SlideShare une entreprise Scribd logo
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE:
LE CHANTAGEQUI
VOUS FAITDÉCHANTER
1
DES BLOQUEURS AUX CHIFFREURS
Selon l’enquête de l’ISACA parue en janvier 2016, une entreprise sur cinq dans le monde aurait déjà connu
un incident impliquant un ransomware. Ces chevaux de Troie empêchent les organisations d’accéder à
leurs données pour mieux les faire chanter. Mais faut-il pour autant payer ?
Si le principe du ransomware n’a pas changé, la méthode a quant à elle évoluée : les chiffreurs ont supplanté
les bloqueurs.
1. LES BLOQUEURS ET VIRUS GENDARMERIE
La première génération de ransomware bloquait l’accès
ausystèmed’exploitationouaunavigateurdel’internaute
pour lui demander une rançon. Avant l’arrivée du bitcoin,
les victimes payaient par SMS ou effectuaient le transfert
d’argent sur un porte-monnaie électronique.
Beaucoup de ransomware de cette première vague
utilisaient les logos d’autorités policières, parfois ceux du
FBI ou de la CIA, d’où le nom de rançongiciel ou Virus
Gendarmerie.
Les bloqueurs ne sont plus légion sur les ordinateurs
car il est désormais devenu facile de les supprimer en
déconnectant le disque dur et en le branchant sur une
autre machine pour effacer les fichiers contaminés.
Ils font en revanche leur grand retour sur les terminaux
mobiles en bloquant les applications. Le stockage de
l’appareil étant majoritairement interne et non amovible
sur ce type de terminal, difficile d’utiliser le même
subterfuge.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE:
LE CHANTAGEQUI
VOUS FAITDÉCHANTER
2
2. LES CHIFFREURS OU CRYPTOVIRUS
Les cryptovirus procèdent quant à eux au chiffrement des
données des appareils et des fichiers partagés s’ils sont
reliés à un lecteur réseau. Une clé de déchiffrement est
nécessaire pour les récupérer. Celle-ci, souvent unique,
est générée pour chaque appareil infecté. Les internautes
touchés sont invités par une boîte de dialogue à payer
la rançon par bitcoin dans un certain laps de temps.
Ces cryptovirus s’introduisent de différentes manières :
	 Attaque par phishing ou hameçonnage :
l’infection se fait par l’ouverture d’une pièce jointe
compromise ou par le clic vers un site malveillant
utilisant un kit d’exploit. L’idée est de tromper
l’utilisateur sur la légitimité de l’email ou du site.
	 Attaque de type «watering hole» : une visite
sur un site légitime, mais compromis, contamine
l’appareil utilisé.
	 Attaque par exploitation de failles de
sécurité  : les logiciels non mis à jour sont des
passerelles de plus en plus empruntées.
La sophistication de ces malware s’est généralisée
avec des méthodes de chiffrement qui rendent la
plupart du temps le déchiffrement impossible :
	 La combinaison des méthodes RSA
(chiffrement asymétrique) / AES (chiffrement
symétrique) qui permet une grande vitesse de
chiffrement de données, jusqu’à 256 bits à l’aide de
l’algorithme AES, et qui chiffre ensuite la clé AES avec
l’algorithme RSA.
	 Les algorithmes à courbes elliptiques, qui
procèdent à un chiffrement encore plus complexe et
tout aussi rapide.
Les internautes touchés sont
invités par une boîte de dialogue
à payer la rançon par bitcoin
dans un certain laps de temps.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE:
LE CHANTAGEQUI
VOUS FAITDÉCHANTER
3
LES DIFFÉRENTES FAMILLES DE RANSOMWARE
1. LES GÉNÉRALISTES
CTB Locker : Apparu en 2014, ce cryptoware ne vise plus
seulement les ordinateurs, mais également les sites web
depuis février 2016 en chiffrant l’ensemble des fichiers de
leurs répertoires avec sa variante basée sur PHP. Les cyber
pirates utilisent également la blockchain pour stocker les
clés de déchiffrement.
CryptoWall : Ce ransomware infiltre les systèmes
d’exploitation via des emails et de faux téléchargements,
comme les lecteurs vidéo ou de fausses mises à jour
de flash. La version 4 se diffuse notamment avec le kit
d’exploit Nuclear.
Locky et ses variantes Odin et Zepto : Locky est l’un
des ransomware les plus agressifs de cette année 2016 :
120 000 frappes par jour au mois de juillet dernier ! Il
prend une nouvelle tournure en ajoutant l’extension .odin
et l’extension .zepto à vos fichiers pour les chiffrer.
Reveton : Trojan:W32/Reveton se fait passer pour
une autorité policière en demandant une amende à
l’internaute pour restaurer l’accès à ses données.
Cerber : Apparu cette année, il sème déjà la terreur :
209 millions de dollars auprès de 80 000 victimes dans
176 pays ! Il est diffusé notamment par l’exploit kit
Magnitude qui s‘est lui-même développé cette année.
La particularité de Cerber est qu’il vous parle pour
communiquer ses exigences.
Il existe aujourd’hui près de 200 variantes de ransomware en activité. Ces derniers visent tout autant les postes
de travail, les appareils mobiles ainsi que les serveurs. Aucun environnement n’est épargné qu’il s’agisse de
Windows, Mac ou Linux.
2. LES SPÉCIALISTES
KeRanger : Depuis cette année, les MAC ne sont plus
exempts de la menace ransomware. KeRanger est un
cheval de Troie qui infecte les appareils sous OS X via le
client BitTorrent Transmission, ouvrant ainsi la voie à une
nouvelle famille de ransomware.
SamSam : SamSam est un ransomware tout ce qu’il y a
de plus classique. Néanmoins celui-ci se distingue en
exploitant les vulnérabilités ouvertes dans les serveurs
utilisant Jboss.
FairWare : Plutôt que de procéder à un chiffrement
sophistiqué, FairWare s’en prend aux serveurs Linux en
supprimant les fichiers du système affecté. Ce qui ne
l’empêche pas de demander une rançon pour restituer
les données.
Locky est l’un des ransomware
les plus agressifs de
cette année 2016.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE:
LE CHANTAGEQUI
VOUS FAITDÉCHANTER
4
UN BUSINESS ORGANISÉ ET LUCRATIF
La recrudescence des cryptovirus de ces dernières années s’explique par l’effondrement du prix de la revente
des données, dont le cours est passé de 25 € en 2011 à 6 € l’unité en 2016, par l’explosion d’un marché organisé
de kits d’exploit et de ransomware-as-a-service... et par la motivation des entreprises prêtes à payer le prix fort.
L’industrie rapporterait 100 000 000 d’euros par an.
Pourquoi dérober les données pour les revendre puisqu’il est bien plus intéressant de les prendre
en otage ?
1. UN MARCHÉ DES RANSOMWARE-AS-A-SERVICE EN EXPANSION
Depuis 2015, le développement du marché des
ransomware-as-a service rend la traque aux cyber pirates
de plus en plus complexe.
Après avoir testé leur malware dans différents pays,
les auteurs ne mènent plus eux-mêmes les attaques mais
mettent à disposition les ressources clé-en-main sur
le réseau TOR.
Des cyber pirates moins expérimentés peuvent ainsi
s’approprier ces outils et devenir des affiliés moyennant
une commission sur les sommes récoltées en bitcoin,
40% dans le cas de Cerber.
Ce système de paiement utilisant la technologie
blockchain rend confidentielle toute transaction
financière.
Et pour complexifier un peu plus la traçabilité de
ce business, il existe parfois un maillon supplémentaire :
desrevendeursquiprendrontégalementleurcommission
au passage.
Le créateur n’a donc plus qu’à mettre à jour ses exploit,
les versions de ses malware et le service de support client.
Le développement du marché
des ransomware-as-a service
rend la traque aux pirates
de plus en plus complexe.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE:
LE CHANTAGEQUI
VOUS FAITDÉCHANTER
5
LES 4 PHASES DE LA CHAÎNE DE CONTAMINATION
2. UN BUSINESS PARADOXAL BASÉ SUR LA CONFIANCE
Les données des entreprises sont vitales : propriété
intellectuelle, informations clients, actifs de marque,
rapports financiers... et les cyber pirates le savent. Ils savent
que vous êtes prêts à vous exécuter pour récupérer votre
précieuxcapital.
Mais aussi étrange que cela puisse paraître, les cyber pirates
ont bien compris que pour que les victimes payent, il faut
que celles-ci soient assurées de récupérer leurs données
une fois la somme versée. Les cyber pirates mettent donc
en place de véritables supports clients avec des systèmes
de déchiffrement de confiance. Cette tendance n’est
néanmoinspassystématique.
Ces derniers sont même enclins aux gestes commerciaux  :
réductiondumontantetprolongationdudélaidepaiement.
Le lab F-Secure a testé l’expérience utilisateur avec 5
cryptovirus : Cerber, Cryptomix, Jigsaw, Shade et
Torrent. Dans 75% des cas en moyenne, les cyber pirates
ont accepté de faire un discount de 29%. Et les délais de
paiement,eux-aussi,ne sontpasgravésdansle marbre.
Ilaégalementévaluélaqualitéduservicedecesplateformes :
ergonomie, langues disponibles... Et contrairement à ce
que l’on pourrait penser, ce ne sont pas forcément ceux qui
paraissentlesplusprofessionnelsquisontforcémentlesplus
conciliants.
Le constat est donc sans appel : ces supports placent la
victime en situation de client, leur faisant presque perdre de
vuequec’estlepiratequil’acontraintàledevenir!
CERBER
CRYPTOMIX
JIGSAW
SHADE
TORRENT
LOCKER
env. 530 $
env. 1900 $
150 $
499 $
400 $
5jours
3jours
1jour
Pasdedeadlinespécifiée
5jours
ÉVOLUTIONDESFAMILLES
Rançoninitiale Deadline
Familles Rançon initiale
Demande
la plus basse
Remise en %
CERBER 530 $ 530 $ 0 %
CRYPTOMIX 1900 $ 635 $ 67 %
JIGSAW 150 $ 125 $ 17 %
SHADE 400 $ 280 $ 30 %
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE:
LE CHANTAGEQUI
VOUS FAITDÉCHANTER
6
2. TOUTES LES ORGANISATIONS SONT CONCERNÉES
Si ce sont les particuliers qui sont majoritairement visés avec des rançons qui se situent en moyenne autour des
600 euros, elles peuvent atteindre plusieurs milliers d’euros quand une organisation est directement ciblée. Les cyber
pirates qui ont frappé les distributeurs de transports à San Francisco le 26 novembre 2016, ont demandé une rançon de
73 000 dollars.
Mais quel que soit le montant de la rançon, les coûts
indirects liés à ces incidents peuvent se montrer très
impactants :
	 Pertes liées à l’arrêt de l’activité ;
	Temps dépensé à se débarrasser de l’infection,
à restaurer les sauvegardes ;
	 Dommages sur l’image de l’entreprise ;
	 Problèmes d’ordre administratif ou légal.
Dansuncontexteoùlaprotectiondesdonnéesàcaractère
personnel est renforcée, avec le règlement européen
(RGPD) qui peut sanctionner les entreprises à hauteur de
20 millions d’euros ou 4% de son chiffre d’affaires global,
mieux vaut ne pas jouer avec le feu !
Au-delà des risques financiers, il existe également des
risques humains lorsque les hôpitaux sont pris pour cible
et que leur système d’information se trouve bloqué.
Lesmédiasontbeaucoupparléen2016degrandshôpitaux
américains victimes de chantages informatiques, tels que
le Hollywood Medical Presbyterian et le Kansas Heart
Hospital, mais les hôpitaux français ne sont pas épargnés.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE:
LE CHANTAGEQUI
VOUS FAITDÉCHANTER
7
QUE FAIRE POUR SE PROTÉGER À 360° ?
	Renseignez-vous sur le type d’infection :
le déchiffrement est-il reconnu ?
	Ne perdez pas de vue que vous traitez avec des
malfaiteurs,aussinecommuniquezpasd’informations
quipourraientaggravervotresituation.
	Enfin, ne faites pas confiance aux liens ou pièces
jointes provenant du pirate : vous pourriez
télécharger un malware supplémentaire.
Malgré la supposée garantie de retrouver vos données, nous ne vous recommandons pas de payer
la rançon : si vous le faites, cela incite les cyber pirates à continuer.
Mais nous comprenons que cet argument ne résout pas votre problème... Si vos données en valent la peine et que le
paiement de la rançon est pour vous la solution la plus économique, voici ce que nous vous recommandons de faire :
PRÉDIRE :
	Identifiez les logiciels vulnérables qui peuvent
servir de point d’entrée sur les appareils, les
données et le réseau local.
	Identifiez les paramètres qui peuvent être
configurés pour optimiser la sécurité de ces
derniers.
	Evaluez les comportements de vos salariés, leur
sensibilité à la sécurité ainsi que les vecteurs
d’attaque.
PRÉVENIR :
	Faites des sauvegardes régulières et assurez-vous
de pouvoir les restaurer intégralement ;
	Appliquez les patchs correctifs : certains malware
exploitent les failles de sécurité ;
	Utilisez une protection robuste et multi-couches ;
	Eduquez vos salariés aux bonnes pratiques
en matière de sécurité et sensibilisez-les aux
menaces.
Sinon, voici ce qu’il est préférable de faire en amont d’une attaque et en réponse si les barrières de défense
n’ont pas été suffisantes.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE:
LE CHANTAGEQUI
VOUS FAITDÉCHANTER
8
DÉTECTER :
	Utilisez une solution de sécurité sophistiquée
procédant à une analyse heuristique afin de
détecter les comportements suspects sur
n’importe quel appareil du réseau local ;
	 Identifiez les ressources (appareils, réseau
partagé) connectées à un appareil contaminé
pour mesurer l’exposition potentielle ;
	 Identifiez les modifications engendrées par la
menace sur l’appareil contaminé.
RÉPONDRE :
	Déconnectez immédiatement l’appareil
d’Internet, du réseau de l’entreprise et si
possible, du réseau électrique pour empêcher la
communication entre le malware et son serveur
et la propagation du chiffrement ;
	Arrêtez votre matériel, il se peut que le
ransomware soit programmé pour provoquer
davantagededommagesencasdedéconnexion ;
	Scannez tous les appareils connectés, le
réseau partagé, le cloud pour récolter toutes les
traces de la menace.
	Procédez à de l’analyse forensique et
communiquez-nous le résultat de vos
investigations : comment la menace a pu
s’installer et se propager ?
Les ransomware ne sont pas les malware les plus répandus mais sont ceux qui peuvent avoir le plus de
conséquences négatives sur votre organisation. Aussi, protégez-vous et ne cédez pas aux cyber pirates
qui pourraient ne pas respecter leur pacte.

Contenu connexe

Tendances

Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
Technologia Formation
 
Le côté obscur de la cybersécurité
Le côté obscur de la cybersécuritéLe côté obscur de la cybersécurité
Le côté obscur de la cybersécurité
ITrust - Cybersecurity as a Service
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
Groupe EEIE
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprise
mariejura
 
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaquesCyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
ELCA Informatique SA / ELCA Informatik AG
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
Serrerom
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
OPcyberland
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
Christophe-Alexandre PAILLARD
 
AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013
Abdeljalil AGNAOU
 
Rapport Norton sur l'impact de la Cybercriminalité
Rapport Norton sur l'impact de la CybercriminalitéRapport Norton sur l'impact de la Cybercriminalité
Rapport Norton sur l'impact de la Cybercriminalité
Judith Sautereau
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
Kiwi Backup
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
SOCIALware Benelux
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
molastik
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfense
ncaproni
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
ITrust - Cybersecurity as a Service
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
Naully Nicolas
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
NRC
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
ir. Carmelo Zaccone
 

Tendances (20)

Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Le côté obscur de la cybersécurité
Le côté obscur de la cybersécuritéLe côté obscur de la cybersécurité
Le côté obscur de la cybersécurité
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprise
 
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaquesCyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013
 
Rapport Norton sur l'impact de la Cybercriminalité
Rapport Norton sur l'impact de la CybercriminalitéRapport Norton sur l'impact de la Cybercriminalité
Rapport Norton sur l'impact de la Cybercriminalité
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfense
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
 

Similaire à Livre blanc F-Secure Ransomware - le chantage qui fait déchanter

Comment éviter la prise d’otage de vos données @ITrustBlog
Comment éviter la prise d’otage de vos données @ITrustBlogComment éviter la prise d’otage de vos données @ITrustBlog
Comment éviter la prise d’otage de vos données @ITrustBlog
ITrust - Cybersecurity as a Service
 
Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016
Blandine Delaporte
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numérique
OPcyberland
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
SchadracMoualou
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
Abdeljalil AGNAOU
 
Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016
Blandine Delaporte
 
Guide Ransomware 2018
Guide Ransomware 2018Guide Ransomware 2018
Guide Ransomware 2018
Zyxel France
 
Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 2 mai 2016
Rapport Threat Intelligence Check Point du 2 mai 2016Rapport Threat Intelligence Check Point du 2 mai 2016
Rapport Threat Intelligence Check Point du 2 mai 2016
Blandine Delaporte
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur Internet
BELVEZE Damien
 
Rapport Threat Intelligence Check Point du 6 juin 2016
Rapport Threat Intelligence Check Point du 6 juin 2016Rapport Threat Intelligence Check Point du 6 juin 2016
Rapport Threat Intelligence Check Point du 6 juin 2016
Blandine Delaporte
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
BarcampCameroon
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
David Girard
 
Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018
OPcyberland
 
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéQuand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
ITrust - Cybersecurity as a Service
 
Petya, pire que WannaCry ?
Petya, pire que WannaCry ?Petya, pire que WannaCry ?
Petya, pire que WannaCry ?
ITrust - Cybersecurity as a Service
 
forum_architectes_ibm_4_cybercriminalite_richard.pdf
forum_architectes_ibm_4_cybercriminalite_richard.pdfforum_architectes_ibm_4_cybercriminalite_richard.pdf
forum_architectes_ibm_4_cybercriminalite_richard.pdf
alidalikha
 
Rapport Threat Intelligence Check Point du 5 décembre 2016
Rapport Threat Intelligence Check Point du 5 décembre 2016Rapport Threat Intelligence Check Point du 5 décembre 2016
Rapport Threat Intelligence Check Point du 5 décembre 2016
Blandine Delaporte
 

Similaire à Livre blanc F-Secure Ransomware - le chantage qui fait déchanter (20)

Comment éviter la prise d’otage de vos données @ITrustBlog
Comment éviter la prise d’otage de vos données @ITrustBlogComment éviter la prise d’otage de vos données @ITrustBlog
Comment éviter la prise d’otage de vos données @ITrustBlog
 
Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numérique
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
 
Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016
 
Guide Ransomware 2018
Guide Ransomware 2018Guide Ransomware 2018
Guide Ransomware 2018
 
Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016
 
Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016Rapport Threat Intelligence Check Point du 8 août 2016
Rapport Threat Intelligence Check Point du 8 août 2016
 
Rapport Threat Intelligence Check Point du 2 mai 2016
Rapport Threat Intelligence Check Point du 2 mai 2016Rapport Threat Intelligence Check Point du 2 mai 2016
Rapport Threat Intelligence Check Point du 2 mai 2016
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur Internet
 
Rapport Threat Intelligence Check Point du 6 juin 2016
Rapport Threat Intelligence Check Point du 6 juin 2016Rapport Threat Intelligence Check Point du 6 juin 2016
Rapport Threat Intelligence Check Point du 6 juin 2016
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
 
Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018
 
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéQuand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
 
Petya, pire que WannaCry ?
Petya, pire que WannaCry ?Petya, pire que WannaCry ?
Petya, pire que WannaCry ?
 
forum_architectes_ibm_4_cybercriminalite_richard.pdf
forum_architectes_ibm_4_cybercriminalite_richard.pdfforum_architectes_ibm_4_cybercriminalite_richard.pdf
forum_architectes_ibm_4_cybercriminalite_richard.pdf
 
Rapport Threat Intelligence Check Point du 5 décembre 2016
Rapport Threat Intelligence Check Point du 5 décembre 2016Rapport Threat Intelligence Check Point du 5 décembre 2016
Rapport Threat Intelligence Check Point du 5 décembre 2016
 

Plus de NRC

Guide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerceGuide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerce
NRC
 
Le guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de productionLe guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de production
NRC
 
La business intelligence au service de la production
La business intelligence au service de la productionLa business intelligence au service de la production
La business intelligence au service de la production
NRC
 
Windows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensableWindows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensable
NRC
 
Recruter pour préparer l'avenir
Recruter pour préparer l'avenirRecruter pour préparer l'avenir
Recruter pour préparer l'avenir
NRC
 
Stormshield Visibility Center
Stormshield Visibility CenterStormshield Visibility Center
Stormshield Visibility Center
NRC
 
F-Secure Business Suite
F-Secure Business SuiteF-Secure Business Suite
F-Secure Business Suite
NRC
 
Cyber security-report-2017
Cyber security-report-2017Cyber security-report-2017
Cyber security-report-2017
NRC
 
Livre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - SageLivre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - Sage
NRC
 
Tout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisationTout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisation
NRC
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
NRC
 
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-SecureRADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
NRC
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
NRC
 
Le guide pour gérer sa trésorie
Le guide pour gérer sa trésorieLe guide pour gérer sa trésorie
Le guide pour gérer sa trésorie
NRC
 
L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !
NRC
 
Les avantages et bénéfices du CRM
Les avantages et bénéfices du CRMLes avantages et bénéfices du CRM
Les avantages et bénéfices du CRM
NRC
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
NRC
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012
NRC
 
Des systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefenseDes systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefense
NRC
 
9 conseil pour enrichir vos bases de données
9 conseil pour enrichir vos bases de données9 conseil pour enrichir vos bases de données
9 conseil pour enrichir vos bases de données
NRC
 

Plus de NRC (20)

Guide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerceGuide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerce
 
Le guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de productionLe guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de production
 
La business intelligence au service de la production
La business intelligence au service de la productionLa business intelligence au service de la production
La business intelligence au service de la production
 
Windows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensableWindows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensable
 
Recruter pour préparer l'avenir
Recruter pour préparer l'avenirRecruter pour préparer l'avenir
Recruter pour préparer l'avenir
 
Stormshield Visibility Center
Stormshield Visibility CenterStormshield Visibility Center
Stormshield Visibility Center
 
F-Secure Business Suite
F-Secure Business SuiteF-Secure Business Suite
F-Secure Business Suite
 
Cyber security-report-2017
Cyber security-report-2017Cyber security-report-2017
Cyber security-report-2017
 
Livre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - SageLivre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - Sage
 
Tout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisationTout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisation
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
 
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-SecureRADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
Le guide pour gérer sa trésorie
Le guide pour gérer sa trésorieLe guide pour gérer sa trésorie
Le guide pour gérer sa trésorie
 
L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !
 
Les avantages et bénéfices du CRM
Les avantages et bénéfices du CRMLes avantages et bénéfices du CRM
Les avantages et bénéfices du CRM
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012
 
Des systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefenseDes systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefense
 
9 conseil pour enrichir vos bases de données
9 conseil pour enrichir vos bases de données9 conseil pour enrichir vos bases de données
9 conseil pour enrichir vos bases de données
 

Livre blanc F-Secure Ransomware - le chantage qui fait déchanter

  • 1. WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017 AVIS D’EXPERT RANSOMWARE: LE CHANTAGEQUI VOUS FAITDÉCHANTER 1 DES BLOQUEURS AUX CHIFFREURS Selon l’enquête de l’ISACA parue en janvier 2016, une entreprise sur cinq dans le monde aurait déjà connu un incident impliquant un ransomware. Ces chevaux de Troie empêchent les organisations d’accéder à leurs données pour mieux les faire chanter. Mais faut-il pour autant payer ? Si le principe du ransomware n’a pas changé, la méthode a quant à elle évoluée : les chiffreurs ont supplanté les bloqueurs. 1. LES BLOQUEURS ET VIRUS GENDARMERIE La première génération de ransomware bloquait l’accès ausystèmed’exploitationouaunavigateurdel’internaute pour lui demander une rançon. Avant l’arrivée du bitcoin, les victimes payaient par SMS ou effectuaient le transfert d’argent sur un porte-monnaie électronique. Beaucoup de ransomware de cette première vague utilisaient les logos d’autorités policières, parfois ceux du FBI ou de la CIA, d’où le nom de rançongiciel ou Virus Gendarmerie. Les bloqueurs ne sont plus légion sur les ordinateurs car il est désormais devenu facile de les supprimer en déconnectant le disque dur et en le branchant sur une autre machine pour effacer les fichiers contaminés. Ils font en revanche leur grand retour sur les terminaux mobiles en bloquant les applications. Le stockage de l’appareil étant majoritairement interne et non amovible sur ce type de terminal, difficile d’utiliser le même subterfuge.
  • 2. WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017 AVIS D’EXPERT RANSOMWARE: LE CHANTAGEQUI VOUS FAITDÉCHANTER 2 2. LES CHIFFREURS OU CRYPTOVIRUS Les cryptovirus procèdent quant à eux au chiffrement des données des appareils et des fichiers partagés s’ils sont reliés à un lecteur réseau. Une clé de déchiffrement est nécessaire pour les récupérer. Celle-ci, souvent unique, est générée pour chaque appareil infecté. Les internautes touchés sont invités par une boîte de dialogue à payer la rançon par bitcoin dans un certain laps de temps. Ces cryptovirus s’introduisent de différentes manières : Attaque par phishing ou hameçonnage : l’infection se fait par l’ouverture d’une pièce jointe compromise ou par le clic vers un site malveillant utilisant un kit d’exploit. L’idée est de tromper l’utilisateur sur la légitimité de l’email ou du site. Attaque de type «watering hole» : une visite sur un site légitime, mais compromis, contamine l’appareil utilisé. Attaque par exploitation de failles de sécurité  : les logiciels non mis à jour sont des passerelles de plus en plus empruntées. La sophistication de ces malware s’est généralisée avec des méthodes de chiffrement qui rendent la plupart du temps le déchiffrement impossible : La combinaison des méthodes RSA (chiffrement asymétrique) / AES (chiffrement symétrique) qui permet une grande vitesse de chiffrement de données, jusqu’à 256 bits à l’aide de l’algorithme AES, et qui chiffre ensuite la clé AES avec l’algorithme RSA. Les algorithmes à courbes elliptiques, qui procèdent à un chiffrement encore plus complexe et tout aussi rapide. Les internautes touchés sont invités par une boîte de dialogue à payer la rançon par bitcoin dans un certain laps de temps.
  • 3. WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017 AVIS D’EXPERT RANSOMWARE: LE CHANTAGEQUI VOUS FAITDÉCHANTER 3 LES DIFFÉRENTES FAMILLES DE RANSOMWARE 1. LES GÉNÉRALISTES CTB Locker : Apparu en 2014, ce cryptoware ne vise plus seulement les ordinateurs, mais également les sites web depuis février 2016 en chiffrant l’ensemble des fichiers de leurs répertoires avec sa variante basée sur PHP. Les cyber pirates utilisent également la blockchain pour stocker les clés de déchiffrement. CryptoWall : Ce ransomware infiltre les systèmes d’exploitation via des emails et de faux téléchargements, comme les lecteurs vidéo ou de fausses mises à jour de flash. La version 4 se diffuse notamment avec le kit d’exploit Nuclear. Locky et ses variantes Odin et Zepto : Locky est l’un des ransomware les plus agressifs de cette année 2016 : 120 000 frappes par jour au mois de juillet dernier ! Il prend une nouvelle tournure en ajoutant l’extension .odin et l’extension .zepto à vos fichiers pour les chiffrer. Reveton : Trojan:W32/Reveton se fait passer pour une autorité policière en demandant une amende à l’internaute pour restaurer l’accès à ses données. Cerber : Apparu cette année, il sème déjà la terreur : 209 millions de dollars auprès de 80 000 victimes dans 176 pays ! Il est diffusé notamment par l’exploit kit Magnitude qui s‘est lui-même développé cette année. La particularité de Cerber est qu’il vous parle pour communiquer ses exigences. Il existe aujourd’hui près de 200 variantes de ransomware en activité. Ces derniers visent tout autant les postes de travail, les appareils mobiles ainsi que les serveurs. Aucun environnement n’est épargné qu’il s’agisse de Windows, Mac ou Linux. 2. LES SPÉCIALISTES KeRanger : Depuis cette année, les MAC ne sont plus exempts de la menace ransomware. KeRanger est un cheval de Troie qui infecte les appareils sous OS X via le client BitTorrent Transmission, ouvrant ainsi la voie à une nouvelle famille de ransomware. SamSam : SamSam est un ransomware tout ce qu’il y a de plus classique. Néanmoins celui-ci se distingue en exploitant les vulnérabilités ouvertes dans les serveurs utilisant Jboss. FairWare : Plutôt que de procéder à un chiffrement sophistiqué, FairWare s’en prend aux serveurs Linux en supprimant les fichiers du système affecté. Ce qui ne l’empêche pas de demander une rançon pour restituer les données. Locky est l’un des ransomware les plus agressifs de cette année 2016.
  • 4. WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017 AVIS D’EXPERT RANSOMWARE: LE CHANTAGEQUI VOUS FAITDÉCHANTER 4 UN BUSINESS ORGANISÉ ET LUCRATIF La recrudescence des cryptovirus de ces dernières années s’explique par l’effondrement du prix de la revente des données, dont le cours est passé de 25 € en 2011 à 6 € l’unité en 2016, par l’explosion d’un marché organisé de kits d’exploit et de ransomware-as-a-service... et par la motivation des entreprises prêtes à payer le prix fort. L’industrie rapporterait 100 000 000 d’euros par an. Pourquoi dérober les données pour les revendre puisqu’il est bien plus intéressant de les prendre en otage ? 1. UN MARCHÉ DES RANSOMWARE-AS-A-SERVICE EN EXPANSION Depuis 2015, le développement du marché des ransomware-as-a service rend la traque aux cyber pirates de plus en plus complexe. Après avoir testé leur malware dans différents pays, les auteurs ne mènent plus eux-mêmes les attaques mais mettent à disposition les ressources clé-en-main sur le réseau TOR. Des cyber pirates moins expérimentés peuvent ainsi s’approprier ces outils et devenir des affiliés moyennant une commission sur les sommes récoltées en bitcoin, 40% dans le cas de Cerber. Ce système de paiement utilisant la technologie blockchain rend confidentielle toute transaction financière. Et pour complexifier un peu plus la traçabilité de ce business, il existe parfois un maillon supplémentaire : desrevendeursquiprendrontégalementleurcommission au passage. Le créateur n’a donc plus qu’à mettre à jour ses exploit, les versions de ses malware et le service de support client. Le développement du marché des ransomware-as-a service rend la traque aux pirates de plus en plus complexe.
  • 5. WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017 AVIS D’EXPERT RANSOMWARE: LE CHANTAGEQUI VOUS FAITDÉCHANTER 5 LES 4 PHASES DE LA CHAÎNE DE CONTAMINATION 2. UN BUSINESS PARADOXAL BASÉ SUR LA CONFIANCE Les données des entreprises sont vitales : propriété intellectuelle, informations clients, actifs de marque, rapports financiers... et les cyber pirates le savent. Ils savent que vous êtes prêts à vous exécuter pour récupérer votre précieuxcapital. Mais aussi étrange que cela puisse paraître, les cyber pirates ont bien compris que pour que les victimes payent, il faut que celles-ci soient assurées de récupérer leurs données une fois la somme versée. Les cyber pirates mettent donc en place de véritables supports clients avec des systèmes de déchiffrement de confiance. Cette tendance n’est néanmoinspassystématique. Ces derniers sont même enclins aux gestes commerciaux  : réductiondumontantetprolongationdudélaidepaiement. Le lab F-Secure a testé l’expérience utilisateur avec 5 cryptovirus : Cerber, Cryptomix, Jigsaw, Shade et Torrent. Dans 75% des cas en moyenne, les cyber pirates ont accepté de faire un discount de 29%. Et les délais de paiement,eux-aussi,ne sontpasgravésdansle marbre. Ilaégalementévaluélaqualitéduservicedecesplateformes : ergonomie, langues disponibles... Et contrairement à ce que l’on pourrait penser, ce ne sont pas forcément ceux qui paraissentlesplusprofessionnelsquisontforcémentlesplus conciliants. Le constat est donc sans appel : ces supports placent la victime en situation de client, leur faisant presque perdre de vuequec’estlepiratequil’acontraintàledevenir! CERBER CRYPTOMIX JIGSAW SHADE TORRENT LOCKER env. 530 $ env. 1900 $ 150 $ 499 $ 400 $ 5jours 3jours 1jour Pasdedeadlinespécifiée 5jours ÉVOLUTIONDESFAMILLES Rançoninitiale Deadline Familles Rançon initiale Demande la plus basse Remise en % CERBER 530 $ 530 $ 0 % CRYPTOMIX 1900 $ 635 $ 67 % JIGSAW 150 $ 125 $ 17 % SHADE 400 $ 280 $ 30 %
  • 6. WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017 AVIS D’EXPERT RANSOMWARE: LE CHANTAGEQUI VOUS FAITDÉCHANTER 6 2. TOUTES LES ORGANISATIONS SONT CONCERNÉES Si ce sont les particuliers qui sont majoritairement visés avec des rançons qui se situent en moyenne autour des 600 euros, elles peuvent atteindre plusieurs milliers d’euros quand une organisation est directement ciblée. Les cyber pirates qui ont frappé les distributeurs de transports à San Francisco le 26 novembre 2016, ont demandé une rançon de 73 000 dollars. Mais quel que soit le montant de la rançon, les coûts indirects liés à ces incidents peuvent se montrer très impactants : Pertes liées à l’arrêt de l’activité ; Temps dépensé à se débarrasser de l’infection, à restaurer les sauvegardes ; Dommages sur l’image de l’entreprise ; Problèmes d’ordre administratif ou légal. Dansuncontexteoùlaprotectiondesdonnéesàcaractère personnel est renforcée, avec le règlement européen (RGPD) qui peut sanctionner les entreprises à hauteur de 20 millions d’euros ou 4% de son chiffre d’affaires global, mieux vaut ne pas jouer avec le feu ! Au-delà des risques financiers, il existe également des risques humains lorsque les hôpitaux sont pris pour cible et que leur système d’information se trouve bloqué. Lesmédiasontbeaucoupparléen2016degrandshôpitaux américains victimes de chantages informatiques, tels que le Hollywood Medical Presbyterian et le Kansas Heart Hospital, mais les hôpitaux français ne sont pas épargnés.
  • 7. WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017 AVIS D’EXPERT RANSOMWARE: LE CHANTAGEQUI VOUS FAITDÉCHANTER 7 QUE FAIRE POUR SE PROTÉGER À 360° ? Renseignez-vous sur le type d’infection : le déchiffrement est-il reconnu ? Ne perdez pas de vue que vous traitez avec des malfaiteurs,aussinecommuniquezpasd’informations quipourraientaggravervotresituation. Enfin, ne faites pas confiance aux liens ou pièces jointes provenant du pirate : vous pourriez télécharger un malware supplémentaire. Malgré la supposée garantie de retrouver vos données, nous ne vous recommandons pas de payer la rançon : si vous le faites, cela incite les cyber pirates à continuer. Mais nous comprenons que cet argument ne résout pas votre problème... Si vos données en valent la peine et que le paiement de la rançon est pour vous la solution la plus économique, voici ce que nous vous recommandons de faire : PRÉDIRE : Identifiez les logiciels vulnérables qui peuvent servir de point d’entrée sur les appareils, les données et le réseau local. Identifiez les paramètres qui peuvent être configurés pour optimiser la sécurité de ces derniers. Evaluez les comportements de vos salariés, leur sensibilité à la sécurité ainsi que les vecteurs d’attaque. PRÉVENIR : Faites des sauvegardes régulières et assurez-vous de pouvoir les restaurer intégralement ; Appliquez les patchs correctifs : certains malware exploitent les failles de sécurité ; Utilisez une protection robuste et multi-couches ; Eduquez vos salariés aux bonnes pratiques en matière de sécurité et sensibilisez-les aux menaces. Sinon, voici ce qu’il est préférable de faire en amont d’une attaque et en réponse si les barrières de défense n’ont pas été suffisantes.
  • 8. WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017 AVIS D’EXPERT RANSOMWARE: LE CHANTAGEQUI VOUS FAITDÉCHANTER 8 DÉTECTER : Utilisez une solution de sécurité sophistiquée procédant à une analyse heuristique afin de détecter les comportements suspects sur n’importe quel appareil du réseau local ; Identifiez les ressources (appareils, réseau partagé) connectées à un appareil contaminé pour mesurer l’exposition potentielle ; Identifiez les modifications engendrées par la menace sur l’appareil contaminé. RÉPONDRE : Déconnectez immédiatement l’appareil d’Internet, du réseau de l’entreprise et si possible, du réseau électrique pour empêcher la communication entre le malware et son serveur et la propagation du chiffrement ; Arrêtez votre matériel, il se peut que le ransomware soit programmé pour provoquer davantagededommagesencasdedéconnexion ; Scannez tous les appareils connectés, le réseau partagé, le cloud pour récolter toutes les traces de la menace. Procédez à de l’analyse forensique et communiquez-nous le résultat de vos investigations : comment la menace a pu s’installer et se propager ? Les ransomware ne sont pas les malware les plus répandus mais sont ceux qui peuvent avoir le plus de conséquences négatives sur votre organisation. Aussi, protégez-vous et ne cédez pas aux cyber pirates qui pourraient ne pas respecter leur pacte.