Les attaques de ransomwares sont en constante augmentation depuis 2019, mais elles ont véritablement explosé partout dans le monde en 2021. Au cœur de la pandémie, les rançongiciels ont connu une hausse de plus de 95% en 2021. La France a été particulièrement touchée en 2021, avec 5,5 milliards de dollars de dégâts, un chiffre que seuls les États-Unis ont dépassé. Les experts de l’entreprise spécialisée ANOZR WAY estiment qu’une entreprise française tombe tous les trois jours, faisant de ce pays le 2ème pays le plus attaqué au monde. Bien que de nombreuses entreprises et administrations ne communiquent pas sur les origines de ces attaques, plusieurs ont néanmoins admis que leur exécution avait été permise par des clics d’employés sur des emails de phishing. Effectivement, lors d’une enquête réalisée par Statista auprès des entreprises françaises, 80% d’entre elles ont déjà été victimes de phishing.Il existe d’autres méthodes pour installer un ransomware sur un système, notamment via les outils de surveillance et de gestion à distance, comme cela a été le cas lors des nombreuses attaques très médiatisées ayant touché des MSP (Managed Services Provider). Toutefois, ce type d’attaque demande une dextérité qui n’est pas à la portée du premier hacker venu. Le phishing constitue ainsi la méthode la plus simple et la plus rapide pour arriver à ses fins.
Pas besoin d’avoir fait des études poussées pour créer un email de phishing. Les hackers reprennent directement les images et logos des marques depuis leur site Web ou sur Google et renforcent ainsi l’authenticité perçue de leurs emails. Pour usurper une adresse email, il leur suffit d’indiquer l’adresse de leur choix comme nom d’affichage, une technique appelée usurpation du nom d’affichage. Ils peuvent également créer une adresse extrêmement similaire à celle de la marque grâce à la technique des domaines voisins. Leur travail est même encore simplifié par la disponibilité de kits de phishing en ligne. Un kit de phishing classique inclut tous les composants nécessaires à une attaque, notamment une page Web malveillante et les outils aidant à donner à cette page une apparence légitime et à éviter la détection. Certains kits permettent même d’identifier les cibles, de créer l’email de phishing et de récupérer les données. Ces kits sont disponibles sous forme d’achat unique ou sur abonnement (Phishing-as-a-Service, PhaaS), modèle qui offre une licence permettant d’utiliser le logiciel pendant une durée déterminée, à la manière du SaaS classique. Pour contourner un filtre de messagerie, les hackers disposent d’un vaste arsenal d’outils dont la plupart sont gratuits. Bitly, un outil de raccourcissement d’URL, peut par exemple être utilisé pour créer un alias de l’URL de phishing et tromper les filtres qui recherchent des URL en liste noire. Une autre possibilité consiste à créer une redirection d’une URL légitime vers une URL frauduleuse. Pour ce faire, les hackers cherchent les sites Web disposant de redirections ouvertes, les insèrent dans les emails de phishing, puis lancent la redirection vers des pages de phishing une fois l’email remis.
Il est facile de trouver en ligne un kit d’exploitation contenant un malware pour environ 500 $. Le travail du hacker est ainsi simplifié, et l’attaque peut être lancée plus facilement par email. De plus, de nombreux kits sont fournis avec une licence, en général d’une durée de trois mois, ce qui permet aux hackers de lancer autant d’attaques qu’ils le peuvent pendant cette période. Certains des malwares les plus connus et dangereux peuvent être achetés en ligne. Le ransomware Robbinhood, utilisé dans les attaques ayant touché la ville de Baltimore, est notamment proposé sous forme de Ransomware-as-a-service (RaaS).Comme le PhaaS, le RaaS se présente sous la forme d’un abonnement incluant tout ce dont un hacker a besoin pour lancer une attaque. De plus, certains services incluent des outils propres aux ransomwares, notamment des tableaux de bord générant des rapports en temps réel sur les attaques en cours. Dans le cadre du modèle RaaS, le distributeur reçoit une partie des rançons récoltées. Motett, le malware utilisé pour lancer le ransomware Ryuk, est lui aussi proposé à la vente, après une brève disparition en 2021. À l’origine de l’attaque de l’hôpital de Villefranche-sur-Saône en 2021, Ryuk est aussi soupçonné d’être responsable de l’attaque qui a frappé La Nouvelle-Orléans en 2019. D’après les officiels de la ville, ce ransomware avait été remis via un lien dans un email de phishing et coûtera à la ville bien plus que les 3 millions de dollars facturés par sa cyberassurance. Ryuk est depuis devenu le ransomware Conti. Comme son prédécesseur, il est probablement développé par Wizard Spider, un groupe de hackers russes.
Les PDG et responsables de la sécurité des systèmes d’information ont peu de chance d’être trompés par des emails de phishing, même s’il existe des exceptions. Toutefois, un salarié fraîchement embauché qui ne connaît pas encore bien l’entreprise constitue une cible tout indiquée. Les hackers n’ont d’ailleurs aucune difficulté à retrouver leurs victimes en ligne, et en particulier sur les réseaux sociaux. Un profil LinkedIn peut par exemple leur indiquer quels collaborateurs sont nouveaux ou peu expérimentés. Il peut également révéler le poste et les tâches de l’employé. De quoi déterminer à quels types d’emails sa victime pourrait être la plus sensible : avertissement de Microsoft concernant un abonnement à Microsoft 365 non réglé ou notification d’une banque expliquant avoir détecté une activité suspecte, par exemple. Chacun de ces emails est pensé pour inquiéter et entraîner une réaction immédiate. Les employés non sensibilisés à la détection des signes de phishing peuvent ainsi cliquer sur un lien sans se méfier.
De nombreux filtres de messagerie ne vérifient pas la présence de liens dans les pièces jointes, ce qui permet d’y cacher efficacement une URL de phishing. Les pièces jointes contenant des ransomwares prennent souvent la forme d’une facture. La victime pense alors avoir reçu une facture d’un collègue ou d’un fournisseur. Un lien dans la pièce jointe lance le téléchargement du malware au moment du clic. Dans d’autres cas, le ransomware commence à être téléchargé dès l’ouverture de la pièce jointe, souvent par l’intermédiaire de macros de fichiers Word ou PDF ou de scripts malveillants zippés. Une autre méthode pour lancer une attaque de ransomware consiste à envoyer de fausses notifications de partage de fichier, souvent associées aux services SharePoint et OneDrive. Dans ce type d’attaque, l’utilisateur reçoit un email factice semblant provenir d’un collègue ou d’un service de partage de fichiers. Cet email contient un lien OneDrive ou SharePoint qui mène à un document contenant le lien de phishing. Dans certains cas, le lien pointe vers un site de phishing qui lance un téléchargement furtif du ransomware. Dans d’autres, le lien mène directement au malware.
Les utilisateurs formés correctement savent reconnaître une adresse email usurpée. Ce n’est pas toujours facile. Pourtant, il existe souvent des signes qui compliquent la tâche des hackers. C’est pour cette raison qu’ils lancent aujourd’hui des attaques en plusieurs phases, qui commencent par un email de phishing avant de se transformer en attaques venues de l’intérieur et basées sur le spear phishing. Une fois qu’un hacker dispose des identifiants d’une entreprise, par exemple des identifiants Microsoft 365, il peut envoyer des emails internes depuis des comptes légitimes et ainsi lancer des attaques de spear phishing depuis l’intérieur. Les collaborateurs visés pensent communiquer avec leurs collègues, voire leurs responsables. Le hacker est ainsi en mesure de faire des dégâts bien plus importants que lorsqu’il attaque depuis l’extérieur. Un hacker pourrait par exemple rester présent dans le système pendant des mois sans être détecté. Ce serait alors pour lui l’occasion de découvrir le fonctionnement et les processus de l’entreprise, de récupérer des informations pour de futures attaques et de réaliser des transactions financières progressives qui passent inaperçues tant qu’elles restent modestes. Lorsque le hacker finit par lancer un ransomware ou un autre malware, il est déjà trop tard.
La plupart des attaques de ransomwares commencent par un email de phishing, ce qui rend d’autant plus essentielle la sensibilisation au phishing pour protéger les entreprises. Les collaborateurs seront ainsi plus vigilants et y réfléchiront à deux fois avant de cliquer sur des liens et d’ouvrir des pièces jointes. Les entreprises ont besoin d’une technologie qui va plus loin que les signes évidents du phishing :* Suivi des URL de phishing jusqu’à leur destination, analyse des liens raccourcis et des redirections, et recherche de contenu malveillant dans les pages Web* Analyse des fichiers (PDF, Word et .zip) en temps réel pour détecter les liens cachés dans les pièces jointes et le code malveillant visant à cacher les ransomwares/malwares* Analyse des fichiers partagés, comme les fichiers SharePoint et OneDrive, pour y détecter des liens de phishing ou menant à des malwares* Analyse des fichiers de services comme Evernote et OneNote pour y détecter des liens malveillants* Détection des images distantes et images, logos et QR codes manipulés pour faire croire qu’un email de phishing en liste noire est unique. Les MSP sont particulièrement visés par les auteurs de ransomwares qui cherchent à infiltrer les systèmes de leurs clients, en particulier dans le secteur public (organisations gouvernementales). Toujours plus sophistiqués, les ransomwares doivent être combattus avec des technologies qui le sont tout autant et qui gardent une longueur d’avance sur les cybercriminels.