Depuis plusieurs mois, la connaissance de ce qu’est un ransomware s’est étendue à un plus large public que celui des professionnels de la sécurité informatique. Au cours de l’année 2017, les attaques par des logiciels de demande de rançon vont tellement s’intensifier et gagner en vigueur que chacun va être concerné, de près ou de loin, par ce fléau.

Les ransomwares sont une menace en constante évolution.

La propagation de l’épidémie de ransomware va se poursuivre de façon exponentielle et générer des milliards de dollars « de revenu » pour les criminels en 2017, notamment grâce à la forte multiplication des familles de ransomwares et à l’émergence rapide de nouvelles variantes. Le risque de se faire prendre pour les criminels est minime, ce qui en fait le type de malware le plus populaire actuellement. Les fournisseurs de solutions de sécurité des terminaux continueront de se laisser distancer dans la course à l’armement par des cybercriminels, férus de technologies et très bien financés.

Mais les rangs des anonymes qui perpétuent des attaques de ransomware vont également continuer de grossir. Le génie de ce racket tient en partie au fait qu’il s’inspire du modèle de distribution de l’industrie SaaS, qui permet à des légions d’individus isolés, d’infecter les machines de futures victimes. Aucune expertise technique poussée ni compétences en programmation de malware ne sont nécessaires.

Les techniques d’infiltration et de propagation de ransomwares vont devenir plus astucieuses et pernicieuses.

Fin 2016, une tactique de propagation de ransomwares particulièrement ingénieuse et diabolique est apparue où chaque victime se voyait proposer gratuitement une clé de déchiffrement à condition qu’elle accepte d’infecter deux nouveaux utilisateurs. Mais, le vecteur d’attaque par ransomware le plus couramment employé demeure le phishing, qui s’avère gagner en efficacité grâce à une plus grande personnalisation des attaques. Côté tactique, les dispositifs de cryptage vont supplanter les logiciels de blocage, à mesure que les utilisateurs vont se rendre compte de la facilité avec laquelle on peut contourner ces derniers.

De nouvelles méthodes verront également le jour pour intensifier la pression sur les victimes afin qu’elles payent rapidement. Une des techniques actuelles consiste à supprimer aléatoirement toujours plus de fichiers de la victime à chaque heure qui passe sans qu’elle s’acquitte de la rançon. A l’avenir, les variantes de ransomwares se feront plus diaboliques, menaçant d’exfiltrer et d’exposer publiquement des informations sensibles (données médicales et financières) ou embarrassantes (historique de navigation et photos intimes) si la victime tarde à payer.

Dans un premier temps, davantage de victimes seront donc tentées de payer. Mais la tendance s’inversera car de nombreux criminels ne respecteront pas leur promesse de fournir des clés de déchiffrement en échange du paiement, et les victimes réaliseront que le fait de payer peut les inscrire d’office sur la liste des « victimes régulières ».

La menace s’étend aux sauvegardes Cloud. 

Si jusqu’ici les ransomwares se sont principalement attaqués aux connexions locales, épargnant le Cloud, cela va changer au cours des prochains mois. De nouvelles variantes de ransomware sauront exploiter les connexions cloud pour attaquer également les instances de sauvegardes dans le cloud. Les fournisseurs cloud doivent travailler dès à présent afin d’être capables d’offrir une protection contre ces attaques.

De leur côté, Les développeurs de ransomwares vont continuer de réinvestir leurs profits en vue de produire du code toujours plus résistant aux mécanismes de défense et de déconstruction de l’industrie de la sécurité. Les outils de décryptage des éditeurs de solutions de sécurité vont perdre de leur utilité face aux programmes de chiffrement robustes mis en œuvre par les développeurs de ransomwares.

Par ailleurs les antivirus, défenses comportementales, listes noire et blanche et autres solutions anti-ransomware pour terminaux continueront de révéler leurs faiblesses et leur inefficacité à lutter contre des attaques de ransomwares toujours plus sophistiquées. Certaines nouvelles défenses vont toutefois émerger et le machine learning prendra une place de plus en plus importante dans la guerre aux variantes de ransomwares.

L’établissement d’un plan strict de protection des données, prévoyant des sauvegardes régulières sur site, dans le cloud et hors ligne, demeurera la seule stratégie fiable recommandée pour lutter contre les attaques de ransomwares.

Il faut s’attendre à voir médiatisées – au cours de l’année – des attaques de célébrités, d’institutions de l’état, de grandes entreprises et de millions de consommateurs. Dans un an jour pour jour, il y a fort à parier que tout individu, même le moins à l’aise en informatique, connaitra le terme « ransomware », et ce n’est pas une bonne nouvelle !

 

___________
Samy Reguieg est Directeur Général Acronis France