#1 Leader mondial de la résilience des données
#1 Leader mondial de la résilience des données
Tester
Programmer une réunion
Recommandations de Veeam pour les clients impactés par la mise à jour de CrowdStrike
Lire la suite

Qu’est-ce que le ransomware CryptoLocker ?

Le marché des ransomwares se chiffre en milliards de dollars. L’informatique moderne a une histoire tumultueuse entachée par d’innombrables virus et logiciels malveillants. Ces dernières années, des acteurs malveillants ont commencé à mettre l’accent sur la promesse de profits sous forme de rançons. En chiffrant les données et en empêchant les victimes d’y accéder, ces attaquants profitent de ceux qui ne peuvent pas se permettre de perdre des données stratégiques.

Les entreprises sans protection contre les ransomwares sont les plus vulnérables face à cette industrie criminelle en pleine expansion. Selon le rapport de Veeam sur les tendances de la protection des données en 2023, 85 % des entreprises dans le monde ont subi au moins une attaque par ransomware. Ce qui est encore plus préoccupant, c'est que plus de la moitié de ces entreprises ont payé la rançon pour récupérer l'accès à leurs données : un choix qu'une réplique de sauvegarde sécurisée aurait pu éviter.

De nombreuses entreprises ne sont tout simplement pas préparées à affronter la menace croissante des ransomware. Bien qu'il existe depuis plus de 30 ans, le ransomware n'est devenu l'industrie criminelle rentable qu'il est aujourd'hui que depuis une dizaine d'années. L’un des plus importants est le virus CryptoLocker .

Le ransomware CryptoLocker expliqué

L'émergence de CryptoLocker en 2013 a marqué le début du fléau des ransomwares. Une fois infecté par CryptoLocker, le ransomware chiffre les fichiers de la victime et exige ensuite le paiement de la clé de déchiffrement, qui s’élève souvent à des centaines, voire des milliers de dollars.

CryptoLocker est devenu tristement célèbre pratiquement du jour au lendemain, en partie à cause de son puissant algorithme de chiffrement qui rendait presque impossible la restauration des données sans la clé de déchiffrement d’origine. De plus, les attaquants derrière le ransomware menaçaient de supprimer les données de la victime si la rançon n'était pas payée dans un délai spécifié. En raison de son agressivité et de ses conséquences coûteuses, CryptoLocker reste une alerte de la CISA. Bien que les systèmes modernes ne soient plus vulnérables au ransomware CryptoLocker vieillissant, ce dernier a été le pionnier des outils et des stratégies que de nombreux cybercriminels utilisent aujourd'hui.

Comment cela fonctionne-t-il ?

Dans la plupart des cas, CryptoLocker est diffusé via des e-mails de phishing qui tentent de tromper les victimes pour qu'elles téléchargent et exécutent le ransomware. Lorsqu’il est apparu pour la première fois, les attaquants de CryptoLocker ont utilisé des e-mails conçus pour ressembler à des avis de suivi d’UPS et de FedEx. Une fois que la victime avait téléchargé et exécuté le ransomware, celui-ci commençait à chiffrer les fichiers sur le système infecté.

CryptoLocker tentait également de se propager à d'autres ordinateurs en se répandant via les systèmes de fichiers. Sur les systèmes vulnérables, il peut se propager aux lecteurs USB externes, aux clés USB, ainsi qu'aux stockages en réseau, y compris les lecteurs mappés et les plateformes de stockage cloud.

Le ransomware a spécifiquement ciblé les systèmes Microsoft Windows, dont beaucoup restent vulnérables, notamment :

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8

Une fois que CryptoLocker commence à infecter l’un de ces systèmes et à se propager, il verrouille les fichiers en utilisant le chiffrement à clé publique RSA. Cette approche utilise deux ensembles de clés de chiffrement pour le chiffrement et le déchiffrement des données, ce qui est beaucoup plus sûr qu’une méthode à clé unique lors du partage et de la transmission des données. À l’époque, le chiffrement asymétrique était moins courant pour une utilisation légitime, et encore moins pour les ransomwares.

CryptoLocker
Lorsque les victimes découvrent un fichier chiffré, CryptoLocker exige un paiement pour obtenir les clés nécessaires au déchiffrement des données. Le logiciel malveillant indique également que si la rançon n’est pas payée dans les trois jours, les données de la victime seront supprimées sans aucune chance de récupération. D’ailleurs, de nombreuses victimes de CryptoLocker ont payé la rançon et n’ont jamais reçu les clés nécessaires pour déverrouiller leurs données. C’est pourquoi les autorités et les experts en cybersécurité affirment qu’il ne faut pas payer les demandes de ransomware.

Historique

Lors de son apparition en septembre 2013, CryptoLocker a causé d’importants dégâts affectant les systèmes et les données dans le monde entier. Inédit par son efficacité et ses demandes monétaires élevées, CryptoLocker est devenu tristement célèbre du jour au lendemain. Les acteurs à l’origine de cette nouvelle menace étaient le gang GameOver ZeuS, un gang de cybercriminels connu pour utiliser le cheval de Troie ZeuS pour voler des informations d’identification bancaires.

À cette époque, CryptoLocker est devenu l'une des formes de ransomware les plus efficaces et les plus malveillantes, emblématique dans cette étude de cas sur l'histoire des ransomwares. Cette technique a attiré l’attention des autorités en raison de sa capacité à chiffrer les données d’une victime à l’aide de méthodes de chiffrement renforcées, ce qui était du jamais vu pour un ransomware à l’époque. Les extorsions étaient également bien plus élevées que ce que les ransomware classiques exigeaient, atteignant des centaines, voire des milliers de dollars. Pour ne rien arranger, une partie de la stratégie de CryptoLocker consistait à menacer de supprimer les fichiers si la rançon n'était pas payée.

En l’espace de quelques mois, CryptoLocker a provoqué de graves perturbations dans les entreprises et les organismes gouvernementaux, et nombre d’entre eux ont été contraints de payer des rançons pour retrouver l’accès à leurs données. Ce n’est qu’en juin 2014 qu’une opération multinationale menée par les États-Unis a renversé le botnet GameOver ZeuS. Connue sous le nom d’opération Tovar, la répression internationale s’est déroulée simultanément dans plusieurs pays.

CryptoLocker a probablement été l'incident qui a mis les ransomwares sous les projecteurs, attirant ainsi l'attention des cybercriminels du monde entier.

CryptoLocker représente-t-il toujours une menace ?

Bien que l’opération Tovar ait neutralisé les attaquants responsables du premier ransomware CryptoLocker et considérablement réduit le nombre d’attaques, de nouvelles variantes sont apparues au cours des années suivantes. Les individus et les entreprises qui n’ont pas mis en place de mesures appropriées pour limiter ou compenser les attaques par ransomware restent vulnérables.

De nos jours, les descendants de CryptoLocker sont plus perturbateurs et destructeurs. Nombre d’entre elles s’appuient sur de nouvelles méthodes de distribution et techniques de chiffrement, ce qui rend de plus en plus difficile la détection et la prévention des attaques qui les utilisent. Dans de nombreux cas, les attaquants exigent des rançons bien plus élevées, accompagnées de menaces encore plus sévères. Locky, WannaCry et Petya sont quelques-unes des variantes les plus récentes.

Il est également courant que ces attaques exigent un paiement en Bitcoin et autres cryptomonnaies, ce qui était une autre initiative pionnière de CryptoLocker. L'essor des cryptomonnaies facilite les demandes et les paiements de rançons de manière anonyme, renforçant ainsi l'attrait des attaques par ransomware pour les cybercriminels.

Comment atténuer les impacts de CryptoLocker

Les ransomwares représentent une menace importante pour tout système accédant à des données stratégiques ou les y stockant. Sans sauvegardes sécurisées, les données sont continuellement exposées à des risques, car les ransomwares sont souvent difficiles à détecter avant qu’il ne soit trop tard. Il en va de même pour CryptoLocker, qui est difficile à détecter par la plupart des outils avant qu’il n’ait déjà chiffré les données.

Les entreprises peuvent atténuer la menace de CryptoLocker en s’assurant que tous les systèmes utilisent les systèmes d’exploitation les plus récents, même si cela ne les protège pas nécessairement des variantes plus récentes de CryptoLocker. Les entreprises ont besoin d’une approche multidimensionnelle qui comprend des stratégies englobant la sécurité du réseau, la gestion des comptes et la surveillance continue. Et surtout, ils ont besoin d’une stratégie de sauvegarde fiable et sécurisée en cas d’infection.

Détection

La première étape pour limiter les risques de CryptoLocker consiste à détecter les signes d’une attaque le plus tôt possible. Les individus surveillent les signes de menaces de ransomware tels que CryptoLocker :

  • Surveillance étroite du trafic réseau à la recherche de transferts suspects
  • Vérifier régulièrement les journaux du système pour détecter toute activité ou processus inhabituel
  • Utiliser des logiciels de sécurité pour détecter et bloquer les processus liés aux ransomwares

Dans le même temps, la plupart des attaquants tentent d’infecter leurs victimes avec des ransomware par le biais d’e-mails de phishing. Ainsi, un e-mail étrange ou suspect avec une pièce jointe peut indiquer une attaque. Pour cette raison, la vigilance dans la gestion des e-mails est la défense la plus fiable contre les ransomware.

Prévention

La première étape, et probablement la plus importante, pour atténuer les impacts de CryptoLocker est de veiller à ce que les systèmes soient toujours à jour avec les derniers correctifs, mises à jour et patches, y compris pour le système d’exploitation, les applications et les logiciels de sécurité. Les organisations doivent mettre l’accent sur des mesures préventives telles que :

  • Mettre en œuvre des contrôles d'accès stricts et des permissions utilisateur afin de limiter l'impact des vulnérabilités
  • Adopter des politiques de messagerie strictes et des systèmes de sécurité robustes pour bloquer les e-mails malveillants et filtrer les pièces jointes suspectes
  • Sensibiliser les employés à reconnaître et éviter les attaques de phishing courantes

Enfin, la manière la plus efficace de protéger vos données contre les pertes dues aux ransomwares est de mettre en place une stratégie de sauvegarde solide. Même les systèmes et réseaux hautement sécurisés peuvent être compromis par des attaques par ransomware. Dans ce sens, la seule véritable prévention consiste à éviter toute possibilité de perte de données.

Suppression

En cas d’attaque par CryptoLocker, il est important d’empêcher la propagation du ransomware en déconnectant complètement le système infecté des réseaux et des périphériques de stockage partagés. Une suppression rapide du logiciel malveillant est primordiale pour empêcher tout chiffrement ultérieur.

Les étapes pour supprimer CryptoLocker sont les suivantes :

  • Isoler les systèmes infectés pour empêcher la propagation du logiciel malveillant, ainsi que ceux potentiellement affectés.
  • Supprimer le logiciel malveillant du système en toute sécurité à l’aide d’outils de sécurité fiables
  • Effectuer des analyses approfondies des systèmes se trouvant dans la sphère d’impact
  • Restaurer les fichiers affectés à partir d’une sauvegarde sécurisée
  • Signalez l’incident à l’Internet Crime Complaint Center, ou IC3, une division du FBI

Détecter CryptoLocker à un stade précoce du processus de chiffrement permet de limiter les dommages causés aux données, et la suppression du logiciel malveillant lui-même est relativement facile. Mais il convient de noter qu'il est impossible de restaurer les fichiers qui ont été chiffrés avant la détection.

recovery

Il est extrêmement difficile de déchiffrer et de restaurer des fichiers infectés par CryptoLocker ou d’autres types de ransomware. Les victimes n’ont pas accès à la clé nécessaire pour déchiffrer les données. Étant donné que ce type de logiciel malveillant utilise des clés de chiffrement puissantes, il est presque impossible de briser le code. Dans certains cas, il est possible d'utiliser des outils développés par des entreprises de cybersécurité pour déchiffrer les fichiers. Ces outils exploitent les vulnérabilités de l’algorithme de chiffrement et fournissent des clés de déchiffrement que les victimes peuvent utiliser pour déchiffrer les données.

La seule méthode fiable pour se remettre entièrement d'une attaque de ransomware, quelle que soit la variante utilisée, est de disposer d'une sauvegarde sécurisée. En établissant une routine de sauvegarde sécurisée, il est possible de garantir une restauration complète et rapide en cas de scénario catastrophe.

La réponse de Veeam

Dès le premier jour, la solution la plus efficace contre les ransomwares est une stratégie de sauvegarde des données. C’est dans cette optique que les outils de sauvegarde et de restauration sécurisés de Veeam ont été conçus, afin d’aider les entreprises et les particuliers à protéger leurs données précieuses et stratégiques contre les menaces de ransomware de toutes sortes.

Grâce aux solutions puissantes et sécurisées de Veeam, les données sont toujours en sécurité, quelle que soit l’efficacité des attaques lancées dans le monde de la cybercriminalité. Les solutions Veeam offrent une protection complète grâce à des outils performants de sauvegarde et de chiffrement, couvrant de multiples plateformes, qu'elles soient sur site, hybrides ou dans le cloud, garantissant la sécurité et la disponibilité de vos données où qu'elles soient stockées.

Contenus associés

Rapport sur les tendances des ransomwares
Rapport sur les tendances des ransomwares
Principales raisons du succès des attaques par ransomware
Conseils pour administrer, tester et restaurer vos sauvegardes et vos réplicas