Exemples de Ransomware

De nos jours , il existe une ribambelle de ransomware plus extraordinaires les uns que les autres . Il est facile pour les “criminels” de s’assurer que ces échantillons incluent juste assez de modifications superficielles ou d’obscurcissement pour les aider à éviter les antivirus. Le ransomware se base comme tous les problèmes liés aux attaques , via une faille connue ou 0days (qui n’a pas encore été exploitée) d’un système ,qui lui permet donc de déployer son programme dans la partie “infectée”.

Selon Dimension Data, les attaques de ransomware dans le monde ont augmenté de 350% en 2017 par rapport à l'année précédente.
Cependant , selon le rapport de 2018 de Kaspersky , les attaques de Ransomware ont récemment diminuée, en faveur des attaques de cryptojacking. Selon les rapports des fournisseurs de sécurité, le nombre de ransomwares a diminué de 30 à 32% entre avril 2017 et mars 2018, par rapport à la même période de l'année précédente. Les infections “cryptominers” ont augmentées de 44,5% au cours de la même période.
Ces attaques sont de moins en moins volumineuses mais de plus en plus sophistiquées.

Le Ransomware serait le 6ème moyen d’infection le plus utilisé en 2018 , derrière le minage de cryptomonnaie(miners) , les cheval de troie dans les banques (banking trojans) , des logiciels s’infectant dans votre ordi afin de vous mettre des publicités (adware) et de logiciel ayant pour but d’espionner une cible (spyware).
En infectant une installation , certains Ransomware profitent de la puissance de traitement du matériel afin de miner de la crypto-monnaie dans l’attente de paiement de la rançon.



Voici une liste non exhaustive des Ransomwares les plus dévastateurs :



NotPetya


Vecteur d’attaque : Supply Chain ME.doc and EternalBlue & EternalRomance Exploit
Conception : Juin 2017
Zone d’activité : 100+ pays
Rançon: $300

WannaCry


Vecteur d’attaque : EternalBlue* Server Message Block (SMB - port 445 / MS17-010 + Double pulsar) Exploit Kit
Conception : Mars-Mai 2017
Zone d’activité : 150+ pays
Rançon: $300 - $600

Locky


Vecteur d’attaque : Spam Email
Conception : Février 2016
Zone d’activité : 28+ pays
Rançon: $400 - $800

CrySis


Vecteur d’attaque : Remote Deskop Protocol
Conception : Février 2016
Zone d’activité : 22+ pays
Rançon: $455 - $1’022

Nemucod


Vecteur d’attaque : Spam Email
Conception : Avec Teslacrypt en 2015 et 2016 et seul en 2017
Zone d’activité : 26+ pays
Rançon: $300

Jaff


Vecteur d’attaque : Spam Email
Conception : Mai 2017
Zone d’activité : 21+ pays
Rançon: $3’700

Spora


Vecteur d’attaque : Bogus Font Pach Update in a Browser Message
Conception : Janvier 2017
Zone d’activité : 28+ pays
Rançon: $20 - $79

Cerber


Vecteur d’attaque : Remote Deskop Protocol (RDP) , Spam d’Email , RaaS
Conception : Mars 2016
Zone d’activité : 23+ pays
Rançon : $300 - $600

Cryptomix


Vecteur d’attaque : Remote Deskop Protocol (RDP) et Exploit Kit
Conception : Mars 2016
Zone d’activité : 29+ pays
Rançon : $3’000

Jigsaw


Vecteur d’attaque : Spam d’Email
Conception : Avril 2016
Zone d’activité : 29+ pays
Rançon : $20 - $200


Explication des vecteurs d’attaques présent ci-dessus

Faille Eternal Blue / Double Pulsar : Ces exploits ont été découverts et utilisés par la NSA, et l'existence de ces vulnérabilités a été révélée par The Shadow Brokers, un groupe tentant de vendre l'accès à un cache de vulnérabilité et à des outils de piratage développés par le gouvernement américain.
Remote Deskop Protocol (RDP) : les connexions RDP exposées sont essentiellement un signe «ouvert» au néon clignotant qui ouvre la voie aux criminels responsables d'opérations telles que SamSam, Bit Paymer, CrySiS / Dharma, CryptON, LockCrypt, Matrix et SynAck ...
Spam d’Email : Le spam d’email est une attaque de masse ayant pour but de trouver une faille humaine dans un endroit normalement “sécurisé”, la victime laisse donc entrer le hackeur dans le système au moyen de cette email. (cf. Comment ca fonctionne ? Méthode de contamination )



Ransomwares Mobiles

Nous avons tous entendu parlé de ransomwares à cause des crises de 2016-2017 . Mais certains pensent que cela peut arriver aux ordinateurs seulement , ils ont tords ! Tout objet connecté ou lié à un réseau internet est susceptible de se faire pirater . Dans la gamme des ransomwares , il existe aussi les Ransomwares mobiles . Les deux plus connu sont Small et Fusob , ils représentent la quasi totalité des ransomwares mobiles.
L’écran affiche aux victimes un message provenant “d’une autorité supérieur” (gouvernement / NSA / …) et prétend qu’ils doivent payer une certaine amende afin d’éviter des poursuites judiciaires à leur encontre .
Fusob et Small ont tous deux des façons plutôt étranges de faire payer la rançon : Fusob propose le paiement via des cartes cadeaux iTunes, tandis que Small offre la possibilité à ses victimes de payer soit par le biais du système de paiement Kiwi ou via des bons MoneyPak xpress Packet allant à une rançon de 100 à 200$.
Ensuite, vient le tour de la famille du ransomware Small. Près de 99% des victimes de Small vivent dans trois des pays que Fusob évite : la Russie, le Kazakhstan, l’Ukraine.Une version locale anglaise de Small existe également, elle dispose d’un bloc-écran qui mentionne le FBI et demande une rançon de 300$. Deux versions supplémentaires de Small existent. L’une est un cryptolocker qui accomplit les mêmes opérations que la première version, et qui plus est, chiffre les fichiers de la carte mémoire SD du téléphone. La seconde est un cheval de Troie multifonction capable de voler de l’argent, de détourner des données, et bien entendu bloquer le mobile.