Coup de projecteur sur les rançongiciels : les modes d’infection les plus courants

Coup de projecteur sur les rançongiciels : les modes d’infection les plus courants

Les rançongiciels restent une menace croissante avec de nouvelles familles faisant leur apparition chaque semaine. Pour cette raison, nous avons compilé une série d’articles dédiés qui mettra l’accent sur les différentes étapes d’attaque des rançongiciels afin de vous proposer la meilleure protection qui soit à tous les niveaux possibles. Avec le premier article de la série, nous abordons le premier point de contact de votre système avec les rançongiciels : l’infection.

Les auteurs de logiciels malveillants et les attaquants utilisent une large variété de techniques sophistiquées pour diffuser leurs logiciels malveillants. Il existe trois méthodes couramment utilisées que nous allons explorer tout au long de cet article : les liens et pièces jointes malveillants dans les e-mails, les téléchargements en parallèle et les procédures d’attaque de bureau à distance. Nous espérons pouvoir vous aider à vous concentrer sur la protection des zones les plus susceptibles d’être compromises par les cybercriminels et ainsi contribuer à réduire tout risque d’infection dès maintenant.

Voici les modes d’infection par rançongiciels les plus courants :

Rançongiciel par e-mail : classique mais toujours aussi efficace

Ce mode d’infection se présente sous deux formes principalement :

  • Téléchargement de pièces jointes malveillantes et
  • Clic sur des liens malveillants inclus dans des e-mails.

Les deux modes nécessitent une action de votre part, ils sont donc les plus faciles à éviter.

Commençons par les pièces jointes malveillantes. Un attaquant crée une communication électronique et se fait passer pour une entreprise légitime telle qu’Orange ou EDF. Un fichier malveillant est joint au courrier électronique sous la forme d’un fichier exécutable portable compressé (PE), d’un document Word ou d’un fichier de script Windows. C’est là que l’utilisateur doit intervenir. Le destinataire ouvre la pièce jointe en pensant que l’e-mail provient d’une source légitime. Une fois le fichier ouvert ou, dans le cas d’un document Word, les macros sont activées, la charge utile du rançongiciel est automatiquement téléchargée et le processus d’infection du système démarre.

Les liens malveillants contenus dans les e-mails sont similaires aux pièces jointes malveillantes, sauf que ces liens sont des URL intégrées dans le corps de la communication électronique. De même, ces e-mails sont envoyés par une personne ou une organisation que vous croyez être légitime, et lorsque vous cliquez dessus, ces URL téléchargent un rançongiciel.

Dans un des e-mails de PayPal qui circulent, notez les erreurs dans le texte comme les fautes d’orthographe et l’adresse de l’expéditeur qui n’est pas une adresse PayPal officielle.

Source : paypal.com

 

Des e-mails frauduleux soit-disant de DHL prétendent qu’un mandat d’un certain montant n’attend que le bon vouloir du destinataire et incite ce dernier à cliquer sur un lien.

Source : DHL.fr

Au lieu de recevoir une somme rondelette sur votre compte, c’est une charge utile malveillante contenant un rançongiciel qui vous attendra en fin de téléchargement.

L’apparence professionnelle des e-mails les rend difficiles à différencier des communications légitimes et pour cette raison, ils sont si efficaces.

Téléchargements parallèles : infection de votre système à votre insu

Les kits d’exploit sont des codes sophistiqués qui tirent parti des failles d’un système. Le plus souvent, ils sont exécutés lorsqu’une victime visite un site Web compromis, intentionnellement ou non, ou lorsqu’elle est redirigée d’un site Web légitime piraté vers un site compromis. Le code malveillant est caché dans le code de la page, souvent dans une publicité (malvertising), qui vous redirige vers la page de destination du kit d’exploit, sans que la victime l’aperçoive. C’est le cas lorsque le New York Times et le Huffington Post ont été piratés et que des milliers de lecteurs ont été redirigés vers un site d’injection.

Si votre système comporte des failles, une charge utile malveillante sera téléchargé en parallèle et exécutée, prenant votre système en otage.

Peut-être la chose la plus frustrante au sujet des attaques par kit d’exploit est la facilité avec laquelle un cybercriminel peut s’en prendre à un système sans que l’utilisateur n’ait particulièrement à intervenir. Parce qu’il profite de vulnérabilités non corrigées dans le logiciel le plus populaire, ce type d’infection peuvent passer inaperçu jusqu’à ce que vous soyez confronté à une demande de rançon sans avoir aucune idée de sa provenance.

Une pluie d’attaques contre les serveurs RDP infecte rapidement les réseaux

Les attaques de type Bureaux à distance – en anglais Remote Desktop Protocol ou RDP – ou les attaques de “mot de passe vraiment stupides” se produisent lorsque des entreprises laissent les ports clients RDP sur Internet ouverts ; sachant cela, les attaquants analysent des blocs d’adresses IP en quête de ports RDP ouverts. Une fois trouvés, les pirates tenteront toutes les variantes possibles rapidement afin de trouver le mot de passe de connexion de bureau à distance, ce qui est d’autant plus facile quand un administrateur de serveur utilise des identifiants de connexion comme username: admin password: admin. Ne vous méprenez pas, la façon la plus simple pour un cybercriminel d’accéder à vos données est que vous choisissiez un mot de passe faible. Cela vaut pour tous les utilisateurs, pas seulement les administrateurs de serveur.

Après avoir accédé au système, les pirates peuvent exécuter un fichier de cryptage qui localise également tous les disques réseau et locaux. Une fois qu’un pirate a accès à votre réseau, il a pratiquement champ libre. Récemment, les bases de données de trois organismes de soins de santé ont été compromises de cette façon. Une faille dans la façon dont la fonctionnalité de protocole de bureau à distance (RDP) avait été configurée a été exploitée, et des dossiers de patients ont été pris en otage tandis que 655 000 autres ont été mis en vente sur le web profond.

Le désastre de MongoDB a touché quelque 28 000 serveurs. Ce qui avait commencé comme quelques incidents isolés s’est transformé en une destruction totale de milliers de serveurs de MongoDB en fin d’une semaine. Comment les pirates ont-ils pu accéder à tant de serveurs si rapidement ? Vous l’avez deviné. Les attaques ciblaient uniquement les bases de données accessibles via Internet et avec comptes administrateur dépourvus de mot de passe.

L’accès à un réseau de 100 ordinateurs est une véritable mine d’or pour les pirates informatiques. Non seulement en raison des fichiers auxquels ils ont accès, mais aussi pour la puissance combinée de calcul. Un botnet peut être exploité pour effectuer des tâches qui nécessitent un réseau d’ordinateurs. Un botnet typique peut se composer de dizaines de milliers d’ordinateurs tous contrôlés par un seul terminal de commande et de contrôle. Les pirates aiment les utiliser parce qu’ils leur permettent de combiner la puissance de calcul et les ressources réseau de tous les ordinateurs du botnet pour attaquer une seule cible, envoyer 100 000 e-mails à la fois pour diffuser le rançongiciel le plus rapidement possible ou renifler le trafic pour capturer plus de noms d’utilisateur et de mots de passe à exploiter. Une fois qu’un cybercriminel a un accès via RDP, quasiment rien n’est hors de sa portée.

La prévention des rançongiciels nécessite une protection multi-couche

La facilité avec laquelle les rançongiciels pénètrent votre système est la raison précise pour laquelle votre meilleure défense est un plan de prévention clair. Une suite anti-malware de qualité est un solide filet de sécurité, mais avec de bonnes mesures de sécurité, un kit d’accès à la racine ne pourra jamais aller loin.

Voici quelques conseils pratiques pour fermer les failles de votre système :

Empêchez les attaques par e-mail et par téléchargement parallèle en faisant preuve de bon sens

Avant de cliquer, réfléchissez. FedEx vous enverrait-il par e-mail une pièce jointe concernant votre envoi ou un lien tiers vers une page demandant des informations ? C’est très improbable, et si tel était le cas, ce ne serait certainement pas sous forme de fichier exécutable portable (PE), de document Word ou de fichier de script Windows. En cas de doute, plutôt que d’ouvrir l’e-mail, connectez-vous directement au site vous envoyant supposément la notification, et vérifiez votre compte sur le site réel, en toute sécurité.

Empêchez les attaques RDP en utilisant des mots de passe complexes

Utilisez toujours des mots de passe complexes, en particulier pour l’accès Administrateur. En outre, envisagez de désactiver le compte Administrateur et d’utiliser un nom différent pour cet accès avec un nom d’utilisateur moins évident. Configurez le système de manière à verrouiller un utilisateur pendant un certain temps après plusieurs échecs de tentative de connexion. De plus, assurez-vous que votre système requiert une authentification à deux facteurs, en particulier pour l’accès administrateur. En outre, assurez-vous d’avoir correctement configuré sur votre système l’authentification au niveau réseau, notamment en matière d’accès administrateur. Dans l’onglet Général, cochez la case “N’autorisez que les connexions des ordinateurs exécutant Bureau à distance avec authentification au niveau réseau”.

Exécutez toujours une solution anti-malware efficace et performante pour votre entreprise tels que l’Emsisoft Anti-Malware for Business, l’Emsisoft Anti-Malware for Server et gérez toutes les licences de vos clients centralement avec l’Emsisoft Enterprise Console.

Empêchez toute attaque par des logiciels malveillants sous toutes leurs formes grâce au nettoyage régulier du système

Sauvegardez les fichiers importants et actualisez régulièrement la sauvegarde.

Procédez régulièrement à un nettoyage de printemps en suivant ces 5 recommandations et empêchez ainsi toute infection par des rançongiciels.

Exécutez une suite anti-malware performante et maintenez-la à jour. Restez protégé avec l’Emsisoft Anti-Malware ou optez pour une couche supplémentaire de protection avec l’Emsisoft Internet Security : toute la performance de notre produit anti-malware avec, en plus, un pare-feu.

Comme vous pouvez le voir, il existe diverses modes d’infection par rançongiciels. Certains sont évitables car ils dépendent de vous et de la façon dont vous agissez, d’autres nécessitent le filet de sécurité supplémentaire d’une suite anti-malware de qualité. Maintenant que vous connaissez les dangers, nous espérons que vous serez à l’affût des e-mails suspects et des redirections étranges lorsque vous vous trouvez en ligne. La prévention est le meilleur remède contre les rançongiciels, alors prenez les mesures adéquates.

Il s’agit du premier article de la série Coup de projecteur sur les rançongiciels. Ne manquez pas le deuxième volet !

Nous vous souhaitons une excellente journée (à l’abri de tout rançongiciel) !