Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pourquoi les ransomwares font-ils plus peur que les autres types de virus ?
Voici des éléments de réponse compilés sur des forums de cybersécurité

Le , par Victor Vincent

0PARTAGES

10  0 
Depuis la fin 2015 jusqu’en début d’année 2016, les attaques aux ransomwares ont fait plusieurs victimes parmi lesquelles des hôpitaux, des systèmes de traitement d’eau pour ne citer que ceux-là. Ces ransonwares ont tous des méthodes d’attaques similaires bien que chacun ait une spécificité. Leur méthode étant bien connue des chercheurs, ces ransonwares continuent de faire peur en s’attaquant à des structures aussi sensibles que des hôpitaux. Leurs méthodes d’attaques consistent à infecter leur cible par la méthode du phishing et ensuite, si le phishing est réussi, à chiffrer les fichiers contenus sur le poste et à demander le paiement d’une rançon en échange de la clé permettant de les déchiffrer.

Haran Carvey, chercheur sénior en sécurité chez Dell SecureWorks, note qu’à l’époque, les attaquants par cheval de Troie s’en prenaient aux systèmes dès lors que ces derniers pouvaient être accessibles depuis internet. Il ajoute que par la suite les attaquants se sont intéressés à des cibles particulières du fait qu’elles disposaient des données qui les intéressaient soit pour les voler ou encore pour les supprimer en vue de nuire. D’après le chercheur, le phénomène des ransonwares est encore plus grave puisque dès lors que vous disposez de fichiers, vous êtes une cible potentielle. C’est ce qui expliquerait le fait que ces types de virus soient aussi redoutés, mais aussi la croissance de plus en plus notée de leur nombre.

Un autre aspect qui rend les ransonwares particulièrement redoutables est le fait qu’ils utilisent la méthode de phishing, réussissant à convaincre des utilisateurs pas souvent très avisés de cliquer sur des liens ou des pièces jointes. Certains réussissent même à convaincre les utilisateurs de changer les paramètres de leur système donnant ainsi des droits au virus pour s’installer. Nombreux sont les spécialistes en sécurité qui pensent que compte tenu de la croissance de plus en plus rapide des ransonwares et les ambitions et compétences de plus en plus grandissantes de ceux qui les déploient, les choses vont aller de mal en pis pour beaucoup d’organisations.

Un point qui a été noté par les chercheurs, comme favorisant l’augmentation des ransonwares, est le fait qu’ils s’attaquent aux plus faibles. En effet, les victimes favorites des hackers utilisant les ransonwares pour atteindre leurs victimes sont les PME, un particulier ne pouvant pas débourser une somme trop importante pour payer la rançon, et les grandes entreprises ayant en général une sécurité informatique aboutie et des moyens pour contrer ce type d’attaque. La cible privilégiée reste donc les petites et moyennes entreprises, qui sont peu sensibles aux risques informatiques et moins vigilantes.

D’après les experts, si certains pirates de l’époque menaient des attaques pour certaines convictions justifiées ou pas d’ailleurs, c’est la quête de l’argent facile qui anime les gens qui mènent des attaques par ransonware et qui n’épargnent même pas les systèmes de traitement d’eau potable comme cela a été le cas récemment. Certains ransonwares peuvent réclamer des rançons dont le montant varie entre 10 000 et 20 000 €, des montants qui sont souvent payés sous forme de bitcoins aux attaquants. Les entreprises accèdent à la demande des pirates dans la majeure partie des cas sachant que les données sont ce qu’elles ont de plus précieux, et que sans elles aucune activité ne serait possible.

Le chercheur en sécurité Roel Schouenwenberg estime que le silence des entreprises contribue également à la multiplication des ransonwares. D’après lui, quand une entreprise subit une attaque par ransonware, elle cherche à payer la rançon le plus rapidement et le plus discrètement possible pour ne pas détruire sa réputation et être considérée comme une entreprise avec un mauvais système de sécurité ou alors pour ne pas s’exposer aux attaques d’autres ransonwares dont les auteurs seraient au courant qu’elle a une faille dans son système de sécurité.

Les ransonwares sont également connus pour être particulièrement efficaces quand il s’agit de profiter des défaillances que peuvent présenter certains systèmes ou serveurs. C’est le cas notamment avec les ransonwares Samsam qui exploitent une faille du serveur d’application JBoss pour perpétrer leurs attaques. La difficulté pour les organisations de se prémunir de systèmes pouvant contrer ces ransonwares est aussi liée au fait qu’ils ciblent différents types de plateformes aussi bien des applications web que des applications mobiles pour atteindre leurs victimes. Selon Kevin Kelly, PDG de LGS Innovations, une société de sécurité, la grande quantité de logiciels qui sont installés un peu partout dans les systèmes ainsi que l’internet des objets qui connecte des structures jusqu’ici épargnées à internet, multiplie les vulnérabilités des systèmes d’information qui ne vont faire qu’augmenter et permettre aux ransonwares de faire encore plus de dégâts.

Sources :  windowsir.blogspot.sn blog SecureWorks blog Microsoft blog Fortinet lsc.sans.edu

Et vous ?

Qu'en pensez-vous ?

Voir aussi

le forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 13/04/2016 à 20:44
Le truc, c'est qu'avec les ransomwares, le crime paye.
Le virus destructeur ne rapporte pas grand chose.
Le spyware est très incertain.
Le ransomware, ça paye et ça paye vite.

Le type qui a perdu ses données et à qui on prouve qu'on peut les lui rendre, il réfléchit un moment et décide généralement de s'asseoir sur ses principes....

Pour avoir déjà eu à gérer les relations avec ces escrocs pour des clients, je peux assurer que c'est un business qui tourne bien avec hotline réactive et tout.
On envoie un mail, la réponse tombe dans les minutes qui suivent.

Mon client avait décidé de payer.
Pour info en regardant le blockchain, le wallet en Bitcoin des cryptolockers avait engrangé 75 bitcoin en une semaine…

c’est donc *très* lucratif, et donc ca va perdurer …

FAITES DES SAUVEGARDES A FROID !!!!!
4  0 
Avatar de Fagus
Membre actif https://www.developpez.com
Le 20/04/2016 à 17:52
Récemment dans un hôpital français, arrêt de tous les systèmes informatiques, motif "nous sommes attaqués par un ransomware !"

Analyse de "nous sommes attaqués"
- internet explorer 9 sur les postes avec accès internet
- flash antédiluvienne pas mis à jour (jamais) sur les postes
- probablement des versions antédiluviennes de java un peu partout.
- plusieurs postes sans antivirus à jour car c'est compliqué les licences multiples
- postes win xp pas à jour
- session unique commune pour les utilisateurs
- droits d'écriture sur le réseau commun de l'hôpital (NAS) pour tout le monde...

Donc, bizarrement, dès qu'un utilisateur consulte un site légitime infecté en drive by download, ça écrase son poste, puis tout le réseau...
On peut se promener déguisé en daim dans les bois le jour de chasse aussi.
4  0 
Avatar de eldrad95
Membre habitué https://www.developpez.com
Le 15/04/2016 à 21:16
oui enfin on parle d'un nas a 200 € + un logiciel de sauvegarde gratuit plus une installation à quoi 350€ de mains d'oeuvre grand max. 550€ n'importe quel entreprise peut.
le problème c'est parfois les petites ssii qui vont vouloir faire acheter une rolls pour faire la sauvegarde de 3 pcs et demander 10k€ surtout .
3  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 21/04/2016 à 14:33
Citation Envoyé par pcdwarf Voir le message

Si tout les jours on efface la sauvegarde d'hier, ça ne sert à rien.
Ca me rappelle l'histoire du gars qui utilisait le mirroring RAID pour faire les sauvegarde. Tous les jours, il arrachait le disque esclave à chaud et rebranchait le disque de 7 jours avant. Et le RAID faisait son boulot de réplication.
Ca a marché jusqu'au jour où le master est mort. Et avec un RAID il fait ça assez silencieusement si tu ne monitore pas. Quand il a branché le disque de la semaine précédente pour le backup journalier, après avoir arraché le slave qui lui était viable, le RAID a restauré les donnés de la semaine précédente, comme un grand, le master étant marqué comme "defectueux". Quand le type s'est rendu qu'il avait perdu des données il a suivi sa procédure de restore et branché le disque de la veille, qui s'est retrouvé écrasé par les données de la semaine précédente en provenance du master. Etc etc

Citation Envoyé par pcdwarf Voir le message

Argument : "Monsieur, oublions les attaques de virus/malwares auxquelles vous ne croyez visiblement pas et qui sont pourtant le risque principal. Admettons simplement que je suis un salarié mécontent. Je vais dans votre local technique. J'arrache les disques des serveurs et je les jette par terre assez fort pour être certain de les détruire. Vous n'avez plus de mails, plus de gestion de stock, plus de factures, plus de comptabilité. Et il y a longtemps que vous n'avez plus d'archives papier de toutes ces choses. Comment votre entreprise fera-t-elle face à la perte de ses données ? Combien de temps votre entreprise mettra à repartir ? Quel sera le délai de réaction de votre assureur ? Combien de temps votre trésorerie vous permet-elle de survivre ?"
Vous avez raison, je vais mettre un verrou sur le local technique et je serais le seul à avoir la clé, c'est moins cher.
3  0 
Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 21/04/2016 à 11:31
Il y a un truc que je ne comprends pas : si une sauvegarde est faite après que le "virus" ait bordelisé, la sauvegarde sera bordelisée elle aussi, non_?
C'est pour ça que les sauvegardes doivent être "à froid". C'est à dire sur un support qui cesse d'être accessible à la machine qu'on sauvegarde sitôt la sauvegarde terminée.
Et c'est aussi pour ça qui'il faut en faire plusieurs.
Si tout les jours on efface la sauvegarde d'hier, ça ne sert à rien.
Il faut faire un roulement sur au moins 8 jours. ou en tout cas sur plus long que le temps de détection des problèmes.

Un plan de sauvegarde ça s'étudie.

Professionnellement, le coût est en fait ridicule par rapport au coût de la perte.
Et le risque de perte va aller en augmentant avec la diffusion des malwares.

Argument : "Monsieur, oublions les attaques de virus/malwares auxquelles vous ne croyez visiblement pas et qui sont pourtant le risque principal. Admettons simplement que je suis un salarié mécontent. Je vais dans votre local technique. J'arrache les disques des serveurs et je les jette par terre assez fort pour être certain de les détruire. Vous n'avez plus de mails, plus de gestion de stock, plus de factures, plus de comptabilité. Et il y a longtemps que vous n'avez plus d'archives papier de toutes ces choses. Comment votre entreprise fera-t-elle face à la perte de ses données ? Combien de temps votre entreprise mettra à repartir ? Quel sera le délai de réaction de votre assureur ? Combien de temps votre trésorerie vous permet-elle de survivre ?"
2  0 
Avatar de popovivi
Futur Membre du Club https://www.developpez.com
Le 21/04/2016 à 14:49
Témoignage !
Vécu chez un client avec un antivirus professionnel, un utilisateur reçoit régulièrement des mails vérolés. Un moment d'égarement ou de curiosité, un clic sur un lien hypertexte dans un fichier Word et tous les fichiers du serveur (10Go) cryptés et inaccessibles. Tous les fichiers Word, Excel, TXT (tous les fichiers de config de logiciel sont cryptés...) Pourtant il m'a appelé très rapidement. Tous les fichiers récupérés dans la nuit sur une sauvegarde sur internet. Le matin tout est reparti ! C'est chaud très chaud et ça motive fortement à mettre en place tout se qu'il faut. Soyons honnête, là il manquait la sauvegarde locale qui aurait rendu plus rapide la récupération...
Petite question quelqu'un a t-il une idée pour contrer ces mail vérolés qui arrivent depuis la messagerie d'un contact connu (car les adresses des émetteurs sont connues) et dont le contenu vari ? J'ai pu voir plusieurs de ces mails qui continuent d'arriver.
2  0 
Avatar de Médinoc
Expert éminent sénior https://www.developpez.com
Le 05/05/2016 à 14:20
Par pitié, n'écrivez pas ce mot "ransonware"! "ranson" n'est pas un mot ni en français (où le mot correct est rançon) ni en anglais (où le mot correct est ransom)...
2  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 20/04/2016 à 1:25
On a des infos sur la faille jboss concernée? Vu le nombre de site ayant un jboss admin avec les passes par défaut ou pas de password exposé sur le net, je crois qu'il ne faut pas vraiment chercher loin la faille...

Edit: je viens de vérifier l'outil jexboss concerné, ça consiste effectivement bêtement à accéder à l'interface admin non sécurisée. On devrait rétablir la pendaison pour ces admin système
1  0 
Avatar de shaun_the_sheep
Membre éprouvé https://www.developpez.com
Le 13/04/2016 à 16:06
Bonjour,

Petya ransomware encryption system cracked
en voila un de moins

http://www.bbc.com/news/technology-36014810
0  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 14/04/2016 à 12:55
Les sauvegardes c'est magique !
0  0