Alerte du CERT sur des campagnes de rançongiciels (Ransomwares).

Selon le CERT, la fin d’année 2018 ainsi que le début d’année 2019 sont marqués par une recrudescence inédite des attaques de type rançongiciel (ransomware).

Il s’agit aussi bien de rançongiciels connus depuis plusieurs années que de nouveaux, tel qu’Anatova et LockerGoga par exemple. Au niveau mondial, des infections par ce type de code ont lieu plusieurs fois par jour.

La majorité des victimes se situent principalement aux Etats-Unis et en Europe. La France a notamment été récemment ciblée par les rançongiciels Shade et Anatova.

Cette profusion d’attaques est facilitée par la vente sur Internet de rancongiciels « prêts-à-l’emploi » (Ransomware-as-a-Service, RaaS), comme GandCrab, Ryuk, SamSam, Dharma, etc. Les capacités de distribution et de compromission associées à ces outils malveillants sont nombreuses. Par exemple, GandCrab permet aussi bien d’exploiter des accès RDP faiblement sécurisés que d’utiliser des courriels d’hameçonnage, des programmes légitimes compromis et des scripts PowerShell. Il permet également l’utilisation du botnet Phorpiex.

Les ransomwares, ou rançongiciels, représentent une menace informatique omniprésente, ils encryptent les fichiers d'un système, exigeant une rançon pour leur déchiffrement. Ces attaques sournoises paralysent souvent les entreprises et les particuliers, causant des pertes financières et de données critiques. Les cybercriminels utilisent diverses méthodes d'infiltration, telles que des e-mails de phishing et des vulnérabilités logicielles, pour propager leurs logiciels malveillants.

De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et ne donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.

Les conséquences des ransomwares vont au-delà de la perte de données, affectant également la réputation et la confiance des victimes. La prévention, par le biais de mises à jour régulières, de la sensibilisation à la sécurité et de solutions de sauvegarde fiables, reste essentielle pour contrer cette menace croissante.

Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité (attaques) sur les réseaux et les systèmes d'informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents. Le traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d'informations avec d'autres CERTs, contribution à des études techniques spécifiques. L'établissement et maintenance d'une base de donnée des vulnérabilités, La prévention par diffusion d'informations sur les précautions à prendre pour minimiser les risques d'incident ou au pire leurs conséquences, La coordination éventuelle avec les autres entités ( centres de compétence réseaux, opérateurs et fournisseurs d'accès à Internet CERTs nationaux et internationaux). ANSSI