![\"Petite](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1979129999-300x225.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
Le ransomware est devenu un des outils les plus connus des cyber-criminels. Du groupe de transport maritime international mis \u00e0 l\u2019arr\u00eat par le chiffrement de ses outils de production au d\u00e9c\u00e8s d\u2019un patient dans un transfert entre h\u00f4pitaux allemands, le ransomware a d\u00e9montr\u00e9 sa capacit\u00e9 \u00e0 perturber n\u2019importe quelle entreprise et collectivit\u00e9, quelle que soit sa taille et son niveau de s\u00e9curisation. Mais comment sommes-nous pass\u00e9s en 30\u00a0ans d\u2019un programme malveillant sur une disquette r\u00e9clamant une centaine de dollars de ran\u00e7on \u00e0 une r\u00e9elle industrie criminelle structur\u00e9e de plusieurs milliards de dollars\u00a0?<\/strong><\/p>\n Retour sur l\u2019histoire et l\u2019\u00e9volution du ph\u00e9nom\u00e8ne des ransomwares.<\/p>\n <\/p>\n Contrairement \u00e0 une id\u00e9e re\u00e7ue, les tout premiers ransomwares ne sont pas apparus avec internet. C\u2019est \u00e0 la fin des ann\u00e9es\u00a080 que ces logiciels malveillants ont d\u00e9marr\u00e9 leur (triste) histoire, avec pour seule mission de bloquer le fonctionnement du poste de travail. Ils touchent alors des particuliers et entreprises \u00e9quip\u00e9s de micro-ordinateurs. En 1989, \u201cAIDS Trojan\u201d est le premier ransomware de l\u2019histoire de l\u2019informatique<\/strong>. Dans un contexte d'inqui\u00e9tude sur l'apparition du virus du SIDA, le biologiste Joseph L. Popp exp\u00e9dia dans 90\u00a0pays 20\u00a0000\u00a0disquettes cens\u00e9es contenir des informations sur cette maladie aupr\u00e8s d\u2019associations de malades, d'institutions m\u00e9dicales et de simples particuliers. Mais m\u00eame si la disquette contient bien des informations \u00e0 ce sujet, elle contient aussi et surtout un virus qui va conduire \u00e0 chiffrer les fichiers de la machine infect\u00e9e, apr\u00e8s un certain nombre de red\u00e9marrages. Pour recevoir le logiciel d\u00e9codeur, les victimes devaient alors payer une ran\u00e7on de 189$. Le nombre de machines compromises reste encore inconnu mais Joseph Popp sera tout de m\u00eame arr\u00eat\u00e9 par le FBI, avant d\u2019\u00eatre d\u00e9clar\u00e9 psychologiquement inapte \u00e0 assister \u00e0 un proc\u00e8s.<\/p>\n Illustration 1\u00a0: interface du ransomware AIDS Trojan (source\u00a0: en.wikipedia.org)<\/small><\/em><\/p><\/div>\n Malgr\u00e9 ce coup d\u2019\u00e9clat, ce sont bien les attaques DDoS et les vers informatiques qui vont faire parler d\u2019eux sur la p\u00e9riode qui suit. Pour cause, les ran\u00e7onneurs pouvaient \u00eatre relativement facilement track\u00e9s \u00e0 partir des informations de paiement. Les ransomwares suivants mettront donc pr\u00e8s de 15\u00a0ann\u00e9es \u00e0 \u00e9merger, en lien avec l\u2019arriv\u00e9e des monnaies num\u00e9riques puis celle des crypto-monnaies, qui permettront davantage de fluidit\u00e9 dans les paiements des ran\u00e7ons et les \u00e9changes de devises ainsi qu\u2019un certain anonymat. Ces ransomwares n\u2019ont alors qu\u2019une seule fonction\u00a0: saboter les donn\u00e9es en chiffrant l\u2019ensemble des fichiers pr\u00e9sents sur le disque sans impacter le fonctionnement du syst\u00e8me d\u2019exploitation en lui-m\u00eame<\/strong>. L\u2019utilisateur victime avait alors acc\u00e8s \u00e0 son syst\u00e8me d\u2019exploitation sans pouvoir utiliser aucun des fichiers pr\u00e9sents. En 2005, PGPCoder (ou Gpcode), surnomm\u00e9 le ransomware \u00e0 20\u00a0dollars, est l\u2019un des premiers exemples de ransomware distribu\u00e9s en ligne. Il avait pour but d\u2019infecter des syst\u00e8mes Windows en ciblant les fichiers contenant les extensions commun\u00e9ment utilis\u00e9es comme .rar, .zip, .jpg, .doc ou .xls. En 2006, le ransomware Archievus fait progresser la difficult\u00e9 de tentative de d\u00e9chiffrement par l\u2019adoption de l'algorithme de chiffrement RSA utilisant un m\u00e9canisme asym\u00e9trique de cl\u00e9 publique et cl\u00e9 priv\u00e9e. En ciblant les contenus personnels des utilisateurs enregistr\u00e9s dans le fichier \u201cMes Documents\u201d de Microsoft Windows, ce ransomware d\u00e9posait alors un fichier intitul\u00e9 \u201chow to get your files back.txt<\/em>\u201d dans ce m\u00eame r\u00e9pertoire. Des analystes et experts en cybers\u00e9curit\u00e9 d\u00e9couvriront plus tard qu\u2019un m\u00eame mot de passe de 38 caract\u00e8res permettait d\u2019utiliser le m\u00e9canisme de d\u00e9chiffrement sur n\u2019importe quel fichier infect\u00e9 (\u201cmf2lro8sw03ufvnsq034jfowr18f3cszc20vmw<\/em>\u201d, pas si simple \u00e0 deviner\u2026). Le ransomware Archievus perdit alors son pouvoir d\u2019extorsion.<\/p>\n <\/p>\n Dans la premi\u00e8re moiti\u00e9 des ann\u00e9es 2000, l\u2019adoption d\u2019internet augmente inlassablement, fr\u00f4lant les 87% d\u2019Am\u00e9ricains connect\u00e9s \u00e0 la fin\u00a02014<\/a>. Messagerie, r\u00e9seaux sociaux, forums, r\u00e9seaux peer-to-peer<\/em>, c\u2019est sur cette base que le ransomware WinLock et ses variantes seront largement diffus\u00e9s de 2011 \u00e0 2014. Avec la particularit\u00e9 de ne pas chiffrer les donn\u00e9es sur l\u2019ordinateur infect\u00e9, ce ransomware avait pour fonction de bloquer l\u2019acc\u00e8s \u00e0 la machine en affichant une fen\u00eatre contenant une photo pornographique et une demande de paiement \u00e0 l\u2019aide d\u2019un service de SMS surtax\u00e9. Appel\u00e9e \u201cLocker\u201d, cette premi\u00e8re \u00e9volution du ransomware a donc pour objectif de bloquer le d\u00e9marrage du syst\u00e8me d\u2019exploitation.<\/strong><\/p>\n Fort de ce succ\u00e8s, des variantes usurpant l\u2019image des forces de l'ordre feront leur apparition. Ce sera notamment le cas du ransomware Reveton, en 2012, qui se fera passer pour le FBI en verrouillant l\u2019ordinateur de ses victimes et en r\u00e9clamant le paiement d\u2019une amende de 200$. Ce ransomware a \u00e9t\u00e9 largement distribu\u00e9 sur les plateformes de peer-to-peer<\/em> ou les sites pornographiques. Les internautes payaient alors rapidement pour \u00e9viter toutes repr\u00e9sailles li\u00e9es \u00e0 une violation de droits d\u2019auteur ou \u00e0 de la diffusion de contenus pornographiques. Par la suite, les demandes de ran\u00e7ons deviendront de plus en plus cr\u00e9atives<\/a> pour augmenter leurs chances de paiement.<\/p>\n <\/p>\n L\u2019ann\u00e9e 2013 marque un tournant technologique avec le ransomware CryptoLocker et son serveur de command & control<\/em> command\u00e9 par l\u2019attaquant. \u00ab\u00a0Avec l\u2019utilisation d\u2019un serveur de command & control, le groupe d\u2019attaquants peut ainsi discuter avec la victime, n\u00e9gocier, allonger ou diminuer le temps avant destruction des donn\u00e9es<\/em>, explique Pierre-Olivier Kaplan<\/strong>, Ing\u00e9nieur Recherche & D\u00e9veloppement Stormshield. Ils ont la capacit\u00e9 de mettre une pression suppl\u00e9mentaire sur la victime et d\u2019augmenter leur chance de paiement<\/em> \u00bb. En parall\u00e8le de campagnes massives, lanc\u00e9es \u00e0 l\u2019aveugle, les cyber-criminels peuvent alors piloter \u00e0 distance les charges virales sur les machines infect\u00e9es tout en n\u00e9gociant avec les victimes<\/strong>. Cette nouvelle strat\u00e9gie s'av\u00e8re alors payante puisque CryptoLocker aura ainsi g\u00e9n\u00e9r\u00e9 27\u00a0millions de dollars au cours des deux premiers mois d\u2019exploitation. \u00c0 noter \u00e9galement qu\u2019il s\u2019agit d\u2019un des premiers ransomwares \u00e0 exiger une ran\u00e7on en Bitcoin.<\/p>\n En 2014, le front des attaques s\u2019\u00e9largit avec les premi\u00e8res attaques sur tablettes et mobiles Android. Les ransomwares SimpleLocker et Sypeng seront alors diffus\u00e9s par le biais de faux messages de mise \u00e0 jour du logiciel Adobe Flash. L'ann\u00e9e suivante, c\u2019est au tour des utilisateurs des syst\u00e8mes d\u2019exploitation Linux d\u2019\u00eatre la cible du ransomware Encoder.<\/p>\n En 2016, Petya ouvre la voie aux attaques de phishing en ciblant les adresses de messagerie professionnelles. Dissimul\u00e9 \u00e0 l\u2019int\u00e9rieur d\u2019un document Word ou PDF, la victime active elle-m\u00eame le ransomware \u00e0 l\u2019ouverture du fichier (il est alors question de d\u00e9tonation de la charge malicieuse). Ce ransomware ne se contente d\u2019ailleurs pas de bloquer l\u2019acc\u00e8s \u00e0 certains fichiers, il bloque l\u2019ensemble du disque dur en chiffrant la Master File Table<\/em>. Une t\u00eate de mort rouge appara\u00eet alors \u00e0 l\u2019\u00e9cran pour demander la ran\u00e7on. Au-del\u00e0 de l\u2019effet psychologique sur les victimes, cette mat\u00e9rialisation graphique d\u2019un ransomware sera reprise par les m\u00e9dias traditionnels et permettra une prise de conscience de la menace cyber par le grand public.<\/strong><\/p>\n Illustration 2\u00a0: interface du ransomware Petya (source\u00a0: avast.com)<\/small><\/em><\/p><\/div>\n <\/p>\n Les ann\u00e9es 2017-2018 marquent une nouvelle rupture dans la propagation des cyberattaques. Gr\u00e2ce \u00e0 la publication de vuln\u00e9rabilit\u00e9s Zero-day d\u00e9rob\u00e9es \u00e0 une agence gouvernementale am\u00e9ricaine, les attaques par ransomware ont d\u00e9sormais des capacit\u00e9s techniques de se r\u00e9pandre massivement d\u2019une entreprise \u00e0 une autre d\u00e8s lors que les r\u00e9seaux cohabitent.<\/p>\n En 2017, WannaCry est sans doute le ransomware le plus m\u00e9diatis\u00e9. En quelques semaines seulement, il touche 300\u00a0000\u00a0ordinateurs dans 150\u00a0pays en se propageant sur les syst\u00e8mes d\u2019exploitation Microsoft Windows par l\u2019interm\u00e9diaire de la vuln\u00e9rabilit\u00e9 EternalBlue. Affichant tour \u00e0 tour la c\u00e9l\u00e8bre t\u00eate de mort sur les \u00e9crans, des entreprises voient le ransomware se r\u00e9pandre de site en site en quelques minutes. Pour Nicolas Caproni<\/strong>, Head of Threat & Detection Research (TDR) Team de SEKOIA.IO<\/a>, \u00ab\u00a0WannaCry a sans doute \u00e9t\u00e9 lanc\u00e9 un peu trop t\u00f4t. Du fait du caract\u00e8re de d\u00e9placement lat\u00e9ral, ses auteurs ont perdu le contr\u00f4le du ransomware qui a infect\u00e9 autant de machines que possible<\/em>\u00a0\u00bb. Devant les centaines de milliers d\u2019entreprises victimes de ce ransomware et \u00e0 cause d\u2019une propagation non ma\u00eetris\u00e9e, les entreprises ont alors massivement investi dans les produits de sauvegarde et de restauration de donn\u00e9es. En r\u00e9ponse, les cyber-criminels vont alors s\u2019attaquer \u00e9galement aux points de sauvegarde, pour les supprimer purement et simplement. De quoi s\u2019assurer que les donn\u00e9es ne pourront pas \u00eatre restaur\u00e9es \u2013 \u00e0 moins de payer la ran\u00e7on.<\/p>\n Utilis\u00e9 par la suite dans un contexte de conflit \u00e9tatique entre la Russie et l'Ukraine, le ransomware NotPetya a eu la particularit\u00e9 de r\u00e9utiliser des \u00e9l\u00e9ments fondateurs de WannaCry comme l\u2019exploitation des vuln\u00e9rabilit\u00e9s EternalBlue et EternalRomance ainsi que le d\u00e9placement lat\u00e9ral, deux vuln\u00e9rabilit\u00e9s d\u00e9rob\u00e9es quelques mois plus t\u00f4t \u00e0 la NSA. M\u00eame si un patch avait \u00e9t\u00e9 publi\u00e9 par Microsoft quelques semaines auparavant, ce ransomware a d\u00e9montr\u00e9 l\u2019incapacit\u00e9 des administrateurs \u00e0 mettre \u00e0 jour leur syst\u00e8me rapidement pour faire face \u00e0 cette attaque. Mais \u00ab\u00a0le ransomware n\u2019\u00e9tait qu\u2019une fa\u00e7ade<\/em>, selon Pierre Olivier Kaplan. Le v\u00e9ritable but de NotPetya n\u2019\u00e9tait pas l\u2019extorsion d\u2019argent, mais la destruction de donn\u00e9es, et ceci \u00e0 tr\u00e8s grande \u00e9chelle en ciblant tout un pays. Ces lourdes implications g\u00e9opolitiques r\u00e9sonnent d\u2019autant plus aujourd\u2019hui puisque NotPetya, attribu\u00e9 \u00e0 des groupes cybercriminels russes, ciblait l\u2019Ukraine.<\/em>\u00a0\u00bb En supprimant les donn\u00e9es, ce ransomware \u00e9tait alors utilis\u00e9 non plus comme un moyen d\u2019extorsion de fonds mais comme une arme de destruction num\u00e9rique<\/strong>. Ce ransomware a \u00e9galement camoufl\u00e9 les tentatives de sabotage du m\u00e9tro ukrainien,<\/a> de l\u2019a\u00e9roport de Kiev, de la centrale nucl\u00e9aire de Tchernobyl<\/a>, de la banque centrale ou encore de l'op\u00e9rateur national d'\u00e9nergie. \u00c0 la fin 2018, le gouvernement am\u00e9ricain estimait les d\u00e9g\u00e2ts attribu\u00e9s \u00e0 ces deux attaques \u00e0 plus 10 milliards de dollars, selon Cyber Cover<\/a>.<\/p>\n <\/p>\n Le nombre d\u2019incidents li\u00e9s \u00e0 des ransomwares augmente de 365% \u00e0 la fin 2019. Dans le but de rester ind\u00e9tectables aux yeux des outils de s\u00e9curit\u00e9, les cyber-criminels font le choix de ne plus lancer de campagne \u00e0 grande \u00e9chelle comme ce fut le cas pour WannaCry, et pr\u00e9f\u00e8rent cibler les grandes soci\u00e9t\u00e9s.<\/strong> Intitul\u00e9e \u00ab\u00a0big game hunting<\/em>\u00a0\u00bb, cette nouvelle strat\u00e9gie d\u00e9signe un mode op\u00e9ratoire bas\u00e9 sur la reconnaissance de l\u2019environnement de la cible et l\u2019\u00e9laboration de sc\u00e9narios d\u2019attaques avanc\u00e9s. Les groupes d\u2019attaquants \u00e9tudient alors leur cible pour adapter leur demande de ran\u00e7on, comme l\u2019explique Nicolas Caproni\u00a0: \u00ab\u00a0Des \u00e9tudes montrent que les groupes d\u2019attaquants se renseignent sur leur cible. Par exemple, ils peuvent exfiltrer des documents financiers pour v\u00e9rifier si une assurance cyber a \u00e9t\u00e9 contract\u00e9e et conna\u00eetre son montant, afin d\u2019augmenter leur chance de paiement de ran\u00e7on. Certains groupes auraient m\u00eame des personnes d\u00e9di\u00e9es \u00e0 l\u2019analyse et la n\u00e9gociation<\/em>\u00a0\u00bb. Cette nouvelle strat\u00e9gie a \u00e9t\u00e9 payante puisque le montant moyen de demande de ran\u00e7on aurait tripl\u00e9 sur cette p\u00e9riode, passant de 13\u00a0000 \u00e0 36\u00a0000$<\/a>.<\/a><\/p>\n Le nombre d\u2019incidents li\u00e9s \u00e0 des ransomwares augmente de 365% \u00e0 la fin 2019.<\/em><\/p><\/blockquote>\n C\u2019est \u00e0 cette m\u00eame p\u00e9riode que le m\u00e9canisme de double extorsion fait son apparition<\/strong>. Ce m\u00e9canisme s\u2019av\u00e8re redoutable puisque la soci\u00e9t\u00e9 cibl\u00e9e n\u2019est plus uniquement victime de la demande de ran\u00e7on, mais est \u00e9galement menac\u00e9e de la revente de ses donn\u00e9es sur le darknet<\/strong>. Ainsi, divulguer une partie des donn\u00e9es critiques d\u00e9rob\u00e9es peut s\u2019av\u00e9rer d\u00e9cisif pour convaincre les entreprises oppos\u00e9es \u00e0 payer la ran\u00e7on, le plus souvent sous la forme de code source ou des donn\u00e9es clients. Et le m\u00e9canisme va jusqu\u2019\u00e0 toucher les clients (ou patients) des organisations impact\u00e9es, puisque certains cyber-criminels vont alors jusqu\u2019\u00e0 menacer ceux-ci de divulguer les donn\u00e9es personnelles d\u00e9rob\u00e9es. En octobre 2020, ce sont les patients d\u2019un centre de psychoth\u00e9rapie<\/a> en Finlande qui en feront l\u2019am\u00e8re exp\u00e9rience\u2026 Parmi les premiers \u00e0 utiliser ce nouveau m\u00e9canisme, le groupe de cyber-criminels pr\u00e9sum\u00e9 auteur des ransomwares Maze et Egregor. Au-del\u00e0 de l\u2019aspect technique des ransomwares, ce groupe se caract\u00e9rise par une constante communication avec ses victimes sous la forme de pressions \u00e0 passer \u00e0 l\u2019acte de payer en un temps r\u00e9duit et de menaces \u00e0 la divulgation de donn\u00e9es. Une strat\u00e9gie qui s\u2019av\u00e8re payante puisqu\u2019\u00e0 la fin novembre 2020, 300\u00a0entreprises auront \u00e9t\u00e9 comptabilis\u00e9es comme victimes du ransomware Maze. Quelques mois plus tard, le bilan des campagnes Egregor comptabilise plus de 200 organisations victimes et une moyenne de 700\u00a0000\u00a0dollars de ran\u00e7on par victime selon ZDNet<\/em>. Le m\u00e9canisme de divulgation des donn\u00e9es sera repris ensuite par Sodinokibi, command\u00e9 par le groupe REvil.<\/p>\n En 2020, le \u00ab\u00a0big game hunting<\/em>\u00a0\u00bb s\u2019intensifie avec Darkside, qui ressemble techniquement \u00e0 REvil, avec l\u2019attaque du g\u00e9ant am\u00e9ricain du transport et de la distribution de produits p\u00e9troliers, Colonial Pipeline. Une ran\u00e7on de 5\u00a0millions de dollars a alors \u00e9t\u00e9 extorqu\u00e9e. L\u2019ann\u00e9e suivante, le FBI a indiqu\u00e9 avoir saisi 2,3\u00a0millions de dollars de ran\u00e7on en \u00e9quivalent Bitcoin apr\u00e8s une vaste op\u00e9ration contre ce m\u00eame groupe. En mars 2021, le constructeur Acer se voit ainsi demander un montant record de 50\u00a0millions de dollars. En mai 2021, c\u2019est au tour de l\u2019\u00e9diteur de solution IT Kaseya d\u2019\u00eatre victime, impactant plus de 1\u00a0500 de ses clients. La ran\u00e7on demand\u00e9e sera cette fois de 70\u00a0millions de dollars.<\/p>\n <\/p>\n Une des derni\u00e8res r\u00e9volutions du mode op\u00e9ratoire des cyber-criminels a \u00e9t\u00e9 l\u2019apparition des plateformes de ransomware-as-a-Service<\/em> (RaaS).<\/strong> Elles offrent alors la possibilit\u00e9 aux groupes d\u2019attaquants moins exp\u00e9riment\u00e9s d'acc\u00e9der \u00e0 une infrastructure compl\u00e8te et de b\u00e9n\u00e9ficier de campagnes de ransomwares pr\u00eates \u00e0 l\u2019emploi. Les plateformes<\/a> louent leurs solutions malveillantes et peuvent \u00e9galement percevoir un pourcentage de la ran\u00e7on r\u00e9cup\u00e9r\u00e9e aupr\u00e8s des victimes. Certains groupes d\u2019attaquants, qui ont investi dans la recherche et le d\u00e9veloppement de ransomwares, cr\u00e9ent alors des franchises afin de commercialiser \u00e0 d\u2019autres groupes criminels leur ransomware.<\/strong> C\u2019est le cas de la franchise de ran\u00e7ongiciels Conti. Ce groupe forme des profils \u201cjuniors\u201d, leur propose un salaire fixe ainsi qu\u2019un int\u00e9ressement sur r\u00e9sultats.<\/p>\n Selon Pierre-Olivier Kaplan, le succ\u00e8s des plateformes de ransomware-as-a-service<\/em> entra\u00eene \u00e9galement une sophistication des malwares\u00a0: \u00ab\u00a0En fin 2010, le ransomware \u00e9tait en perte de vitesse, car les paiements des ran\u00e7ons \u00e9taient non s\u00e9curis\u00e9s et permettaient de remonter les fili\u00e8res criminelles. Avec la multiplication et l\u2019av\u00e8nement des crypto-monnaies qui permettent une certaine anonymisation du paiement des ran\u00e7ons, les transferts d\u2019argent sont devenus presque \u2018s\u00e9curis\u00e9s\u2019 pour les groupes d\u2019attaquants. \u00c0 cela s'ajoutent, entre les ann\u00e9es 2010 et 2020, les am\u00e9liorations des m\u00e9canismes de propagation. Que ce soit <\/em>Lockbit<\/em><\/a>, DarkSide ou encore Laspus$<\/a>, ils sont extr\u00eamement sophistiqu\u00e9s. Ils b\u00e9n\u00e9ficient de toute cette d\u00e9cennie d'am\u00e9lioration continue dans leurs m\u00e9canismes de r\u00e9plication, de leurs m\u00e9canismes de communication avec un serveur de contr\u00f4le et toutes leurs activit\u00e9s annexes qui sont le vol de donn\u00e9es. Sur ces derni\u00e8res ann\u00e9es, les objectifs restent les m\u00eames. Mais ils vont toujours plus loin dans leurs m\u00e9thodes de gestion et d'ex\u00e9cution. De ce fait, les ransomwares sont largement d\u00e9mocratis\u00e9s.<\/em>\u00a0\u00bb<\/p>\nLa gen\u00e8se des ransomwares (1989-2006)<\/h2>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/capture-1-4.png\")
Une diffusion plus large des ransomwares avec l\u2019adoption d\u2019internet (2007-2013)<\/h2>\n
Les premi\u00e8res r\u00e9volutions technologiques des ransomwares (2013-2016)<\/h2>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/capture-2-6.png\")
L\u2019\u00e9mergence des attaques \u00e9tatiques \u00e0 la propagation mondialis\u00e9e (2017-2018)<\/h2>\n
L\u2019\u00e8re du Big Game Hunting<\/em> (2019-2021)<\/h2>\n
Vers la structuration de la fili\u00e8re cyber-criminelle (2021-2022)<\/h2>\n