Le courrier électronique était autrefois la principale méthode de distribution des ransomwares. Maintenant, de nouvelles formes de ransomware l’utilisent à nouveau.
Les attaques de ransomwares par e-mail sont à nouveau en hausse, avec plusieurs nouvelles familles de ransomwares récemment distribuées via des messages de phishing.
Le courrier électronique a été le moyen le plus productif d’infecter les victimes avec des rançongiciels pendant un certain temps, mais ces dernières années, les attaquants ont réussi à utiliser des ports RDP externes, des serveurs publics non sécurisés et d’autres vulnérabilités de réseau d’entreprise pour crypter des réseaux entiers – ce qui nécessite souvent des centaines de milliers de dollars pour accéder à nouveau aux données.
Ces dernières semaines, cependant, les chercheurs de Proofpoint ont constaté une augmentation du nombre d’attaques de ransomwares distribuées par e-mail. Certains escrocs ont envoyé des centaines de milliers de messages chaque jour. Les attaques par e-mail utilisent une variété de leurres pour inciter les gens à les ouvrir, y compris les lignes d’objet liées au coronavirus.
L’une des plus grandes campagnes de messagerie électronique est celle d’un nouveau ransomware appelé Avaddon: en une semaine en juin, ce ransomware a été distribué dans plus d’un million de messages, ciblant principalement des organisations aux États-Unis. Avaddon utilise une technique assez basique comme leurre, avec des lignes de sujet prétendant se rapporter à une photo de la victime, attaquant la vanité ou l’insécurité potentielle de la victime. Si la pièce jointe est ouverte, elle télécharge Avaddon à l’aide de PowerShell.
Les ordinateurs infectés mettent une rançon qui nécessite 800 $ en bitcoins en échange d’un « logiciel spécial » pour décrypter le disque dur.
Les gens à la croisée des chemins
L’attaquant derrière Avaddon offre une assistance 24h / 24 et 7j / 7 pour garantir que les victimes disposent des outils nécessaires pour payer la rançon et avertit que si les utilisateurs tentent de récupérer leurs fichiers sans payer, ils risquent de les perdre pour toujours.
Une autre campagne de ransomware par e-mail, détaillée par des chercheurs, a été baptisée « Mr. Robot ». Il cible les entreprises de divertissement, de fabrication et de construction à travers les États-Unis. Les messages prétendument émanant du ministère de la Santé ou des Services de santé utilisent des sujets liés aux résultats du test Covid-19 dans le but d’encourager les victimes à cliquer sur un lien pour afficher un document.
Si la victime clique dessus, un ransomware est installé et les attaquants ont besoin de 100 $ pour récupérer les fichiers. C’est une petite quantité par rapport à de nombreuses campagnes de rançongiciels, ce qui suggère que ce malware cible les utilisateurs à domicile plutôt que les entreprises.
Mais non seulement les organisations en Amérique du Nord sont confrontées à un nombre croissant d’attaques par ransomware de messagerie: elles visent également l’Europe.
Les chercheurs notent que le ransomware de Philadelphie – qui revient après une aberration de trois ans – est destiné aux entreprises alimentaires et de fabrication allemandes avec des leurres de langue allemande qui prétendent provenir du gouvernement allemand.
Les e-mails prétendent contenir des informations sur la fermeture éventuelle de l’entreprise en raison de la pandémie de Covid-19 et exhortent la victime à cliquer sur un lien: s’ils le font, le rançongiciel Philadelphie est installé, avec une note en anglais exigeant le paiement de 200 $.
Alors que le nombre d’attaques par ransomware par courrier électronique est encore faible par rapport à 2016 et 2017, lorsque Locky, Cerber et GlobeImposter étaient massivement distribués, le récent pic des attaques par courrier électronique montre à quel point les cybercriminels peuvent être flexibles.
«Il est raisonnable de dire que les attaques de ransomwares basées sur les e-mails sont laissées dans l’esprit des acteurs malveillants. Ils ont tendance à être flexibles et agiles dans leur travail », a déclaré Sherrod DeGrippo, directeur principal de la recherche et de l’enregistrement des menaces chez Proofpoint.
«Ils veulent se concentrer sur ce qui donne le plus de gain financier et changer de tactique pour obtenir les meilleurs résultats. Cela peut être un simple test d’eau pour voir quels taux de réussite sont disponibles avec cette méthode », a-t-elle ajouté.
L’une des raisons pour lesquelles certains attaquants ont pu revenir au courrier électronique est le nombre de personnes travaillant à distance et la dépendance à l’égard du courrier électronique qu’il implique. « Le courrier électronique permet aux acteurs malveillants de s’appuyer sur le comportement humain pour réussir en un seul clic », a déclaré DeGrippo.
Dans de nombreux cas, il est possible de se défendre contre les ransomwares – et autres attaques de logiciels malveillants – en s’assurant que les réseaux sont corrigés avec les dernières mises à jour de sécurité, empêchant les attaquants d’exploiter les vulnérabilités logicielles connues.
Cependant, les entreprises doivent également prévoir de tenir compte du fait qu’à un moment donné, quelqu’un cliquera par erreur sur un lien malveillant dans un e-mail de phishing.
« Les entreprises doivent supposer que quelqu’un de leur organisation cliquera et développera toujours une stratégie de sécurité qui protège d’abord les gens », a déclaré DeGrippo.
« Les entreprises doivent veiller à évaluer la vulnérabilité des utilisateurs finaux et à tirer des enseignements des menaces actuelles en leur fournissant des compétences utiles pour se protéger au travail et dans leur vie personnelle. »