• SophosLabs : aucune plateforme ne sera épargnée par les ransomwares
  • Fortinet : recrudescence de “swarms” particulièrement destructeurs et dotés d’une capacité d’auto-apprentissage
  • Palo Alto Networks : Prédictions et recommandations pour 2018 et au-delà

*      *
*

SophosLabs : aucune plateforme ne sera épargnée par les ransomwares
Dorka Palotay et Rowland Yu, experts sécurité SophosLabs  

Les ransomwares ont envahi Windows, mais des cyberattaques visant Android, Linux et MacOS ont également augmenté en 2017. Seulement deux types de ransomwares étaient responsables de 90 % des attaques interceptées au niveau des ordinateurs de clients Sophos dans le monde entier.

Selon le rapport sur les malwares, si les ransomwares ont principalement attaqué les systèmes Windows au cours des six derniers mois, les plateformes Android, Linux et MacOS n’étaient pas non plus épargnées.

Les ransomwares sont devenus agnostiques au niveau des plateformes ciblées. Ces derniers ciblent principalement les ordinateurs Windows, mais cette année, les SophosLabs ont constaté une augmentation des cyberattaques par chiffrement sur différents appareils et systèmes d’exploitation utilisés par nos clients dans le monde entier/

Le rapport suit également les schémas de développement des ransomwares, et indique que WannaCry, qui a fait son apparition en mai 2017, était le ransomware « numéro un » intercepté au niveau des ordinateurs de clients, détrônant ainsi Cerber, le leader de longue date dans l’univers des ransomwares, qui était apparu début 2016. WannaCry représentait 45 % de tous les ransomwares détectés par les SophosLabs, et Cerber 44 %.

Pour la première fois, nous avons vu des ransomwares avec des caractéristiques semblables aux vers informatiques, ce qui a contribué à l’expansion rapide de WannaCry. Ce ransomware a profité d’une vulnérabilité connue dans Windows pour infecter et se propager au sein des ordinateurs, rendant difficile son contrôle. « Même si nos clients sont protégés contre ce type d’attaques et que WannaCry a diminué en puissance, cette menace reste toujours active en raison de sa nature intrinsèque qui consiste à continuer de scanner et d’attaquer les ordinateurs. Nous nous attendons à ce que les cybercriminels s’appuient sur cette capacité pour répliquer des scénarios d’attaques de type WannaCry et NotPetya, ce qui a déjà été le cas avec le ransomware Bad Rabbit, qui présente de nombreuses similitudes avec NotPetya. »

Les prévisions des SophosLabs concernant les Malwares en 2018 signalent la montée en puissance et la chute de NotPetya, un ransomware qui a fait des ravages en juin 2017. NotPetya s’est initialement propagé par le biais d’un logiciel de comptabilité ukrainien, limitant ainsi son impact géographique. Il a pu se propager via l’exploit EternalBlue, tout comme WannaCry, mais comme ce dernier avait déjà infecté les machines les plus exposées, certaines étaient encore non patchées et toujours vulnérables. Les objectifs de NotPetya ne sont toujours pas clairs, car beaucoup d’erreurs et de fautes ont été commises et de nombreuses failles ont entravé cette cyberattaque. Par exemple, le compte de messagerie que les victimes devaient utiliser pour contacter les cybercriminels ne fonctionnait pas, et les victimes ne pouvaient pas déchiffrer et récupérer leurs données, selon Palotay.

NotPetya s’est développé rapidement, de manière plutôt agressive, et a porté préjudice à de nombreuses entreprises car, in fine, il a détruit de façon permanente les données sur les ordinateurs touchés. Heureusement, NotPetya s’est arrêté presque aussi vite qu’il a démarré. « Nous soupçonnons les cybercriminels d’avoir mené une expérimentation ou bien d’avoir eu un autre objectif en tête au-delà de ce ransomware, plus destructeur encore, tel qu’un effaceur de données par exemple. Quel que soit le véritable objectif, Sophos déconseille vivement de payer suite à une attaque par ransomware, et recommande plutôt d’avoir les bons réflexes sécurité, comme la sauvegarde des données et la mise à jour des correctifs.

Cerber, vendu comme un kit ransomware sur le DarkNet, reste une menace dangereuse. Les créateurs de Cerber mettent à jour en permanence le code, et prennent un pourcentage sur la rançon que les cybercriminels, ayant en quelque sorte le rôle d’intermédiaires, reçoivent de leurs victimes. Grâce à de nouvelles fonctionnalités proposées régulièrement, Cerber est non seulement un outil efficace pour mener à bien des cyberattaques, mais il est également disponible et accessible en permanence pour les éventuelles demandes des cybercriminels.

Ce business model, au sein du DarkNet, fonctionne malheureusement plutôt bien et telle une véritable entreprise, permet probablement de financer les développements de Cerber qui sont en cours. Nous pouvons supposer que les profits générés incitent les créateurs à maintenir le code à jour.

Les ransomwares visant Android intéressent également les cybercriminels. Selon l’analyse des SophosLabs, le nombre d’attaques ciblant des clients Sophos, qui utilisent des appareils Android, a augmenté presque tous les mois en 2017.

Rien qu’en septembre, 30 % des malwares Android traités par les SophosLabs étaient des ransomwares. Nous nous attendons à ce que ce chiffre atteigne environ 45 % en octobre. L’une des raisons pour lesquelles nous pensons que les ransomwares Android vont décoller est que c’est un moyen facile pour les cybercriminels de gagner de l’argent, leur évitant d’avoir à voler des contacts et des SMS, ou à utiliser des fenêtres pop-ups ou de l’hameçonnage bancaire. Il est important de noter que les ransomwares Android sont principalement présents sur les marchés hors Google Play, ce qui est d’ailleurs une autre raison pour que les utilisateurs redoublent de prudence concernant l’endroit et le type d’applications qu’ils téléchargent.

Le rapport SophosLabs indique en outre que deux types de cyberattaques Android ont fait leur apparition : le verrouillage du téléphone sans chiffrement des données et le verrouillage du téléphone avec chiffrement des données. La plupart des ransomwares Android ne chiffrent pas les données utilisateur, mais le simple fait de verrouiller un écran, en échange d’argent, est suffisant pour poser de sérieux problèmes à la victime, surtout si l’on considère combien de fois par jour on consulte ce type d’appareil personnel.

Sophos recommande de sauvegarder les données des téléphones régulièrement, comme nous le faisons avec notre ordinateur, pour préserver les données et éviter de devoir payer une rançon uniquement pour y avoir de nouveau accès. Nous nous attendons à ce que les ransomwares Android continuent d’augmenter, jusqu’à devenir le type de malwares dominant sur cette plateforme mobile dans l’année à venir.