1. Contexte

La fin d’année 2018 ainsi que le début d’année 2019 sont marqués par une recrudescence inédite des attaques de type rançongiciel. Il s’agit aussi bien de rançongiciels connus depuis plusieurs années que de nouveaux, tel qu’Anatova et LockerGoga par exemple. Au niveau mondial, des infections par ce type de code ont lieu plusieurs fois par jour. La majorité des victimes se situent principalement aux Etats-Unis et en Europe. La France a notamment été récemment ciblée par les rançongiciels Shade et Anatova.

Cette profusion d’attaques est facilitée par la vente sur Internet de rancongiciels "prêts-à-l'emploi" (Ransomware-as-a-Service, RaaS), comme GandCrab, Ryuk, SamSam, Dharma, etc. Les capacités de distribution et de compromission associées à ces outils malveillants sont nombreuses. Par exemple, GandCrab permet aussi bien d'exploiter des accès RDP faiblement sécurisés que d'utiliser des courriels d’hameçonnage, des programmes légitimes compromis et des scripts PowerShell. Il permet également l'utilisation du botnet Phorpiex.

2. Fonctionnalités

Les rançongiciels actuels présentent également des capacités avancées leur permettant de :

• s'exécuter avec des privilèges de compte administrateur (SamSam) ;
• d'utiliser des certificats d'authentification signés par une autorité de certification (c'est le cas de LockerGoga par exemple) ;
• de contourner des solutions antivirales (notamment SamSam et Ryuk).

Par ailleurs, le choix des cibles est de plus en plus réfléchi. Contrairement aux vagues d'attaques massives et non ciblées constatées il y a plusieurs années, les attaques par rançongiciels actuelles sont plus souvent ciblées. Par exemple, SamSam et Ryuk ciblent des entreprises estimées très rentables, appartenant à des secteurs d'activités variés, ainsi que des entités publiques à même de payer un montant conséquent en guise de rançon. Les rançons demandées sont de ce fait plus importantes qu'avant, oscillant entre 50 000 et 170 000 dollars (payable en cryptomonnaie). Enfin, les attaquants compromettent parfois en amont le réseau des victimes afin d’établir une reconnaissance et de lancer, dans un second temps, le rançongiciel manuellement.

Extrait du bulletin d'alerte CERTFR-2019-ALE-003 publié par le CERT-FR en date du 04/02/2019 (dernière version)