirus les protègent de toutes les menaces. Les protections de bases ne sont pas mises en place (proxy, pare-feu,…).

Tous ces éléments rendent les particuliers vulnérables à une attaque de ransomware. Bien sûr, Il est évident que ces critiques ne s’appliquent pas à tout le monde et heureusement d’ailleurs. Mais il faut savoir qu’une seule petite faille peut permettre au ransomware d’infecter une victime. En ce qui concerne les entreprises, les raisons d’attaques sont aussi nombreuses. Tout d’abord les entreprises ont de l’argent et qu’une attaque de ransomware cause beaucoup de problèmes à l’entreprise. Il y a aussi le facteur humain qui est encore sous-évalué, les hackeurs utilisent des techniques d’ingénierie sociale pour tromper les collaborateurs de l’entreprise. Les hackeurs peuvent utiliser les ransomwares pour attaquer les ordinateurs, les serveurs et même les fichiers sur les systèmes de partage. Les petites entreprises ne sont pas préparées à faire face à des attaques de ransomware. De plus, les entreprises préfèrent ne pas signaler une infection de ransomware par peur des conséquences sur l’image de l’entreprise. En effet un tel incident peut avoir de graves conséquences sur une entreprise. Celles-ci peuvent être financières mais cela peut aussi rompre la confiance qu’ont les clients, fournisseurs ou partenaires avec l’entreprise. Par exemple qui voudrait déposer son argent dans une banque qui a été victime d’un ransomwares?

En ce qui concerne les institutions publiques les raisons ressemblent celles des entreprises à quelques exceptions près. Les institutions publiques ont aussi des collaborateurs qui sont rarement sensibilisés aux risques de l’ingénierie sociale qui est utilisé avec habilité par les hackeurs. Les hackeurs peuvent voir le fait de réussir une attaque contre une cible connu médiatiquement comme un accomplissement personnel. Mais le plus gros problème reste que les institutions publiques utilisent généralement des logiciels et des équipements qui ne sont pas à jours, donc leurs systèmes informatiques ont des failles qui n’ont pas été corrigé. Comme on peut le voir les hackeurs peuvent s’attaquer à n’importe qui. Tout dépend des ressources et motivations du hackeur. On peut constater que 70% des entreprises paient les rançons ce qui est un énorme pourcentage. Mais comme nous l’avons dit plus haut, il est impossible pour une entreprise de travailler sans ses données. Du coup si elles n’ont pas de plan de secours, elles sont obligées de payer pour espérer récupérer les données. Une autre information importante est que l’un des vecteurs d’attaques les plus utilisés pour diffuser les ransomwares est l’envoi de email malveillant notamment le hameçonnage.

Ingénierie social

Ce moyen est surement le plus malhonnête de tous, il consiste à convaincre une personne de nous révéler une information confidentielle ou à mener la victime à exécuter des actions. Pour cela on compte sur la bonne foi ou la serviabilité de la personne. Vous n’êtes pas sans savoir qu’en informatique la plus grande faille reste l’humain. On a beau avoir la sécurité la plus élaborée possible, il suffit qu’un collaborateur donne une information (sans pour autant que cela soit intentionnel) pour mettre en danger tout le système. L’ingénierie sociale se passe en quatre étapes. La première étape est la récolte d’information. Cette phase consiste à rassembler des informations sur la future victime. Comme par exemple la structure de l’entreprise où elle travaille, les projets en cours, processus métiers et les logiciels utilisés. Tous ces éléments permettent d’établir une relation de confiance avec la victime lors de l’attaque. La seconde étape est le prétexte. Après avoir récolté assez d’information il est temps pour l’attaquant de faire un scénario fiable vis-à-vis de la victime. Les informations qu’il a récolées vont lui permettre de paraître crédible devant la victime. La troisième étape est d’utiliser le prétexte que le hackeur mit en place pour mener la victime à exécuter certaines actions ou à divulguer des informations confidentielles sur l’entreprise. La dernière étape consiste à l’hackeur de ne laisser aucune information qui pourrait remonter à sa réelle identité.

Exemple d’un scenario d’ingénierie social : L’attaquant se renseigne sur une entreprise, il s’informe sur le fonctionnement de l’entreprise, la hiérarchie de l’entreprise, les modèles utilisés pour les adresses e-mails ainsi que sur les projets en cours et sur quelques logiciels qui sont utilisés dans l’entreprise. Ensuite il va également s’informer sur un collaborateur en particulier de l’entreprise. Il s’informe sur le déroulement d’une journée classique pour lui et il peut également chercher ses hobbys via les réseaux sociaux. Une fois les informations récoltées l’attaquant prépare un scénario. L’attaquant se fait passer pour un employé du département informatique. Il prépare un email avec le même modèle qu’utilise l’entreprise cible. Il demande à la victime si elle peut télécharger et installer un correctif d’un logiciel utilisé quotidiennement car il n’a pas réussi à le déployer à distance. L’attaquant demande en quelques sorte une faveur, qui dans des circonstances normales pourraient être totalement plausible. Malheureusement, si le collaborateur télécharge et installe le logiciel, il se retrouve piégé et il sera fautif d’avoir fait entrer le ransomware dans l’entreprise. Tout cela est possible car le collaborateur a été naïf et a voulu être serviable. Pour lui il venait simplement en aide à un collègue.

Types de ransomwares

Il y a plusieurs types de ransomwares ceux qui bloquent l’écran de l’ordinateur, ceux qui chiffrent les données, ceux qui bloquent le démarrage du système et ceux qui visent les mobiles. Les premières versions de ransomwares étaient ceux qui bloquent l’écran. En effet, cette méthode-là consistait à verrouiller l’écran de l’ordinateur jusqu’à que la victime paie la rançon. Il n’y avait aucun chiffrement de données. Du coup, il suffit de trouver un moyen de supprimer le ransomware de l’ordinateur pour récupérer les données. Après cette première vague passée, les ransomwares ont évolué et sont devenus plus variés. Une des évolutions du ransomware est le ransomware chiffrant. Le fonctionnement de cette méthode est qu’une fois installé il chiffre les données des lecteurs réseaux, des ordinateurs ou encore des serveurs. Il y a certain qui cherche même les clés USB connectées. Les ransomware chiffrant sont efficaces car souvent les données privées sont uniques. Donc une fois chiffré il est impossible pour la victime de récupérer avec une simple remise à zéro du système d’exploitation. Pour chiffrer, il y a deux manières.

La manière symétrique qui emploie le même mot de passe pour chiffrer et pour déchiffrer. Du coup, cette manière est plus facile à casser vu qu’elle utilise le même mot de passe. Il suffit à la victime de retrouver le mot de passe utilisé pour récupérer ses données. Les problèmes commencent quand le ransomware utilise la façon asymétrique. Dans cette méthode il y a une clé publique qui est partagée et qui permet de chiffrer les données. Il y a aussi une clé privée, qui elle n’est pas partagée et qui est utilisée pour déchiffrer les données. La clé privée ne sera divulguée qu’une fois la rançon payer. Une fois les données chiffrées, un message à l’écran s’affiche dans laquelle il y a le montant que la victime devra payer si elle veut récupérer ses données. Généralement, on demande à la victime de payer en bitcoin (crypto-monnaie), puisqu’il est très difficile à d’identifier à qui appartient les adresses de bitcoin. .

RAA (JS/RANSOM-DLL)

RAA (JS/RANSOM-DLL) est un ransomware pas comme les autres. En effet, RAA est écrit entièrement en JavaScript (un langage de programmation). L’un des avantages d’utiliser JavaScript est que Windows n’affiche pas ces extensions par défaut. Une pièce jointe qui devrait s’afficher « facture.js » s’affichera « facture ». Donc les victimes ne se préoccupent pas de l’extension vu qu’elle n’est pas visible. RAA (JS/RANSOM-DLL) n’a pas besoin de télécharger de ransomware sur le serveur. Dès que le ransomware a infecté la victime il est prêt à chiffrer les données et demander une rançon. Premièrement, RAA (JS/RANSOM-DLL) lance un fichier leurre qui contient un message qui sert surtout à détourner attention. Pendant ce temps, le ransomware fait un appel au serveur pour demander une clé de chiffrement. Le serveur fournit une clé de chiffrement aléatoire AES ainsi qu’un identifiant (clé publique). Dès que les données sont chiffrées la victime devra mentionner l’identifiant pour payer la rançon ainsi il pourra récupérer la clé AES correspondante pour le déchiffrage. La clé de chiffrement AES n’est pas gardée en mémoire par RAA (JS/RANSOM-DLL), dès que le chiffrement est fini, elle est supprimée, ainsi il n’y a plus que le serveur qui a une copie de la clé pour le déchiffrage. Une fois le chiffrement terminé, il y aura comme pour les autres ransomware une marche à suivre qui va nous expliquer comment récupérer les données. RAA (JS/RANSOM-DLL) installe aussi un voleur de mots de passe. Le nom de code de ce virus est Troj/Fareit-AWR. Il est stocké dans le répertoire Mes Documents avec le nom suivant : st.exe

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela rapport gratuit propose le téléchargement des modèles gratuits de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières

Résumé
Liste des figures
1. Introduction
1.1 Historique
1.2 Le 1er ransomware
1.3 Année 2000
1.4 L’explosion du ransomware
1.5 Les pays touché
1.6 Attaques ransomwares qui ont été médiatisées
1.7 Qui sont les cibles ?
2. Vecteur d’attaque
2.1 Ingénierie social
2.2 Emails
2.2.1 L’hameçonnage
2.2.2 E-mail avec une pièce jointe malveillante
2.3 Drive-By-Download
2.4 Menace interne
2.5 CAPTCHA
2.6 Faille de sécurité
3. Fonctionnement
3.1 Types de ransomwares
3.2 Analyse ransomware
3.2.1 Dropper
3.2.2 Obfuscation
3.3 LOCKY
3.4 PETYA
3.5 ZCRYPTOR
3.6 nRansom
3.7 RAA (JS/RANSOM-DLL)
3.8 TORRENTLOCKER / Cryptowall / Critroni / TorLocker/
4. Economie
4.1 Le paiement des rançons
4.2 Les ransomware comme un service (RaaS)
5. Réponse légale
5.1 Comment se protéger ?
5.1.1 Sensibilisation
5.1.2 Sauvegarde
5.1.3 Installer une solution anti-Ransomware
5.1.4 Mettre à jour
5.1.5 Précautions à mettre en place
5.1.5.1 Afficher l’extension des noms de fichiers
5.1.5.2 Paramétrer/Personnaliser son navigateur internet
5.1.6 Installation d’application
5.1.7 D’autres conseils pour les entreprise
5.2 En cas d’infection que faire ?
5.2.1 Marche à suivre
5.2.2 Le projet No More Ransom
5.2.3 Faut-il payer la rançon
5.2.4 Porter plainte
5.3 Anecdote
6. Conclusion
6.1 Synthèse de la recherche sur les ransomwares
6.2 Point de vue personnel
Bibliographie

Rapport PFE, mémoire et thèse PDFTélécharger le rapport complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *