Sécuriser réseaux telecoms

Détails
Écrit par : Jean Pierre EKOUMA EMANE
Catégorie : Sécuriser les réseaux
Clics : 1107
Contact informaticien développeur

 

Sécurisation de Réseaux informatique.

Nous vivons à une époque où la technologie évolue rapidement et où les menaces informatiques deviennent de plus en plus difficiles à détecter. Découvrez les principaux sujets de la sécurité réseau et apprenez comment vous pouvez sécuriser le réseau contre les cyberattaques les plus sophistiquées.

 

Qu'est-ce que le logiciel rançonneur ?

Le logiciel rançonneur est rapidement devenu le logiciel le plus important et le type de logiciel malveillant visible. Les récentes attaques du logiciel rançonneur ont affecté la capacité des hôpitaux à fournir des services cruciaux, paralysé les services publics dans les villes et causé des dommages importants à diverses organisations.

Pourquoi les attaques du logiciel rançonneur émergent-elles ?

L'engouement pour le logiciel rançonneur moderne a commencé avec l'épidémie de WannaCry en 2017. Cette attaque à grande échelle et très médiatisée a démontré que les attaques par logiciel rançonneur étaient possibles et potentiellement rentables. Depuis lors, des dizaines de variantes du logiciel rançonneur ont été développées et utilisées dans diverses attaques.

Comment fonctionne le logiciel rançonneur

Pour réussir, le logiciel rançonneur doit accéder à un système cible, crypter les fichiers qui s'y trouvent et demander une rançon à la victime.
Si les détails de la mise en œuvre varient d'une variante du logiciel rançonneur à l'autre, toutes partagent les mêmes trois étapes fondamentales

  • Étape 1. Vecteurs d'infection et de distribution

Le logiciel rançonneur, comme tout logiciel malveillant, peut accéder aux systèmes d'une organisation de différentes manières. Cependant, les opérateurs du logiciel rançonneur ont tendance à privilégier quelques vecteurs d'infection spécifiques.

L'un d'entre eux est l'hameçonnage (phishing). Un courriel malveillant peut contenir un lien vers un site web hébergeant un téléchargement malveillant ou une pièce jointe intégrant une fonctionnalité de téléchargement. Si le destinataire du courrier électronique tombe dans le panneau, le logiciel rançonneur est téléchargé et exécuté sur son ordinateur.

Un autre vecteur d'infection populaire du logiciel rançonneur tire parti de services tels que le protocole de bureau à distance (RDP). Avec RDP, un pirate qui a volé ou deviné les identifiants de connexion d'un employé peut les utiliser pour s'authentifier et accéder à distance à un ordinateur au sein du réseau de l'entreprise. Avec cet accès, l'attaquant peut directement télécharger le logiciel malveillant et l'exécuter sur la machine qu'il contrôle.

  • Étape 2. Chiffrement des données

 Une fois que le logiciel rançonneur a accédé à un système, il peut commencer à crypter ses fichiers. La fonctionnalité de chiffrement étant intégrée dans un système d'exploitation, il s'agit simplement d'accéder aux fichiers, de les chiffrer à l'aide d'une clé contrôlée par l'attaquant et de remplacer les originaux par les versions chiffrées. La plupart des variantes du logiciel rançonneur sont prudentes dans leur sélection de fichiers à crypter afin de garantir la stabilité du système. Certaines variantes prennent également des mesures pour supprimer les copies de sauvegarde et les copies d'ombre des fichiers afin de rendre plus difficile la récupération sans la clé de décryptage.

  • Étape 3. Demande de rançon

Une fois le chiffrement du fichier terminé, le logiciel rançonneur est prêt à demander une rançon. Les différentes variantes du logiciel rançonneur mettent cela en œuvre de différentes manières, mais il n'est pas rare que l'arrière-plan de l'écran soit remplacé par une note de rançon ou que des fichiers texte soient placés dans chaque répertoire crypté contenant la note de rançon. Généralement, ces billets exigent un montant déterminé de crypto-monnaie en échange de l'accès aux fichiers de la victime. Si la rançon est payée, l'opérateur du logiciel rançonneur fournira soit une copie de la clé privée utilisée pour protéger la clé de chiffrement symétrique, soit une copie de la clé de chiffrement symétrique elle-même. Ces informations peuvent être saisies dans un programme de décryptage (également fourni par le cybercriminel) qui peut les utiliser pour inverser le chiffrement et restaurer l'accès aux fichiers de l'utilisateur.

Types of Ransomware Attacks

Les rançongiciels ont considérablement évolué au cours des dernières années. Parmi les principaux types de rançongiciels et les menaces connexes, on trouve :

  • Double Extortion : 

Les rançongiciels à double extorsion comme Maze combinent le chiffrement des données avec le vol de données. Cette technique a été développée en réponse aux organisations qui refusaient de payer les rançons et préféraient restaurer leurs données à partir de sauvegardes. En volant également les données d'une organisation, les cybercriminels pouvaient menacer de les divulguer si la victime ne payait pas.

  • Triple Extortion :

Le ransomware à triple extorsion ajoute une troisième technique d'extorsion à l'extorsion double. Souvent, cela inclut la demande d'une rançon auprès des clients ou des partenaires de la victime ou la réalisation d'une attaque par déni de service distribué (DDoS) contre l'entreprise également.

  • Locker Ransomware : 

Le ransomware de type locker est un ransomware qui n’encrypte pas les fichiers sur l’ordinateur de la victime. À la place, il verrouille l’ordinateur, le rendant inutilisable pour la victime, jusqu’au paiement de la rançon.

  • Crypto Ransomware : 

Le ransomware crypto est un autre nom pour le ransomware qui souligne le fait que les paiements de ransomware sont souvent effectués en cryptomonnaie. La raison en est que les cryptomonnaies sont des devises numériques plus difficiles à tracer puisqu’elles ne sont pas gérées par le système financier traditionnel.

  • Wiper : 

Les essuie-glaces sont une forme de logiciel malveillant qui est liée au ransomware mais qui en est distincte. Bien qu'ils puissent utiliser les mêmes techniques de chiffrement, l'objectif est de refuser définitivement l'accès aux fichiers chiffrés, ce qui peut inclure la suppression de la seule copie de la clé de chiffrement.

  • Ransomware as a Service (RaaS) : 

RaaS est un modèle de distribution de logiciels malveillants dans lequel des groupes de ransomware fournissent à des « affiliés » l'accès à leur logiciel malveillant. Ces affiliés infectent des cibles avec le malware et partagent tout paiement de rançon avec les développeurs de ransomware.

  • Data-Stealing Ransomware :

Certain variantes de ransomwares se sont concentrées sur le vol de données, abandonnant complètement le chiffrement des données. Une des raisons à cela est que le chiffrement peut être chronophage et facilement détectable, offrant à une organisation la possibilité d'interrompre l'infection et de protéger certains fichiers contre le chiffrement.

Logiciel rançonneur populaire Variantes

Il existe des dizaines de variantes du logiciel rançonneur, chacune ayant ses propres caractéristiques. Cependant, certains groupes de logiciel rançonneur ont été plus prolifiques et ont connu plus de succès que d'autres, ce qui les a fait sortir du lot.

  • Ransomhub 

RansomHub, un groupe Ransomware-as-a-Service (RaaS) de premier plan apparu en février 2024, a rapidement gagné en notoriété en attirant des affiliés de groupes perturbés comme ALPHV et LockBit. Malgré un faible taux de paiement, leur modèle de partage des bénéfices élevé pour les affiliés (90 %) a provoqué une augmentation des attaques, notamment en juillet et août 2024, ciblant principalement les entreprises américaines et brésiliennes. Le ransomware de RansomHub, écrit en Golang et en C++, est connu pour son chiffrement rapide, l’utilisation d’EDRKillShifter et la mise en œuvre récente du chiffrement à distance. Cependant, le 1er avril 2025, les opérations de RansomHub ont cessé, les affiliés se tournant apparemment vers Qilin et DragonForce revendiquant le contrôle, marquant sa disparition dans le paysage des ransomwares.

  • Akira

Akira, une variante de ransomware identifiée pour la première fois au premier trimestre 2023, cible à la fois les systèmes Windows et Linux en utilisant le chiffrement ChaCha2008. Il infiltre les systèmes via des emails de phishing et des vulnérabilités VPN, puis utilise des tactiques comme les LOLBins et le vol de credentials pour éviter la détection et obtenir des privilèges. Akira utilise un chiffrement intermittent pour échapper aux solutions de sécurité et supprime les copies shadow pour compliquer la récupération. Le groupe effectue également des attaques uniquement par extorsion, en volant des données et en demandant une rançon sans chiffrement. Akira exige des rançons importantes, ciblant principalement les grandes entreprises en Amérique du Nord, en Europe et en Australie, notamment dans les secteurs de l'éducation, de la finance, de la fabrication et de la santé. Pour atténuer les attaques d'Akira, les organisations devraient mettre en place une formation à la cybersécurité, des solutions anti-ransomware, des sauvegardes de données régulières, une gestion des correctifs, une authentification forte des utilisateurs (MFA) et la segmentation du réseau.

  • Play

Le groupe de ransomware Play, également connu sous le nom de Play ou Playcrypt, est apparu comme une entité cybercriminelle importante depuis 2022, compromettant avec succès plus de 300 organisations dans le monde, y compris des cibles de haut niveau comme Microsoft Cuba, la ville d'Oakland et le gouvernement suisse. Ce groupe utilise des tactiques uniques telles que le chiffrement intermittent, qui ne chiffre que certaines parties des fichiers pour échapper à la détection, et la double extorsion, où ils ne se contentent pas de chiffrer les données, mais les exfiltrent également et menacent de les rendre publiques si une rançon n’est pas payée. Play exploite les vulnérabilités de FortiOS et les serveurs RDP exposés pour un accès initial, puis distribue les charges utiles de ransomware via des objets de stratégie de groupe en tant que tâches planifiées. Ils tiennent un blog sur Tor pour publier leurs attaques et les données qu’ils ont volées, mettant ainsi la pression sur les victimes pour les contraindre à se conformer.

  • Clop

Cl0p est un ransomware qui est une variante du logiciel malveillant Cryptomix. C’est une menace sophistiquée opérant comme un Ransomware-as-a-Service (RaaS) qui cible principalement les industries manipulant des données sensibles, telles que la santé et la finance. Il utilise une stratégie de double extorsion, en chiffrant les données et en menaçant de publier des informations volées si une rançon n’est pas payée. Les méthodes de distribution de Cl0p incluent les emails de phishing et l’exploitation de vulnérabilités zero-day, ce qui rend sa prévention difficile. Ce ransomware est connu pour son code signé numériquement, ses demandes de rançon élevées, l’utilisation de SDBOT pour l’auto-propagation et sa préférence pour les réseaux d’entreprise. Pour prévenir les attaques de Cl0p, les organisations doivent mettre en place une détection des menaces alimentée par l’IA, une surveillance constante, la vérification des journaux pour détecter les activités inhabituelles, une formation complète des employés sur le phishing, la mise en quarantaine rapide des systèmes infectés et des protocoles d’authentification solides.

  • Qilin

Qilin operates as a prominent Ransomware-as-a-Service (RaaS), utilizing a highly customizable, Rust-based ransomware to target organizations across various sectors globally. This group gained significant traction in April 2025, topping the list for ransomware attacks. Qilin employs a double extortion technique, not only encrypting victims’ files and demanding a ransom for decryption, but also exfiltrating sensitive data and threatening its release even if the ransom is paid. Their sophisticated tactics include tailoring attacks to each victim, modifying filename extensions, terminating specific processes, and offering various encryption modes. Qilin advertises its services on the dark web, showcasing a proprietary data leak site (DLS) with unique company IDs and stolen account details, and reportedly gained affiliates after RansomHub shut down.

  • Ryuk

Ryuk est un exemple de variante très ciblée du logiciel rançonneur. Il est généralement diffusé par le biais de courriels de hameçonnage ou en utilisant des informations d'identification compromises pour se connecter à des systèmes d'entreprise à l'aide du protocole de bureau à distance (RDP). Une fois le système infecté, Ryuk crypte certains types de fichiers (en évitant ceux qui sont essentiels au fonctionnement de l'ordinateur), puis présente une demande de rançon.

Ryuk est réputé pour être l'un des logiciels rançonneur les plus chers qui soient. Ryuk exige des rançons qui moyenne supérieure à 1 million de dollars. Par conséquent, les cybercriminels qui se cachent derrière Ryuk se concentrent principalement sur les entreprises qui disposent des ressources nécessaires pour répondre à leurs demandes.

  • Maze

Les Labyrinthe logiciel rançonneur est célèbre pour avoir été la première variante de logiciel rançonneur à combinez le chiffrement des fichiers et le vol de données. Lorsque les cibles ont commencé à refuser de payer les rançons, Maze a commencé à collecter des données sensibles sur les ordinateurs des victimes avant de les crypter. Si la demande de rançon n'est pas satisfaite, ces données sont exposées publiquement ou vendues au plus offrant. La possibilité d'une violation coûteuse des données a été utilisée comme une incitation supplémentaire à payer.

Le groupe à l'origine du logiciel rançonneur Maze a a officiellement mis fin à ses activités. Cela ne signifie pas pour autant que la menace du logiciel rançonneur a été réduite. Certains affiliés de Maze sont passés à l'utilisation du logiciel rançonneur Egregor, et les variantes Egregor, Maze et Sekhmet auraient une source commune.

  • REvil (Sodinokibi)

Le groupe REvil (également connu sous le nom de Sodinokibi ) est une autre variante du logiciel rançonneur qui cible les grandes entreprises.

REvil est l'une des familles de logiciels rançonneur les plus connues sur le net. Le groupe logiciel rançonneur, exploité par le groupe russophone REvil depuis 2019, est à l'origine de nombreuses brèches importantes telles que "Kaseya" et "JBS

Il est en concurrence avec Ryuk depuis plusieurs années pour le titre de variante la plus chère du logiciel rançonneur. REvil est connu pour avoir exigeait le paiement d'une rançon de 800 000 dollars.

Si REvil a commencé comme une variante traditionnelle du logiciel rançonneur, il a évolué au fil du temps.
Il utilise la technique de la double extorsion pour voler les données des entreprises tout en chiffrant les fichiers. Cela signifie qu'en plus d'exiger une rançon pour décrypter les données, les attaquants peuvent menacer de divulguer les données volées si un second paiement n'est pas effectué.

9. Lockbit

LockBit est un logiciel malveillant de chiffrement de données en activité depuis septembre 2019 et un récent logiciel rançonneur-as-a-Service (RaaS). Ce logiciel rançonneur a été développé pour crypter rapidement les grandes organisations afin d'empêcher sa détection rapide par les dispositifs de sécurité et les équipes IT/SOC. 

  • DearCry

En mars 2021, Microsoft a publié des correctifs pour quatre vulnérabilités au sein des serveurs Microsoft Exchange. DearCry est une nouvelle variante du logiciel rançonneur conçue pour tirer parti de quatre vulnérabilités récemment révélées dans Microsoft Exchange.

Le logiciel DearCry rançonneur crypte certains types de fichiers. Une fois le cryptage terminé, DearCry affiche un message de rançon demandant aux utilisateurs d'envoyer un courrier électronique aux opérateurs du logiciel rançonneur afin d'apprendre comment décrypter leurs fichiers.

  • Lapsus$

Lapsus$ est un gang sud-américain de logiciels rançonneur qui a été associé à des cyberattaques visant des cibles de premier plan. Ce cyber-gang est connu pour ses pratiques d'extorsion, menaçant de divulguer des informations sensibles si ses victimes ne se plient pas à ses exigences. Le groupe s'est vanté d'avoir pénétré chez Nvidia, Samsung, Ubisoft et d'autres. Le groupe utilise un code source volé pour déguiser des fichiers logiciels malveillants en fichiers dignes de confiance.

Comment les ransomwares affectent-ils les entreprises ?

Une attaque de ransomware réussie peut avoir divers impacts sur une entreprise. Certains des risques les plus courants incluent :

  • Financial Losses : 

Les attaques par ransomware sont conçues pour obliger leurs victimes à payer une rançon. De plus, les entreprises peuvent perdre de l'argent à cause des coûts liés à la remediation de l'infection, à la perte d'activité et aux éventuels frais juridiques.

  • Data Loss : 

Certaines attaques par ransomware chiffrent les données dans le cadre de leurs efforts d'extorsion. Souvent, cela peut entraîner une perte de données, même si l'entreprise paie la rançon et reçoit un déchiffreur.

  • Data Breach :

Les groupes de ransomware se tournent de plus en plus vers des attaques à double ou triple extorsion. Ces attaques combinent le vol de données et leur éventuelle divulgation avec le chiffrement des données.

  • Downtime :

Les rançongiciels chiffrent les données critiques, et les attaques à triple extorsion peuvent inclure des attaques DDoS. Les deux ont le potentiel de provoquer des interruptions opérationnelles pour une organisation.

  • Brand Damage : 

Les attaques par rançongiciel peuvent nuire à la réputation d'une organisation auprès des clients et des partenaires. C'est particulièrement vrai si les données des clients sont compromises ou si ces derniers reçoivent également des demandes de rançon.

  • Legal and Regulatory Penalties : 

Les attaques par ransomware peuvent être facilitées par une négligence en matière de sécurité et peuvent inclure la violation de données sensibles. Cela peut exposer une entreprise à des poursuites judiciaires ou à des sanctions imposées par les régulateurs.

Secteurs d'activité fréquemment ciblés par les ransomwares

Les ransomwares peuvent cibler toute entreprise, quel que soit le secteur d'activité. Cependant, les ransomwares sont souvent déployés dans le cadre d'une campagne de cybercriminalité, qui vise souvent un secteur particulier. Les cinq principaux secteurs ciblés par les ransomwares en 2023 sont :

  • Education/Research : 

Le secteur de l'éducation et de la recherche a subi 2046 attaques par ransomware en 2023, soit une baisse de 12 % par rapport à l'année précédente.

  • Government/Military : 

Les organisations gouvernementales et militaires étaient le deuxième secteur le plus visé avec 1 598 attaques, soit une baisse de 4 % par rapport à 2022.

  • Healthcare : 

Le secteur de la santé a été victime de 1500 attaques et a connu une augmentation de 3 %, ce qui est particulièrement préoccupant en raison des données sensibles et des services essentiels qu'il fournit.

  • Communications : 

Les organisations de communication ont connu une croissance de 8 % en 2023, totalisant 1493 attaques connues.

  • ISP/MSPs :

Les FAI et les MSP sont des cibles fréquentes des ransomwares en raison de leur potentiel dans les attaques de la chaîne d'approvisionnement — ils ont subi 1286 attaques par ransomware en 2023, soit une baisse de 6 %.

Comment se protéger contre le logiciel rançonneur

  • Utiliser les meilleures pratiques

Une préparation adéquate peut réduire considérablement le coût et l'impact d'une attaque par logiciel rançonneur. L'adoption des meilleures pratiques suivantes peut réduire l'exposition d'une organisation au logiciel rançonneur et en minimiser l'impact :

  1. Cyber Awareness Training and Education :

 le logiciel rançonneur est souvent diffusé par le biais d'e-mails de phishing. Il est essentiel de former les utilisateurs à la manière d'identifier et d'éviter les attaques potentielles du logiciel rançonneur. Étant donné qu'un grand nombre des attaques cybernétiques actuelles commencent par un courriel ciblé qui ne contient même pas de logiciel malveillant, mais seulement un message socialement élaboré qui encourage l'utilisateur à cliquer sur un lien malveillant, l'éducation des utilisateurs est souvent considérée comme l'une des défenses les plus importantes qu'une organisation puisse déployer.

  1. Sauvegardes continues des données :  

la définition du logiciel rançonneur indique qu'il s'agit d'un logiciel malveillant conçu pour que le paiement d'une rançon soit le seul moyen de restaurer l'accès aux données cryptées. Les sauvegardes de données automatisées et protégées permettent à une organisation de se remettre d'une attaque avec un minimum de perte de données et sans avoir à payer de rançon. Il est très important d'effectuer des sauvegardes régulières des données afin d'éviter de les perdre et de pouvoir les récupérer en cas de corruption ou de dysfonctionnement du matériel de disque. Les sauvegardes fonctionnelles peuvent également aider les organisations à se remettre des attaques du logiciel rançonneur.

  1. Patching : 

Le patch est un élément essentiel de la défense contre les attaques du logiciel rançonneur, car les cybercriminels recherchent souvent les derniers exploits découverts dans les patchs mis à disposition et ciblent ensuite les systèmes qui n'ont pas encore été patchés. Il est donc essentiel que les organisations veillent à ce que tous les systèmes soient dotés des derniers correctifs, car cela réduit le nombre de vulnérabilités potentielles au sein de l'entreprise qu'un pirate peut exploiter.

  1. Authentification de l'utilisateur : 

L'accès à des services tels que RDP à l'aide d'informations d'identification volées est une des techniques préférées des attaquants du logiciel rançonneur. L'utilisation d'une authentification forte de l'utilisateur peut rendre plus difficile l'utilisation par un pirate d'un mot de passe deviné ou volé.

  • Réduire la surface d'attaque

Compte tenu du coût potentiel élevé d'une infection logiciel rançonneur, la prévention est la meilleure stratégie d'atténuation logiciel rançonneur. On peut y parvenir en réduisant la surface d'attaque :

  1. Phishing Messages by employing email protection, such as Harmony Email Security 
  2. Unpatched VulnerabilitiesCompromised credentials and other exposed assets on the dark web using an external risk management tool such as Check Point ERM 
  3. Remote Access Solutions, by employing SASE protection.
  4. Mobile Malware security.

  • Deploy an Anti-Ransomware Solution

La nécessité de crypter tous les fichiers d'un utilisateur signifie que le logiciel rançonneur a une empreinte digitale unique lorsqu'il s'exécute sur un système. Les solutions anti-logiciel rançonneur sont conçues pour identifier ces empreintes. Les caractéristiques communes d'une bonne solution anti-logiciel rançonneur sont les suivantes :

  1. Détection de variantes à grande échelle
  2. Détection rapide
  3. Restauration automatique
  4. Mécanisme de restauration ne reposant pas sur des outils intégrés courants (tels que "Shadow Copy", qui est la cible de certaines variantes du logiciel rançonneur).

Comment supprimer le logiciel rançonneur ?

Un message de rançon n'est pas quelque chose que l'on souhaite voir sur son ordinateur, car il indique que l'infection par le logiciel rançonneur a réussi. À ce stade, certaines mesures peuvent être prises pour répondre à une infection par un logiciel rançonneur actif, et une organisation doit faire le choix de payer ou non la rançon.

  • Comment atténuer une infection par un logiciel rançonneur actif ?

De nombreuses attaques réussies du logiciel rançonneur ne sont détectées qu'après le chiffrement des données et l'affichage d'une note de rançon sur l'écran de l'ordinateur infecté. À ce stade, les fichiers cryptés sont probablement irrécupérables, mais certaines mesures doivent être prises immédiatement :

  1. Mettez la machine en quarantaine : 

Certaines variantes du logiciel rançonneur tentent de se propager aux lecteurs connectés et à d'autres machines. Limitez la propagation du logiciel malveillant en supprimant l'accès à d'autres cibles potentielles.

  1. Laissez l'ordinateur allumé :

 Le chiffrement des fichiers peut rendre l'ordinateur instable et la mise hors tension de l'ordinateur peut entraîner la perte de la mémoire volatile. Laissez l'ordinateur allumé pour maximiser les chances de récupération.

  1. Créez une sauvegarde :

 Le décryptage des fichiers de certaines variantes du logiciel rançonneur est possible sans payer la rançon. Faites une copie des fichiers cryptés sur un support amovible au cas où une solution serait disponible à l'avenir ou si une tentative de décryptage échouée endommageait les fichiers.

  1. Vérifie-s'il existe des décrypteurs : 

Consultez le projet No More Ransom pour voir si un décrypteur gratuit est disponible. Si c'est le cas, exécutez-le sur une copie des données cryptées pour voir s'il peut restaurer les fichiers.

  1. Demandez de l'aide : 

Les ordinateurs stockent parfois des copies de sauvegarde des fichiers qu'ils contiennent. Un expert en criminalistique numérique peut être en mesure de récupérer ces copies si elles n'ont pas été supprimées par le logiciel malveillant.

  1. Effacer et restaurer :

Restaurez la machine à partir d'une sauvegarde propre ou d'une installation du système d'exploitation. Cela permet de s'assurer que le logiciel malveillant est complètement supprimé de l'appareil.

Source : Check Point

Menu principal

Connexion

Articles les plus consultés

Derniers articles créés