X

Selon Bitdefender, les ransomwares dominent le paysage actuel des menaces, et cela va continuer

Si, il y a quelques années, la façon la plus populaire de gagner de l'argent en utilisant un malware était de créer (et de manipuler les gens pour télécharger) des fausses applications antivirus (FakeAV), aujourd'hui les cyber-criminels se tournent plutôt vers les ransomwares.

Il y a deux raisons principales à ce changement :

  • Les monnaies numériques sont de plus en plus populaires et faciles d'accès (vous avez sûrement suivi le phénomène Bitcoin). Avec ces monnaies électroniques, les criminels n'ont plus besoin de mules pour convertir ou « blanchir » l'argent sale obtenu grâce aux ransomwares.
  • Le côté obscur du Web est de plus en plus organisé et spécialisé. Voyez-le comme « l'industrialisation des malwares ». Plutôt que d’avoir une seule équipe s’occupant de tous les développements, il existe maintenant différents groupes se focalisant uniquement sur certaines techniques (botnets, vente de failles, chiffrement, etc.). Les forums parallèles et les marchés noirs en ligne fournissent les outils nécessaires aux cybercriminels pour développer des ransomwares. Ces outils incluent de nombreux kits « Do It Yourself » qui permettent de créer son propre malware, même sans connaissances techniques spécifiques, comme le cas du cryptoware Power Locker. 

Bogdan Botezatu, Analyste Senior en E-menaces chez Bitdefender souligne : « Nous voyons de plus en plus d’infections par des ransomwares. Les ransomwares sont hautement polymorphes et les cybercriminels les modifient régulièrement pour échapper à toute détection. »

Menaces de sécurité sur PC : les ransomwares gardent la tête du classement

Le paysage des menaces de sécurité ciblant les utilisateurs de PC se décompose en deux catégories : 

  • Les menaces financières, qui regroupent les « outils malveillants » qui ont pour objectif de dérober/soutirer de l'argent ou des informations concernant des comptes bancaires. Par exemple des trojans bancaires comme Dyreza et des ransomwares comme CTB Locker et Cryptowall.
  • Les services malveillants, qui se focalisent sur les moyens qui permettent aux outils cités ci-dessus de faire effet. Nous pouvons y inclure : les downloaders (Upatre, Dalexis), les botnets (Pushdo, Ursnif), les proxys, les kits d’exploits.

Sur le graphique ci-dessous, nous voyons qu’au début de l’année 2015 les ransomwares ont largement surpassé les trojans bancaires.

http://cdn2.hubspot.net/hubfs/435632/fig_1.jpg?t=1432817031222

Bien que la tendance du ransomware ne soit pas nouvelle, elle a atteint des sommets en février dernier, comme on peut le voir sur le graphique ci-dessus, et reste en pôle position ces derniers mois. Pour ce qui est de la catégorie des services malwares, celle-ci reste d’actualité, rendant difficile l'identification et la mise en avant de certaines tendances. Cependant, l'état actuel des services malwares peut être résumé comme suit :

  • Les cybercriminels peuvent trouver et acheter sur Internet un grand nombre d'outils qui leur sont nécessaires pour lancer leur propre campagne malveillante. Les transactions sont généralement réalisées via Ukash, Bitcoin, Webmoney ou d’autres monnaies difficiles à suivre.
  • Upatre et Dalexis sont les plus gros downloaders du marché noir actuel. Ils peuvent permettre le téléchargement de n'importe quel type de malware sur votre ordinateur, du malware dérobant des mots de passe au trojan bancaire, en passant par le ransomware.
  • Les moyens les plus communs pour diffuser des malwares sont l'envoi de spams, les campagnes de phishing, les fausses publicités et les drive-by-downloads (téléchargement automatique à la visite d’une page Web). Il est intéressant de noter que la plupart de ces méthodes de diffusion n'exploitent pas les vulnérabilités, mais la bonne vieille méthode de l'ingénierie sociale, en jouant sur la curiosité de la victime.

Menaces de sécurité mobile : les ransomware à l’attaque des tablettes et smartphones

Le graphique ci-dessous montre les tendances pour les ransomwares et les FakeAV observées sur les appareils Android. Notez qu'Android reste la plateforme mobile la plus ciblée, en grande partie à cause de sa popularité (plus de 1,6 million d'applications disponibles pour plus d’un milliard d’utilisateurs).

http://cdn2.hubspot.net/hubfs/435632/fig_2.jpg?t=1432817031222

Pour illustrer ces propos, en juin 2015 une nouvelle vague de ransomwares Android est apparue sous la forme d’une fausse mise à jour Flash Player, via plus de 15 000 e-mails de spam envoyés sur 3 jours. Le ransomware, identifié comme Android.Trojan.SLocker.DZ, demandait aux utilisateurs de payer 450 euros pour « débloquer » l'appareil contaminé. Le prix pouvait même tripler si l'utilisateur essayait de débloquer l'appareil de force. 

Ransomware vs. sécurité de l'Internet des Objets (IoT)

L'aspect inquiétant de cette évolution des ransomwares mobiles est l'impact qu'elle pourrait avoir sur la sécurité de l'Internet des Objets. Vu son périmètre et ses plusieurs niveaux de connexions – application, endpoint, réseau, cloud – s'il n'est pas protégé à chaque niveau, l'Internet des Objets pourrait fournir aux développeurs de ransomwares un large choix de vecteurs et vulnérabilités dont ils peuvent tirer profit pour propager leurs malwares.