top of page
Veille technologique : Ransomware

1-Définition de la veille et d'un ransomware :

Principe de la veille :

Selon l’AFNOR, la veille est une « Activité continue et en grande partie itérative visant à une surveillance active de l’environnement technologique, commercial, etc., pour anticiper les évolutions » (norme XP X 50-053, avril 1998).

Définition d'un ransomware :

Le ransomware (aussi appelé rançongiciel ou cryptolocker) est une variante de malware particulièrement populaire depuis 2010 : le principe est d'utiliser un virus qui va chiffrer les fichiers de l’utilisateur contre son gré, puis d’exiger le paiement d’une rançon contre la clé de chiffrement utilisée par le ransomware.

2-Méthodes de veilles :

2 méthodes de veilles peuvent etre distinguer, la première est la méthode "Push" tandis que l'autre se nomme "Pull". 

Méthode dite "Push" :

Cette méthode va propulser les informations au veilleur via par exemple des flux RSS, des alertes google ou des outils spécialisées.

Méthode "Pull"

Le veilleur va chercher les informations lui même via des sites de presse pour exemple.

3- Outils de veille

De nombreux outils de veilles sont disponibles, prenant des formes différentes. On détaillera ci-dessous quels outils ont été utilisé lors de mon processus de veille sur le sujet des Ransomwares.

3.1-Créer une adresse électronique

Celle-ci sera dédié à toutes à tous les outils de veilles afin de ne pas polluer mes autres adresses personnelles.

Selon l'ANSSI le mot de passe doit suivre les indications suivantes :

​

  • Utilisez un mot de passe unique pour chaque service. En particulier, l’utilisation d’un même mot de passe entre sa messagerie professionnelle et sa messagerie personnelle est impérativement à proscrire ;

  • Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.) ;

  • Ne demandez jamais à un tiers de générer pour vous un mot de passe ;

  • Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent ;

  • Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ;

  • Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier facilement accessible ;

  • Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;

  • Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.

3.2-Regrouper les flux via Feedly

Feedly est un agrégateur de flux RSS au même titre que Netvibes. Son utilisation est globalement plus simple et moins fouillis et la présence d'une application sur mobile est bienvenue.

Feedly permet d'organiser dans un "Feed" les informations provenant de sites via les flux RSS, des mots clés via Google Alert, des feed twitters par Hashtags listes ou autres, des communautés ou son propre compte Reddit ainsi que des Newsletters.

Point noir cependant les sources Twitter, Google Alertes ainsi que les Newsletters ne sont inclus que dans la version "Pro+" de Feedly. Contrariant de ne pas pouvoir tout centralisé au même endroit mais je ferais sans.

​

​

2021-04-21 15_07_17-https___feedly.com_i

A-Ajouter les flux RSS

Au fur et à mesures de mes recherches, des sites traitant la cybersécurité sont rajoutées à mon feed.

Ceux-ci peuvent être ajoutées via url ou mots clé via la recherche de Feedly.

Des "Bundles" sont même disponibles et permettent de suivre automatiquement une sélection des meilleurs sites de News traitant la cybersécurité.

Suivre RSS Hacker News.png

B-Google Alerts

Ajouter des alertes Google est assez simple , il suffit d'ajouter un mot clé tel que "Ransomware" puis "Créer l'alerte. On peut affiner les notifications par langues et par sites. 

Les notifications sont envoyées sont mon adresse mail de veille.

Google alerte.png

C- Twitter

Sur mon compte Twitter, je me suis donc affairé à suivres des personnes influentes ainsi que des feed traitant la cybersécurité.

Simplement ouvrir l'application le matin ou lors de mon temps libre me permet de me mettre à jour sur les dernières vulnérabilités.

Twitter.png

C- Reddit

Reddit étant extrèmement populaire et actif, il est normal de suivre certaines communautés.

Entre autre le subreddit r/piracy et surtout r/cybersecurity sont une sources abondantes d'informations.

​

reddit cybersécurité.png

D- CERT-FR. Centre Gouvernemental de veille, d'alerte et de réponse aux attaques informatiques.

Le site CERT-FR est un site gouvernemental proposant des rapports et alerte en temps réel sur des failles de sécurité , des menaces ou des incidents dont connus.

Les informations sont classifiés de la manière suivante :

ALERTES DE SECURITE

MENANCES ET INCIDENTS

AVIS DE SECURITE

INDICATEURS DE COMPROMISSION

DURCISSEMENT ET RECOMMANDATION

​

Enfin un bulletin d'activité publié toutes les semaines est disponibles.

CERT-FR.png

En addition un flux RSS est aussi disponible et est donc rajouté à mon Feedly.

Enfin un flux est disponible pour chaques catégories.

Flux RSS CERT-FR.png
4-Les ransomwares les plus actifs en France

Chaques années le site CERT-FR produit un rapport récapitulant les menaces informatiques sur le territoires francais.

Vous pouvez trouvez celui édité pour 2021 ci-dessous :

On peut y apprendre que les ransomware les plus actifs sont :

-DoppelPaymer ; Egregor ; Netwalker ; Ryuk ; Sodinokibi ; WastedLocker

​

La menace des rançongiciel est continuellement en augmentation depuis 2018 et représente la menace la plus sérieuse pour les institutions comme pour les entreprises.

En effet le rapport fait état de 54 incidents signalées à l'ANSSI en 2019 tandis qu'en 2020 les incidents signalés ont atteint un chiffre de 192.

Les tendances actuelles
5-Organisation des groupes
"Big Game Hunting"

Les organisations derrières les Ransomwares ayant de plus en plus de moyens, ceux-ci commencent à favoriser les grandes institutions et entreprises et se caractérise par une préparation en amont.

"Ransomware as a service"

Il s'agit d'un modèle économique se développant autour des Ransomwares. Tel que le Sofrware-as-a-Service, les groupes propose leurs malwares sous forme d'abonnement avec même un soutien des acheteurs dans leurs actes tel un service client en les aidant à maintenir en opération et tout cela sous forme "prête à l'emploi".

​

Quasiment tous les rançongiciels signalés en 2020 fonctionnement sous ce principe.

6-Les vecteurs d'infections

Les vecteurs d'infections autrefois limités se sont multiplié. Nous allons voir ci-dessous lesquels sont utilisés. 

6.1-Courriels d'hameçonnage

Un grand nombre de rançongiciels sont distribuées par mail parmi lesquels Egregor, RagnarLocker ou encore Ranzy pour les plus récents.

6.2-Point d'eau

Correspond à la compromission d'un site internet à la base légitime vers lequel est dirigée l'utilisateur. Celui-ci peut être par exemple une fausse mise à jours apparaissant sur le navigateur et faisant télécharger le ransomware.

6.3-Accès RDP (Session à distances) mal sécurisés

Moyens particulièrement apréciés des pirates, les ransomware déployés par ce moyen sont pour exemple DoppelPaymer,Egregor et RagnarLocker.

6.4-Exploitation des vulnérabilités

Les vulnérabilités des serveurs (Ex : serveurs Citrix non mis à jours exploités par RagnarLocker), logiciels VPN ( Ex : exploité par le ransomware LockBit ) ainsi que des logiciels de monitoring (RMM) ( Ex : ransomware Sodikonibi XEFI) peuvent être utilisés comme vecteurs d'infections.

6.5- Supply-Chain attacks 

Moins fréquentes mais la menace existe bien. Il est fait mention du Ransomware Sodinokibi qui a compromis un prestataire en service informatique et son client qui ont finalement compromis 22 villes au Texas.

7-Les victimes

Globalement tous les secteurs sont touchés tant qu'ils peuvent payer la rancon demandé par les pirates. On y trouve :

​

- Les collectivités locales dont certaines récemment touché par des attaques de ransomwares tel que la ville de Vincennes qui en est la dernière victime.

​

-Le secteur de la santé avec le CHU de Rouen le 20 Novembre 2020 qui a subi une attaque. L'évènement n'a pas empêcher le soin des patients mais des documents nécessaires à l'activité de certains services ont été chiffré par le ransomware.

​

-Le secteur de l'éducation qui aux Etats-Unis est le second le plus taché par des attaques de Ransomware après les collectivités territoriales.  Le ransomware Netwalker a récemment ciblé plusieurs Etats d'Amérique dont la Californie, le Michigan ainsi que le Columbia College of Chicago.

​

-Les entreprise de services numériques (ESN) commencent à être particulièrement convoitées par les pirates, avec pour finalité les clients de ces ESN ou elles mêmes. Par exemple l'entreprise XEFI a été victime du ransomware Sodinokibi qui s'est propagé sur les réseaux de ses clients via un outil de supervision.

Cette veille technologique m'a permis de mieux apréhender le dangers que sont les ransomwares qui meme s'ils sont maintenant bien connu présentent certaines subtilités qu'il est important de connaitre pour ne pas mettre en danger son entreprise.

CONTACTEZ-MOI

41B AVENUE EDMOND MICHELET

farid.boumejlad@gmail.com

0632183099

Merci pour votre envoi !

©2021 par David Boumejlad. 

bottom of page