La pandémie du Coronavirus a bouleversé le monde. Le confinement et les mesures sanitaires ont causé un important déséquilibre pour la plupart des secteurs économiques. Au milieu de tout ce chaos, les cybercriminels se frayent un chemin et tirent avantage de la situation.
Pour survivre, de nombreuses sociétés et entreprises ont recouru au télétravail. Désormais, presque tous les processus se font en ligne. Il faut reconnaître que c’est une grande innovation, mais malheureusement, un grand danger pernicieux se nourrit de ce système. Les experts ont observé une montée considérable des cyberattaques depuis le début de l’année 2020, notamment au cours de ces trois derniers mois.
Bilan et facteurs majeurs
Selon les chercheurs en cybersécurité, le nombre d’attaques à travers le rançongiciel enregistré en 2020 est le plus élevé par rapport aux années précédentes. Le bilan a nettement doublé au cours du premier trimestre et les ravages continuent. Au mois de septembre, il y a eu environ 270 cas sérieux recensés à travers le monde. Un fait qui est assez inquiétant et qui ne laisse entrevoir aucun futur apaisement en 2021. Au contraire, cette tendance annonce une sombre prédiction pour l’année prochaine.
De toute évidence, l’avènement du travailà domicile, entraîné par le covid-19, constitue le facteur déclenchant de la progression de cette menace. Toutefois, il n’en est pas pour autant la principale cause. C’est plutôt le fruit d’une conjonction entre multiples facteurs dans lesquels le manque de mesures en matière de cybersécurité prime tout le reste. En effet, les recherches ont révélé que le processus du travail à domicile n’est pas assez protégé. Cela concernerait les transferts de données en ligne, l’accès à un réseau, la sauvegarde des informations.
Il convient d’ajouter à cet environnement fertile les nombreuses vulnérabilités découvertes récemment. Notamment celles quiouvrent facilement la porte des systèmes et réseaux d’information, comme les serveurs VPN. Puis celles qui affectent les applications ou dispositifs spécifiques d’une marque, notamment les vulnérabilités du protocole Bluetooth. À cela se joignent les applicatifs comme la vulnérabilité CVE-2020-6287 pour SAP Netweaver, ou la vulnérabilité CVE-2019-11580 pour les serveurs Atlassian Crowd.
Les attaques au rançongiciel les plus dangereuses en 2020-2021
Ces derniers temps, les hackers ont perfectionné leur pratique. Leurs domaines de compétences ont élargi dans divers secteurs comme les services financiers, les services gouvernementaux, les assurances et même les organismes de santé.
D’ailleurs, ils ont modifié leur mode opératoire pour se faire plus de profits. Désormais, voici comment ils fonctionnent : d’abord, ils s’infiltrent dans les réseaux d’une société ou organisation et cryptent des données sensibles. Ensuite, les cybermafieux exigent une double rançon : la première pour déchiffrer les données et une deuxième pour éviter leur divulgation. Ils vendent les informations volées sur des forums de marchés noirs en ligne.
VOIR AUSSI : Liste et exemples des virus informatique les plus dangereux 👾
Voici la liste des 11 principales attaques au ransomware qui ont déjà frappé fort en 2020 et qui sont redoutées en 2021 :
REvil
Le ransomware REvil est un virus malveillant qui crypte tous les fichiers sans exception. Dès que le virus s’est infiltré dans le système de sa victime, les administrateurs du groupe REvil demandent immédiatement de la rançon et exigent un paiement en bitcoins. Si le délai qu’ils ont imposé n’est pas respecté, ils redoublent le montant.
Il était le responsable de l’attaque qui a anéanti la société juridique Grubman Shire Meiselas & Sacks, causant la fuite de données confidentielles appartenant à de nombreuses célébrités.
Sodinokibi
Le ransomware Sodinokibi ou Sodin agit selon le même principe que REvil. À ses débuts, il a exploité une vulnérabilité de type « zero-day » pour accéder aux serveurs d’Oracle Weblogic en septembre 2019. Ensuite, il a continué à faire des ravages en exploitant d’autres vulnérabilités pour atteindre ses cibles.
Sodinokibi est un des plus redoutables ransomwares. Ses opérateurs ont déjà pu amasser plus de 850 000 euros en bitcoins.
Nemty
Ce ransomware est perçu comme un service de rançon plutôt qu’un logiciel. Nemty a été particulièrement actif entre l’été 2019 et l’été 2020. Il se propage à travers les courriels de phishing.
Nephilim
Nephilim est beaucoup plus sophistiqué par rapport aux autres malwares. Il utilise un algorithme de niveau militaire pour crypter les données qu’il a volées.
En général, il n’attaque que des cibles plus grandes telles que les organisations gouvernementales. Ce qui fait de lui une menace très sérieuse.
NetWalker
Le ransomware NetWalker utilise également des courriers de phishing, notamment ceux qui ont un lien avec le coronavirus, pour infiltrer le réseau de ses victimes.
Ensuite, il se propage à travers tous les fichiers exécutables qui y sont disponibles. Aussi connu sous le nom de Mailto, ce malware est considéré comme le plus destructeur.
DoppelPaymer
Apparu depuis le mois d’avril 2019, il n’a fait ses premières attaques que deux mois plus tard. DoppelPaymer présente des similarités à BitPaymer. Les deux attaquent en cryptant les fichiers de leur cible, les laissant par la suite une note qui contient le montant de la rançon demandé et un code d’accès.
Depuis leur activité, les assaillants derrière DoppelPaymer ont déjà accumulé 142 bitcoins, soit environ 1 million d’euros.
Ryuk
Ryuk fait partie des rançongiciels les plus agressifs et les plus actifs en 2020. Ce malware choisit bien ses victimes, souvent des agences gouvernementales ou des grandes entreprises. Il organise des attaques d’une grande envergure à chaque fois qu’il frappe et bloque l’accès vers un système ou un appareil jusqu’au paiement de la rançon demandée.
Ryuk est capable d’accéder à n’importe quel système en employant d’autres logiciels pour l’infecter. Il exploite une combinaison d’algorithmes très complexes comme RSA et AES. Récemment, il a attaqué une société américaine nommée EMCOR, qui figurait parmi le classement Fortune 500.
Maze
Maze est un logiciel malveillant considéré comme le plus dangereux et le plus destructeurdepuis 2019. Il crypte les fichiers et exige une rançon pour la récupération.
Les cybercriminels qui se cachent derrière Maze lancent des attaques en utilisant des outils appelés Fallout et Spelvo. Ses récentes victimes sont pour la plupart des industries de la santé.
CLOP
Le ransomware CLOP pratique également du phishing pour pirater des données. Il ajoute une extension « .clop » à chacun des fichiers qu’il a cryptés.
Si les victimes refusent de payer la rançon, les données volées sont publiées sur un site nommé « CLOP^_-LEAKS ». Les nouvelles versions de ce logiciel peuvent contourner Windows Defender et Microsoft Security Essentials.
Tycoon
Identifié il y a six mois, Tycoon cible les organisations dans le secteur de l’éducation. Il est un peu différent des autres. Écrit en Java, ce logiciel utilise une approche agressive. Les mots de passe faibles sont des cibles très faciles pour lui.
Sekhmet
Sa première apparition date du mois de juin 2020. Tout comme les autres, Sekhmet crypte aussi les fichiers et demande une rançon pour les déchiffrer.
Cependant, il n’accorde que 3 jours à ses victimes, ce qui fait un peu sa spécificité. Passé ce délai, les criminels divulguent les informations.
Comment se protéger contre les attaques de ransomware ?
Il est primordial de bien sécuriser les outils d’administration, surtout pour les entreprises, afin d’empêcher leur détournement par des cybercriminels. Pour ce faire, il faut veiller à ce que les logiciels antivirus soient mis à jour régulièrement. Il existe de nombreux outils qui sont capables de détecter les attaques en analysant le contenu d’un courriel suspect. Par ailleurs, il y a aussi certains outils qui peuvent évaluer les failles de sécurité.
Ainsi, il est toujours conseillé de posséder un plan derécupération avec une procédure de sauvegarde efficace à titre préventif. Le plus prudent serait aussi de disposer d’au moins 3 copies de l’ensemble des données, stockées dans différents emplacements fiables.
Dans le cas où l’attaque est déjà enclenchée, il ne faut pas payer la rançon, mais plutôt appliquer les plans de sauvegarde et restaurer les systèmes. Car chaque rançon versée alimente le cybercrime et permet aux malfaiteurs de recruter de nouveaux complices.
