1 juillet 2013

Les rançongiciels : une menace qui ne faiblit pas !

BSSI - Wana Decryptor

bssi sécurité informatique bancaire

 

Les rançongiciels sont des malwares d’un genre particulier qui bloquent l’ordinateur de leurs victimes avant d’exiger le paiement d’une rançon. Le paiement s’effectue le plus souvent via des coupons de monnaie virtuelle (comme PaySafeCard ou uKash).

 

 

Ce type de malware n’est pas nouveau, mais on constate depuis plusieurs années un retour en force de ce type de menace et une recrudescence des attaques. Selon un article du Figaro daté du 28 janvier 2013 (archive payante), plus de 1280 plaintes ont été déposées en France contre ce type d’arnaque. Évidemment, cela ne représente qu’une toute petite partie des victimes car beaucoup ne portent pas plainte.

Un exemple de rançongiciel “gendarmerie” (source : le blog d’Eric Freyssinet http://blog.crimenumerique.fr)

 

Pour quelles raisons ce phénomène explose-t-il ?

Tout d’abord, car c’est une arnaque qui peut rapporter, rapidement et facilement, beaucoup d’argent aux cybercriminels qui l’exploitent. Symantec a publié une étude qui estime que certains gangs cybercriminels peuvent générer 33 000 dollars de profit par jour par l’intermédiaire de campagnes de rançongiciels. Symantec estime que 2,9% des victimes paieraient la rançon.

Cette menace des rançongiciels (ransomware en anglais) joue sur les peurs des internautes et s’adapte au contexte de chaque population. En France, c’est le logo de la gendarmerie, de la police nationale, de l’Hadopi ou même de l’ANSSI qui va s’afficher sur l’écran des victimes pour les extorquer.

Reveton, le rançongiciel le plus connu

Découvert en 2011, il serait conçu à partir du cheval de Troie Citadel. Quand la victime est infectée, un message, en plein écran, est présenté à la victime lui indiquant généralement que la police / gendarmerie (du pays de la victime, géolocalisé par l’adresse IP) a détecté des actions illégales menées depuis son ordinateur (pédopornographie, piratage de musique, film…). Les dernières versions de Reveton sont capables d’activer la webcam de la victime et d’afficher les images sur la page de demande de rançon pour accentuer le sentiment de peur.

Le paiement d’une amende (de 100 à 200 euros) est réclamé. Mais même après le paiement, l’ordinateur de la victime n’est pas forcément débloqué et souvent le malware reste présent.

Mais comment Reveton infecte-t-il ses victimes ? Il semblerait que la propagation de ce rançongiciel est réalisée généralement via l’exploit kit BlackHole. La victime ne se rend pas compte de l’infection, car elle ne nécessite aucune interaction utilisateur. Il suffit de naviguer sur un site web compromis qui va rediriger la victime vers un site hébergeant BlackHole. Ensuite, le site malveillant va tenter d’infecter l’ordinateur de la victime en exploitant des failles dans son navigateur web ou d’un des plug-ins installés (mention spéciale à Adobe Reader, Flash ou bien sûr Java…).

Pour plus d’informations sur Reveton, nous vous conseillons la lecture du dossier rédigé par le CERT-IST sur ce sujet.

Comment se protéger ?

Il n’existe aucune solution miracle, mais voici quelques conseils (pour les particuliers et les entreprises) pour réduire le risque d’être piégé par cette arnaque :

  • Ne jamais payer la rançon / amende réclamée. .
  • Appliquer régulièrement les mises à jour de sécurité de votre système d’exploitation et des logiciels / plug-ins. N’hésitez pas à désactiver Java s’il n’est pas indispensable…
  • Réaliser régulièrement des sauvegardes de vos données les plus critiques.
  • Ne pas hésiter à porter plainte en alertant les autorités qui pourront vous aider / orienter pour vous débarrasser du rançongiciel.
  • En entreprise, il faut évidemment alerter son responsable ou son Help Desk pour résoudre le problème.

Pour plus d’informations et d’aide sur ce sujet, nous vous redirigerons vers plusieurs initiatives françaises qui ont été lancées pour sensibiliser et aider les victimes de ces arnaques :

Quel avenir pour les rançongiciels ?

Malheureusement, la tendance n’est pas prête de s’inverser. Les rançongiciels génèrent des profits importants pour les cybercriminels. Les failles informatiques continuent de se multiplier et les internautes sont loin d’être assez sensibilisés à ces problématiques de sécurité.

Le périmètre des rançongiciels semble commencer à s’étendre. Symantec a découvert il y a quelques semaines un rançongiciel qui vise les terminaux mobiles Android. Après les ordinateurs traditionnels, les cybercriminels se lancent vers un nouveau marché en très forte croissance : les smartphones et tablettes.

Fakedefender a été détecté parmi plusieurs applications sur un App Store anglophone non officiel pour Android (et non sur le Play Store). Téléchargée par une centaine de victimes, l’application se présente comme un (faux) antivirus qui, après en avoir découvert sur le téléphone de la victime, lui demande de payer pour une version premium qui pourra les supprimer. Heureusement pour les mobinautes piégés, ce rançongiciel mobile ne semble être qu’une version bêta peut être lancée par erreur par leur(s) créateur(s), car il ne vole aucune information personnelle et la fonction de paiement ne fonctionne pas. Mais, cette application reste malveillante, car elle est instable (elle entraîne des plantages) et reste compliquée à effacer.

 

Source :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *