Les attaques de ransomware peuvent utiliser plusieurs méthodes, ou vecteurs, pour infecter un appareil ou un réseau. Parmi les principaux vecteurs d'infection par ransomware, citons les suivants :

• E-mails de hameçonnage et autres attaques d'ingénierie sociale : Les e-mails de hameçonnage incitent les utilisateurs à télécharger et à exécuter une pièce jointe malveillante (qui contient le ransomware sous la forme d'un fichier .pdf, d'un document Microsoft Word ou d'un autre fichier d'apparence inoffensive), ou à visiter un site web malveillant qui transmet le ransomware par le biais du navigateur Web de l'utilisateur. Selon l'Enquête 2021 sur les organisations cyber-résilientes d'IBM, le hameçonnage et autres techniques d'ingénierie sociale ont été à l'origine de 45 % de toutes les attaques de ransomware signalées par les participants à l'enquête, ce qui en fait le vecteur d'attaque le plus courant.  
• Vulnérabilités des systèmes d'exploitation et des logiciels : Les cybercriminels exploitent souvent les vulnérabilités existantes pour injecter du code malveillant dans un appareil ou un réseau. Les vulnérabilités de type « zero day », qui sont des vulnérabilités soit inconnues de la communauté de sécurité, soit identifiées mais non encore corrigées, constituent une menace particulièrement importante. Certains gangs de ransomware achètent des informations sur les failles de type « zero-day » auprès d'autres pirates pour planifier leurs attaques. Des pirates ont également utilisé efficacement des vulnérabilités corrigées comme vecteurs d'attaque, comme ce fut le cas lors de l'attaque WannaCry de 2017 évoquée ci-dessous.
• Vol de données d'identification : Les cybercriminels peuvent voler les informations d'identification des utilisateurs autorisés, les acheter sur le dark web ou les pirater par force brute. Ils peuvent ensuite utiliser ces données d'identification pour se connecter à un réseau ou à un ordinateur et déployer directement un ransomware. Le protocole RDP (Remote Desktop Protocol), un protocole propriétaire développé par Microsoft pour permettre aux utilisateurs d'accéder à un ordinateur à distance, est une cible populaire des attaquants de ransomware pour les vols de données d'identification.
• Autres logiciels malveillants : Les pirates utilisent souvent des logiciels malveillants développés pour d'autres attaques pour transmettre un ransomware à un appareil. Le cheval de Troie Trickbot, par exemple, conçu à l'origine pour voler des données d'identification bancaires, a été utilisé pour diffuser la variante du ransomware Conti en 2021.
• Téléchargements « drive-by » : Les pirates peuvent utiliser des sites web pour transmettre des ransomware à des appareils à l'insu des utilisateurs. Les kits d'exploitation utilisent des sites web malveillants pour analyser les navigateurs des visiteurs et rechercher les vulnérabilités des applications web qu'ils peuvent utiliser pour injecter un ransomware sur l'appareil. Le malvertising, des publicités numériques légitimes qui ont été compromises par des pirates, peut transmettre un ransomware à des appareils, même si l'utilisateur ne clique pas sur la publicité.

Les cybercriminels n'ont pas nécessairement besoin de développer leur propre ransomware pour exploiter ces vecteurs. Certains développeurs de ransomware partagent leur code malveillant avec les cybercriminels par le biais d'accords de type « ransomware en tant que service » (RaaS). Le cybercriminel ou « affilié » utilise le code pour mener une attaque, puis partage le paiement de la rançon avec le développeur. Cette relation profite aux deux parties : Les affiliés peuvent profiter de l'extorsion sans avoir à développer leur propre logiciel malveillant, et les développeurs peuvent augmenter leurs profits sans avoir à lancer des cyberattaques manuellement.

Les distributeurs de ransomware peuvent vendre des ransomware via des places de marché numériques ou recruter des affiliés directement par le biais de forums en ligne ou autres moyens similaires. Les grands gangs de ransomware ont investi d'importantes sommes d'argent pour attirer des affiliés. Le groupe REvil, par exemple, a dépensé 1 million de dollars dans le cadre d'une campagne de recrutement en octobre 2020 (lien externe à ibm.com).

Une fois que les pirates ont accédé à un appareil, une attaque par ransomware se déroule généralement selon les étapes suivantes.

Étape 1 : Reconnaissance. Les attaquants analysent le système infecté afin de mieux connaître l'appareil et le réseau, et d'identifier les fichiers qu'ils peuvent cibler, notamment les fichiers contenant des informations sensibles que l'attaquant peut utiliser pour une double ou triple extorsion. La plupart d'entre eux recherchent également des données d'identification supplémentaires qui peuvent leur permettre de se déplacer latéralement sur le réseau et de diffuser le ransomware sur d'autres appareils.

Étape 2 : Activation. Le ransomware de chiffrement commence à identifier et à chiffrer les fichiers. La plupart des ransomware de chiffrement déploient un chiffrement asymétrique utilisant une clé publique pour chiffrer le ransomware et conservant une clé privée qui permettra de déchiffrer les données. Comme les victimes ne disposent pas de la clé privée, elles ne peuvent pas déchiffrer les données chiffrées sans l'aide des pirates. Certains ransomware de chiffrement désactivent également les fonctions de restauration du système ou suppriment ou chiffrent les sauvegardes sur l'ordinateur ou le réseau de la victime afin d'augmenter la pression pour payer la clé de déchiffrement.

Un ransomware sans chiffrement verrouille l'écran de l'appareil, l'inonde de fenêtres pop-up ou empêche la victime d'utiliser l'appareil de toute autre manière.

Étape 3 : Demande de rançon. Une fois les fichiers chiffrés et/ou l'appareil désactivé, le ransomware avertit la victime de l'infection, souvent par le biais d'un fichier .txt déposé sur le bureau de l'ordinateur ou d'une notification contextuelle. La demande de rançon contiendra des instructions sur la manière de payer la rançon, généralement en crypto-monnaie ou selon une méthode similaire non traçable, en échange d'une clé de déchiffrement ou du rétablissement du fonctionnement habituel.

Il existe deux types principaux de ransomware. Le type le plus courant, appelé « ransomware de chiffrement » ou « crypto-ransomware », prend en otage les données d'un utilisateur en les chiffrant. La forme la moins courante de ransomware, parfois appelée « ransomware casier », verrouille l'ensemble de l'appareil de la victime.

Ces deux types peuvent être divisés en sous-catégories :

• Le leakware/doxware est un ransomware qui vole, ou exfiltre, des données sensibles et menace de les publier. Alors que les premières formes de leakware ou doxware volaient souvent des données sans les chiffrer, les variantes actuelles font souvent les deux.
• Les ransomware mobiles comprennent tous les ransomware qui affectent les appareils mobiles. Diffusés via des applications malveillantes ou des téléchargements de type « drive-by », les ransomware mobiles sont généralement des ransomware sans chiffrement. En effet, les systèmes automatisés de sauvegarde des données dans le cloud, généralement présents sur de nombreux appareils mobiles, permettent de neutraliser facilement les attaques par chiffrement.
• Les ransomware destructeurs ou essuie-glace menacent de détruire les données si la rançon n'est pas payée, sauf dans les cas où le ransomware détruit les données même si la rançon est payée. Ce dernier cas de figure est souvent soupçonné d'être déployé par des acteurs nationaux ou des « hactivistes » plutôt que par des cybercriminels ordinaires.
• Les logiciels alarmants sont exactement ce que leur nom indique : des ransomware qui tentent d'effrayer les utilisateurs pour qu'ils paient une rançon. Un logiciel alarmant peut se faire passer pour un message d'un organisme de police, accusant la victime d'un délit et exigeant une sanction ; il peut aussi usurper une alerte légitime d'infection virale et encourager la victime à acheter un logiciel antivirus ou antimalware. Parfois, le logiciel alarmant est un ransomware, qui chiffre les données ou verrouille l'appareil ; dans d'autres cas, il s'agit de son propre vecteur, qui ne chiffre rien mais contraint la victime à télécharger un ransomware.

Depuis 2020, les chercheurs en cybersécurité ont identifié plus de 130 familles ou variantes de ransomware actives et distinctes : des souches de ransomware uniques avec leurs propres signatures de code et fonctions. 

Parmi les nombreuses variantes de ransomware qui ont circulé au fil des ans, plusieurs souches se distinguent par l'ampleur de leur destruction, leur influence sur le développement des ransomware ou les menaces qu'elles représentent aujourd'hui encore.

CryptoLocker

Apparu pour la première fois en septembre 2013, CryptoLocker est largement connu pour avoir donné le coup d'envoi de l'ère moderne des ransomware. Propagé à l'aide d'un botnet (réseau d'ordinateurs piratés), CryptoLocker a été l'une des premières familles de ransomware à chiffrer massivement les fichiers des utilisateurs. On estime à 3 millions de dollars les sommes extorquées avant qu'une action de répression internationale ne le fasse disparaître en 2014. Le succès de CryptoLocker a donné lieu à de nombreuses imitations et a ouvert la voie à des variantes telles que WannaCry, Ryuk et Petya (décrites ci-dessous).

WannaCry

Premier cryptoworm très médiatisé (ransomware pouvant se propager à d'autres appareils sur un réseau), WannaCry a attaqué plus de 200 000 ordinateurs (dans 150 pays) sur lesquels les administrateurs avaient négligé de corriger la vulnérabilité EternalBlue de Microsoft Windows. En plus de chiffrer les données sensibles, le ransomware WannaCry menaçait d'effacer les fichiers si le paiement de la rançon n'était pas reçu dans les sept jours. Elle reste l'une des plus importantes attaques de ransomware à ce jour, avec des coûts estimés à 4 milliards de dollars.

Petya et NotPetya

Contrairement à d'autres ransomware de chiffrement, Petya chiffre la table du système de fichiers plutôt que les fichiers en soi, ce qui empêche l'ordinateur infecté de démarrer Windows. Une version fortement modifiée, NotPetya, a été utilisée pour mener une cyberattaque à grande échelle, principalement contre l'Ukraine, en 2017. NotPetya était un essuie-glace incapable de déverrouiller les systèmes, même après le paiement de la rançon.

Ryuk

Apparu pour la première fois en 2018, Ryuk a vulgarisé les attaques de type « big-game ransomware » visant le gros gibier, avec des demandes de rançon dépassant en moyenne 1 million de dollars. Ryuk peut localiser et désactiver les fichiers de sauvegarde et les fonctions de restauration du système. Un nouvelle souche dotée de capacités de cryptoworm a été découverte en 2021.

DarkSide

Géré par un groupe soupçonné d'opérer depuis la Russie, DarkSide est la variante du ransomware qui a attaqué le Colonial Pipeline américain le 7 mai 2021, considéré comme la pire cyberattaque contre une infrastructure américaine critique à ce jour. Le pipeline qui fournit 45 % du carburant de la côte Est des États-Unis a ainsi dû être temporairement fermé. En plus de lancer des attaques directes, le groupe DarkSide accorde des licences d'utilisation de ses ransomware à ses affiliés via des accords RaaS.

Locky

Locky est un ransomware de chiffrement qui utilise une méthode d'infection particulière : il utilise des macros cachées dans les pièces jointes des courriers électroniques (fichiers Microsoft Word), déguisées en factures légitimes. Lorsqu'un utilisateur télécharge et ouvre le document Microsoft Word, des macros malveillantes téléchargent secrètement le contenu du ransomware sur l'appareil de l'utilisateur.

REvil/Sodinokibi

REvil, également connu sous le nom de Sodin ou Sodinokibi, a contribué à vulgariser l'approche RaaS de la distribution des ransomware. Connu pour son utilisation dans la chasse au gros gibier et les attaques de double extorsion, REvil était derrière les attaques de 2021 contre les sociétés JBS USA et Kaseya Limited. JBS a payé une rançon de 11 millions de dollars après avoir interrompu l'ensemble de ses activités de transformation de viande bovine aux États-Unis, et après avoir fait subir un temps d'indisponibilité important à plus de 1000 clients utilisant le logiciel Kaseya. Le Service fédéral de sécurité russe a indiqué avoir démantelé REvil et inculpé plusieurs de ses membres début 2022.

Le paiement d'une rançon est courant. Selon l'Etude de 2021 sur les organisations cyber-résilientes menée par IBM, 61 % des entreprises interrogées qui ont subi une attaque de ransomware ont déclaré avoir payé une rançon.

Cependant, les organismes de police fédérale américaines déconseillent unanimement aux victimes de payer la rançon. Selon le National Cyber Investigative Joint Task Force (NCIJTF), une coalition de 20 agences fédérales américaines chargées d'enquêter sur les cybermenaces,

« Le FBI déconseille de payer une rançon aux acteurs criminels. Le paiement d'une rançon peut inciter les adversaires à cibler d'autres organisations, encourager d'autres acteurs criminels à s'engager dans la distribution de ransomware et/ou financer des activités illicites. Le paiement d'une rançon ne garantit pas non plus que les fichiers de la victime seront récupérés ».

Les services de police recommandent aux victimes de ransomware de signaler les attaques aux autorités compétentes, comme l'Internet Crime Complaint Center (IC3) du FBI, avant de payer une rançon. Certaines victimes d'attaques par ransomware peuvent être légalement tenues de signaler les infections par ransomware, qu'une rançon soit payée ou non. Par exemple, la conformité à l'HIPAA oblige généralement les entités de soins de santé à signaler toute violation de données, y compris les attaques par ransomware, au ministère de la Santé et des Services sociaux.

Dans certaines conditions, le paiement d'une rançon peut être illégal. Selon un avis publié en 2020 par l'Office of Foreign Assets Control (OFAC) du Ministère des finances des États-Unis, le paiement d'une rançon à des attaquants provenant de pays soumis à des sanctions économiques américaines, tels que la Russie, la Corée du Nord ou l'Iran, constituerait une violation de la réglementation de l'OFAC et pourrait entraîner des sanctions civiles, des amendes ou des poursuites pénales.

Pour se défendre contre les menaces de ransomware, les organismes fédéraux comme le CISA, le NCIJFT et les services secrets américains recommandent aux organisations de prendre certaines mesures de précaution, notamment :

• Maintenir des sauvegardes des données sensibles et des images du système, idéalement sur des disques durs ou d'autres dispositifs pouvant être déconnectés du réseau.
• Appliquer régulièrement des correctifs pour aider à déjouer les attaques de ransomware qui exploitent la vulnérabilité des logiciels et des systèmes d'exploitation.
• Mettre à jour les outils de cybersécurité, notamment les logiciels anti-malware et antivirus, les pare-feu et les passerelles web sécurisées, ainsi que les solutions de cybersécurité d'entreprise, comme les outils de détection et réponse des terminaux (EDR) et de détection et réponse étendues (XDR), qui aident les équipes de sécurité à détecter et à répondre aux ransomware en temps réel.
• Former les employés à la cybersécurité afin d'aider les utilisateurs à reconnaître et à éviter le hameçonnage, l'ingénierie sociale et d'autres tactiques pouvant conduire à des infections par des ransomware.
• Mettre en place des politiques de contrôle d'accès, notamment l'authentification multifactorielle, l'architecture à confiance zéro, la segmentation du réseau et des mesures similaires qui peuvent empêcher les ransomware d'atteindre des données particulièrement sensibles, et empêcher les cryptoworms de se propager à d'autres appareils sur le réseau.

Bien que des outils de déchiffrement pour certaines variantes de ransomware soient accessibles au public grâce à des projets tels que No More Ransom (lien externe à ibm.com), pour remédier à une infection active par un ransomware, il faut souvent adopter une approche à plusieurs niveaux. Consultez le Guide définitif des ransomware d'IBM Security (PDF de 966 Ko)  pour obtenir un exemple de plan de réponse aux incidents de ransomware inspiré du Cycle de vie de la réponse aux incidents du National Institute of Standards and Technology (NIST).

1989 : La première attaque de ransomware documentée, connue sous le nom de cheval de Troie AIDS ou « attaque P.C. Cyborg », a été distribuée via des disquettes. Elle masquait les répertoires de fichiers sur l'ordinateur de la victime et demandait 189 dollars pour les afficher à nouveau. Mais comme elle chiffrait les noms de fichiers et non les fichiers eux-mêmes, les utilisateurs pouvaient facilement réparer les dégâts sans payer de rançon.

1996 : En analysant les failles du cheval de Troie AIDS, les informaticiens Adam L. Young et Moti Yung ont lancé une mise en garde contre de futures formes de logiciels malveillants qui pourraient utiliser un système de chiffrement à clé publique plus sophistiqué pour prendre en otage des données sensibles. 

2005 : Après un nombre relativement faible d'attaques de ransomware au début des années 2000, une recrudescence des infections commence, principalement en Russie et en Europe de l'Est. Les premières variantes utilisant un chiffrement asymétrique apparaissent. Les nouveaux ransomware offrant des moyens plus efficaces d'extorquer de l'argent, les cybercriminels ont commencé à les diffuser dans le monde entier.

2009 : L'introduction de la cryptomonnaie, en particulier le bitcoin, donne aux cybercriminels un moyen de recevoir des paiements de rançon intraçables, ce qui entraîne un nouvel essor des activités de ransomware.

2013 : L'ère moderne des ransomware commence avec CryptoLocker qui inaugure la vague actuelle d'attaques de ransomware de chiffrement hautement sophistiqués, qui demandent un paiement en crypto-monnaie.

2015 : La variante du ransomware Tox introduit le modèle de ransomware en tant que service (RaaS).

2017 : Apparition de WannaCry, le premier cryptoworm capable de s'auto-reproduire à grande échelle.

2018 :Ryuk a vulgarisé la chasse au gros gibier