Crypto locker & Ransomware | DIMOXILO

20 Déc 2021 | Sécurité

Les Ransomwares, c’est quoi ?

Qu’est-ce qu’un ransomware ? un crypto locker ? Comment celui-ci peut-il faire autant de dégâts si facilement ?

Impossible de passer outre. Un peu de vocabulaire :

Crypto Locker

Un « crypto-locker » est un programme qui chiffre les données les rendant illisibles. Une « clé », que seul le pirate détient, est nécessaire afin de nouveau pouvoir les lire. (En les décryptant)

Le CryptoLocker cible tous les éléments nécessaires au bon fonctionnement du système d’information :

  • Fichiers de bureautique
  • Fichiers multimédias (images, vidéos, sons…)
  • Bases de données
  • Messagerie
  • Fichiers systèmes des serveurs
  • Les systèmes de sauvegardes
  • Les postes de travail (PC des agents)

Ransomware

Le principe est simple : le pirate demande ensuite une rançon (en cryptomonnaie intraçable) pour fournir la clé.

Même si le principe est simple cela demande un vrai talent de pouvoir s’introduire dans un système informatique pour pouvoir en modifier le contenu.

Nous rencontrons souvent des agents qui ont déjà parfois des difficultés pour obtenir les droits de modifier des fichiers de façon légitime alors…

Mais alors comment font-ils ?

Tout d’abord sachez que cette technique est déjà bien éprouvée et qu’elle a eu le temps de s’améliorer au fil des ans. Sa première apparition étant communément admise en 1989 avec une propagation par disquette…

Ensuite, si le développement d’un tel programme nécessite une expertise bien réelle, il est maintenant assez simple d’acquérir ce « logiciel » afin de lancer à son tour des attaques sans vraiment en maitriser la technologie.

Le dark web fournit d’ailleurs des « modes d’emploi » pour mener ce genre de campagne.

Principe d’attaque des crypto locker

Finalement c’est un peu comme pour la pêche, lorsque vous lancez de l’amorce pour attirer les poissons. Tous ne viennent pas mais ceux qui viennent en sont souvent pour leur frais.

L’attaque informatique fonctionne de la même façon, elle cible rarement une organisation précise (quel intérêt de cibler une mairie ou un hôpital qui de toute façon ne pourront pas payer), mais essaie d’ouvrir toutes les portes. Quand elle en trouve une entrouverte… elle entre. (sans frapper)

Qu’est-ce qu’une « porte entrouverte » ?

Par exemple Un serveur qui ne serait pas à jour, un firewall obsolète, des règles de filtrage trop permissives, des comptes avec des mots de passe faibles etc…

Et après ?

Une fois entré c’est le programme développé par un esprit brillant (il faut l’avouer) qui œuvre.

Pour rester simple :  Il trouve un compte utilisateur dont le mot de passe est faible, il se l’approprie et (c’est là que c’est assez fort) pratique ce que l’on appelle une « élévation de privilège » en augmentant les droits du compte usurpé.

Cela lui permet alors de prendre possession d’un compte dit « administrateur » et à partir de là c’est un peu comme s’il enfilait ses chaussons pour se promener dans votre système d’information.

Il ne rencontrera alors presque plus aucune résistance et aura tous les droits sur une majorité de vos équipements, serveurs, sauvegardes, stockage, emails….

Hum c’est sûr ça ?

C’est d’autant plus sûr que cet article s’inspire du cas réel d’un de nos clients pour lequel nous intervenons en remédiation. Ceci dit certaines bonnes pratiques permettent de limiter les impacts.

Pas rassurant tout ça…

Oui vous avez raison d’être inquiet.

D’où l’importance d’être conscient du risque et de prendre le temps de la réflexion pour éviter qu’un sinistre de cet ordre vous arrive.

Votre système de sauvegarde doit notamment être pensé pour vous garantir de son intégrité même après une attaque de ce type dont il sera impossible de se prémunir à 100%

Vous devez investir régulièrement dans votre système d’information et considérer son fonctionnement comme sensible. Cette considération vaut d’autant plus pour les équipes internes.

 

N’hésitez pas à nous contacter pour la réalisation d’un audit rapide de votre SI

Ndlr : Cet article est vulgarisé de façon assumée. Certaines étapes sont, mais vous vous en doutez, bien plus complexes que la façon dont nous les décrivons. Ceci dit, le fond reste proche de la réalité.

02-Icones-Crypto locker-Illustration-Dimoxilo