Façons courantes dont les ransomwares peuvent infecter votre organisation

Les tendances récentes indiquent que le risque de perdre l’accès à vos données, appareils et services est exacerbé par les acteurs malveillants qui exfiltrent les données et menacent de les publier sur des sites Web publics si les victimes ne paient pas.

La sensibilisation accrue du public aux ransomwares a incité certaines entreprises (du moins certaines) à investir dans la sauvegarde et la récupération. Cependant, ces méthodes deviennent inefficaces lorsque les criminels sont en possession des informations les plus sensibles de vos clients et de votre entreprise.

Après l'infection, un ransomware peut se propager à d'autres ordinateurs ou crypter des fichiers partagés sur le réseau d'une entreprise. Dans certains cas, il peut se propager au-delà des frontières organisationnelles pour attaquer les chaînes d'approvisionnement, les clients et d'autres entreprises, et certaines campagnes de malwares ont expressément ciblé les fournisseurs de services gérés. La véritable solution aux ransomwares est la prévention, et non le traitement. Comment ce logiciel destructeur s'infiltre-t-il souvent dans les appareils ?

Violations dues au phishing et à l'ingénierie sociale

Les e-mails de phishing restent la technique la plus utilisée par les pirates informatiques pour infecter un terminal avec un ransomware. Les e-mails sont de plus en plus souvent rédigés à l'aide d'informations ciblées, personnalisées et détaillées pour gagner la confiance des victimes potentielles et les inciter à ouvrir des pièces jointes ou à cliquer sur des liens pour télécharger des fichiers PDF et autres documents malveillants.

Ces fichiers peuvent sembler identiques à des fichiers normaux et les pirates peuvent exploiter un paramètre de configuration de Windows qui masque l'extension réelle du fichier. Par exemple, une pièce jointe peut sembler s'appeler « filename.pdf », mais la divulgation de son extension complète, « filename.pdf.exe », révèle qu'il s'agit d'un fichier exécutable.

Les fichiers peuvent être dans des formats conventionnels tels que des pièces jointes Microsoft Office, des fichiers PDF ou JavaScript. Cliquer sur ces fichiers ou autoriser les macros permet d'exécuter le fichier, ce qui déclenche le processus de chiffrement sur l'ordinateur de la victime.

Infection via des sites Web vulnérables

Toutes les attaques de ransomware ne doivent pas nécessairement être envoyées par courrier électronique malveillant. Les sites Web compromis permettent d’introduire facilement du code dangereux. Il suffit qu’une victime imprudente visite le site, éventuellement un site qu’elle fréquente souvent. Le site Web piraté redirige ensuite vers une page demandant à l’utilisateur de télécharger une version mise à jour du logiciel, comme un navigateur Web, un plug-in ou un lecteur multimédia. Ce type de redirection est très difficile à détecter pour les personnes qui n’inspectent pas le code source de chaque site Web qu’elles visitent.

Publicité malveillante et exploitation du navigateur

Si le navigateur d'un utilisateur présente une vulnérabilité non corrigée, une attaque de malvertising est possible. En utilisant des publicités populaires sur des sites Web, les attaquants peuvent introduire un code malveillant qui télécharge un ransomware lors de l'affichage de la publicité. Bien qu'il s'agisse d'une méthode d'infection par ransomware moins répandue, elle n'en est pas moins dangereuse car elle ne nécessite pas que la victime effectue des actions manifestes, telles que le téléchargement d'un fichier ou l'activation de macros.

Kits d'exploitation fournissant des logiciels malveillants sur mesure

Angler, Neutrino et Nuclear ont exploité des kits largement utilisés dans les attaques de ransomware. Ces frameworks sont une forme de boîte à outils malveillante comprenant des exploits pré-écrits qui ciblent les vulnérabilités des plugins de navigateur tels qu'Adobe Flash et Java. Microsoft Internet Explorer et Microsoft Silverlight sont d'autres applications souvent ciblées. Les ransomwares Locky et CryptoWall ont été distribués à l'aide de kits d'exploitation sur des sites Web piégés et des campagnes de malvertising.

Téléchargements de fichiers et d'applications infectés

Tout fichier ou programme téléchargeable peut être utilisé pour diffuser des ransomwares. Les logiciels piratés sur des sites de partage de fichiers illicites sont très susceptibles d'être compromis, et ces logiciels sont souvent infectés par des logiciels malveillants. Les cas récents de MBRLocker, par exemple, ont suivi cette voie. Il est également possible que des pirates utilisent des sites Web réputés pour distribuer des exécutables corrompus.

Une fois que la victime a téléchargé le fichier ou le programme, le ransomware est automatiquement injecté.

Téléchargez le livre blanc de Sintinels One pour en savoir plus sur les façons courantes par lesquelles les ransomwares peuvent infecter votre organisation uniquement sur Whitepapers Online.