Rançongiciel

Un ransomware, également appelé « filecoder », est un logiciel malveillant qui chiffre des fichiers ou verrouille des appareils, en exigeant une rançon (généralement en cryptomonnaie) pour rétablir l'accès. Les ransomwares modernes ont considérablement évolué, combinant souvent plusieurs techniques d'extorsion et ciblant des systèmes de grande valeur.

Fonctionnement

•Infiltration : transmis par le biais d'e-mails d'hameçonnage, de pièces jointes malveillantes, de sites web compromis ou de vulnérabilités logicielles.

•Chiffrement : une clé symétrique est utilisée pour chiffrer les fichiers, qui sont ensuite chiffrés à l'aide d'une clé publique intégrée.

•Extorsion : les victimes reçoivent une demande de rançon exigeant un paiement en échange de la clé de déchiffrement.

•Exfiltration (ajout des ransomwares modernes) : de nombreuses variantes volent désormais les données avant de les chiffrer, menaçant de les divulguer si la rançon n'est pas payée (double extorsion).

•Perturbation (ajout des ransomwares modernes) : certains ransomwares désactivent les sauvegardes et les outils de récupération afin d'augmenter la pression sur les victimes.

Tactiques modernes

•Double/triple extorsion : chiffrer, voler et menacer de divulguer des informations publiques ou de lancer des attaques DDoS.

•Ransomware-as-a-Service (RaaS) : les modèles basés sur l'affiliation permettent à des acteurs moins qualifiés de lancer des attaques à l'aide de kits de ransomware loués.

•Attaques améliorées par l'IA : l'IA est utilisée pour créer des leurres d'hameçonnage convaincants et échapper à la détection.

•Attaques ciblées : axées sur les infrastructures critiques, les soins de santé, l'éducation et les chaînes d'approvisionnement.

•Vol de données sans chiffrement : certains groupes renoncent complètement au chiffrement et misent uniquement sur le chantage.

Paiement et obscurcissement

•Les paiements sont généralement exigés en cryptomonnaies telles que le Bitcoin ou le Monero.

•Les pirates utilisent des services de mixage et des cryptomonnaies anonymes pour dissimuler les traces des transactions.

Prévention et protection

•Bouclier anti-ransomwares ESET : détecte et bloque les comportements suspects en temps réel.

•Correction des ransomwares : sauvegarde et restaure automatiquement les fichiers si un ransomware est détecté.

•ESET LiveGrid® et ESET LiveGuard : systèmes de réputation et de sandboxing dans le cloud pour détecter les menaces zero-day.

Le paiement de la rançon ne garantit pas la récupération des données.

Il est conseillé aux victimes de signaler les incidents aux autorités locales et aux agences de cybersécurité.