Tenir des données en otage : le crime Internet parfait ?

De temps en temps, quelqu'un invente une nouvelle façon de gagner de l'argent sur Internet qui génère des profits fous, attire d'innombrables imitateurs et remodèle ce que signifie être en ligne. Malheureusement, un tel changement s'est produit l'année dernière dans le monde de la criminalité en ligne, avec la mise en place de logiciels malveillants sophistiqués connus sous le nom de rançongiciels comme modèle économique populaire et fiable pour les criminels.





Après avoir infecté un ordinateur, peut-être via une pièce jointe à un e-mail ou un site Web malveillant, le ransomware crypte automatiquement les fichiers, qui peuvent inclure des photos, des vidéos et des documents commerciaux précieux, et émet une demande de rançon électronique. Récupérer ces fichiers signifie payer des frais aux criminels qui contrôlent les logiciels malveillants et espérer qu'ils respecteront leur part du marché en les déchiffrant.

L'argent qui peut être fait avec les rançongiciels a encouragé les innovations techniques. Le dernier rançongiciel demande un paiement via la crypto-monnaie difficile à tracer Bitcoin et utilise le réseau anonymisant Tor. Des millions d'ordinateurs personnels et professionnels ont été infectés par des rançongiciels en 2014. Les experts en criminalité informatique affirment que le problème ne fera qu'empirer et certains pensent que les appareils mobiles seront la prochaine cible.

Les ransomwares existent depuis plus d'une décennie. Les exemples plus anciens avaient tendance à être inefficaces ou relativement faciles à vaincre. Mais une nouvelle vague de rançongiciels plus puissante a émergé fin 2013 en commençant par une version baptisée Cryptolocker. Ce logiciel malveillant infectait les ordinateurs Windows et, en 30 minutes environ, cryptait presque toutes les données qui y sont stockées, ainsi que tous les lecteurs externes ou réseau, bloquant les photos, la musique et les vidéos. Ensuite, il afficherait un message avec un compte à rebours de 72 heures indiquant à la victime de payer des frais (généralement environ 300 $) pour récupérer les données. Des instructions étape par étape expliquaient comment envoyer de l'argent en achetant des bitcoins ou en utilisant une carte de débit prépayée.



Cryptolocker était professionnel dans sa conception et utilisait un système de cryptage essentiellement incassable développé par Microsoft . À son apogée, vers octobre 2013, Cryptolocker infectait 150 000 ordinateurs par mois. Et au cours de neuf mois, on pense qu'il a généré environ 3 millions de dollars en paiements de rançon .

Les criminels derrière Cryptolocker étaient démonté en juin de l'année dernière , après collaboration entre le FBI, le Royaume-Uni et l'UE. les forces de l'ordre, les sociétés de sécurité et les chercheurs universitaires. Les enquêteurs ont fait irruption dans le réseau utilisé pour contrôler le logiciel malveillant et ont découvert une réserve de clés de cryptage qui ont ensuite été utilisées pour créer un service gratuit pour sauver les données appartenant aux victimes de l'escroquerie.

En raison de l'éclatement, bien que temporaire, du succès de Cryptolocker, le problème des rançongiciels semble sûr de s'aggraver.



Uttang Dawda, un chercheur de logiciels malveillants avec une société de sécurité Oeil de feu , qui a travaillé sur l'outil de sauvetage Cryptolocker, affirme que les criminels informatiques ont identifié les ransomwares comme un nouveau modèle commercial précieux. S'il est bien conçu, il offre des profits plus faciles que de voler des détails de carte de crédit ou des informations bancaires, puis de vendre ces données sur le marché noir. Les escrocs obtiennent l'anonymat, des bénéfices plus rapides et n'ont pas à perdre du temps et de l'argent à trouver des intermédiaires, dit Dawda.

Le ransomware le plus réussi qui circule aujourd'hui copie la conception de base de Cryptolocker mais ajoute des améliorations techniques et de conception d'interface.

L'un des premiers logiciels de rançon à gagner du terrain l'année dernière, Cryptowall , a ajouté la touche d'utilisation du réseau d'anonymat Tor, permettant à ses opérateurs de cacher l'emplacement de leurs ordinateurs. Entre la mi-mars et la fin août de l'année dernière, Dell SecureWorks enregistré près de 625 000 infections Cryptowall , dont plus de 250 000 aux États-Unis



Un autre rançongiciel, Casier CTB , est celui qui connaît la croissance la plus rapide aujourd'hui, dit Dawda. Il utilise un cryptage plus fort que les spécimens précédents, la même astuce Tor que Cryptowall, et même une conception freemium intelligente : les victimes ont la possibilité de décrypter certaines de leurs données gratuitement pour démontrer que le paiement fonctionnera vraiment. CTB Locker est disponible en plusieurs versions, dans des langues telles que l'italien, le néerlandais, l'allemand et le russe, ainsi que l'anglais. Il se propage le plus rapidement en Allemagne, en Pologne, au Mexique et en Amérique du Sud, explique Dawda.

Les choses empirent et nous voyons de plus en plus d'infections, dit Bogdan Botezatu , analyste principal des menaces chez la société de sécurité Bitdefender. Selon Botezatu, les rançongiciels occupent désormais la majeure partie du temps de son équipe. Il conseille généralement aux victimes de ne pas payer, mais admet qu'il comprend pourquoi beaucoup le font. Une fois que vous êtes victime d'un ransomware, il n'y a absolument aucun moyen de récupérer vos données sans payer, déclare Botezatu. Mais si vous payez, vous ne faites qu'encourager cette entreprise et financer sa recherche et son développement.

La montée récente des rançongiciels a incité le FBI à publier un rapport le mois dernier dans lequel il a averti que le crime constituait une menace non seulement pour les utilisateurs d'ordinateurs à domicile, mais également pour les entreprises, les institutions financières, les agences gouvernementales, les institutions universitaires et d'autres organisations.



Certains chercheurs en sécurité prédisent que 2015 verra des efforts considérables de la part des criminels pour que les ransomwares fonctionnent également sur les smartphones et les tablettes. Ces appareils contiennent souvent des fichiers personnels très précieux tels que des photos et des vidéos.

Le premier ransomware capable de chiffrer des fichiers sur un smartphone a été récupéré l'été dernier par des chercheurs de l'entreprise CAS . Ce malware, connu sous le nom de Simplocker, cible les téléphones Android et crypte les photos, vidéos et autres données. Robert Lipovsky, qui dirige l'équipe de renseignement de sécurité chez ESET, affirme que Simplocker est assez répandu aux États-Unis, mais surtout en Russie, en Ukraine et ailleurs en Europe de l'Est. Il est difficile pour les logiciels malveillants de se propager sur les appareils mobiles, car la plupart des gens téléchargent des logiciels uniquement à partir des magasins d'applications officiels. Simplocker se propage généralement par le biais de téléchargements d'applications à partir de sites Web pornographiques.

Selon les experts, la meilleure façon d'empêcher les ransomwares de votre ordinateur est de suivre les meilleures pratiques en gardant les logiciels à jour, en utilisant un antivirus et d'autres logiciels de sécurité, et en faisant attention à l'endroit où vous cliquez et à ce que vous installez. La sauvegarde des données sur un disque dur séparé ou l'utilisation d'un service cloud peut vous éviter d'être détenu contre une rançon en cas d'infection.

Les rançongiciels pourraient n'être qu'une nuisance mineure si les gens pouvaient simplement restaurer les données à partir de la sauvegarde, explique Lipovsky. Cependant, comme d'autres chercheurs en sécurité, il se résigne à découvrir de nombreux autres cas de ransomwares dans les mois à venir. Même si le conseil est assez simple, beaucoup de gens ne l'écoutent pas.

cacher