Le nombre de demandes de rançon ciblant les NAS et les périphériques de stockage de sauvegarde est en augmentation. Et les utilisateurs sont “non préparés” à la menace, affirment des chercheurs. Les ransomwares se présentent sous de nombreuses formes. La variante la plus populaire auprès des cybercriminels est utilisée dans les attaques contre les entreprises, les services critiques – y compris les hôpitaux et les services publics – et contre les particuliers.
Une fois déployé sur un système, le logiciel malveillant chiffre les fichiers ou les disques de stockage, émet une demande de rançon à sa victime et exige un paiement en échange d’un moyen de déchiffrer et de restaurer l’accès au contenu bloqué. Il n’y a aucune garantie que le paiement se traduira par un déchiffrement, mais beaucoup le feront plutôt que de perdre leurs fichiers – et dans les cas où des systèmes cruciaux ont été verrouillés, comme ceux des organismes gouvernementaux ou hôpitaux, il existe une pression supplémentaire pour effectuer rapidement un retour à la normale.
Le grand public rencontrera souvent des logiciels de rançon déployés dans le cadre de campagnes de phishing, de kits d’exploitation ou de logiciels compromis. Cependant, les chercheurs de Kaspersky affirment que les périphériques NAS (Network Attached Storage) sont désormais également menacés directement par les opérateurs de logiciels malveillants.
publicité
Attaque sur les NAS
Les systèmes NAS, disponibles et utilisés par les professionnels comme par le grand public, sont des dispositifs de stockage connectés à un réseau pour fournir une capacité de stockage centralisée, ainsi qu’à des fins de sauvegarde des données. Ces dispositifs peuvent être accessibles directement par le biais d’un réseau ou d’une interface Web. Le problème, explique Kaspersky, est que l’authentification des utilisateurs peut parfois être contournée en raison de l’intégration de logiciels vulnérables dans les systèmes NAS.
Les développeurs de ransomware s’en sont rendu compte, et bien qu’il y ait eu peu de preuves que les périphériques NAS soient ciblés en 2018, cette année, une gamme de nouvelles familles de ransomware ont émergé avec des capacités d’exploitation des NAS. Pour lancer une chaîne d’attaque, les pirates vont d’abord effectuer un scan d’une série d’adresses IP pour trouver les périphériques NAS accessibles via Internet. Des exploits de vulnérabilités non corrigées sont alors tentés, et en cas de succès, des chevaux de Troie seront déployés et le chiffrement des données de tous les périphériques connectés au disque NAS commence. Selon le rapport de Kaspersky sur l’évolution des menaces informatiques du troisième trimestre, la détection globale des attaques de ransomware – basée sur les données des clients – a baissé de 11 % en glissement annuel. Cependant, les nouvelles familles de ransomware sont passées de 5 195 à 13 138 au cours des 12 derniers mois. Une tendance qui, selon les chercheurs, “signale un intérêt cybercriminel pour ce type de malware comme moyen d’enrichissement”. Le rapport de Kaspersky indique également que le ransomware WannaCry reste la forme la plus populaire de ransomware auprès des cybercriminels, suivie par Phny et GandCrypt.
Des nouvelles de PureLocker
“Auparavant, le chiffrement des NAS par les ransomware n’était guère observable, et cette année seulement, nous avons déjà détecté un certain nombre de nouvelles familles de ransomware axés uniquement sur les NAS” a déclaré Fedor Sinitsyn, chercheur en sécurité chez Kaspersky. “Cette tendance est peu susceptible de s’estomper, car ce vecteur d’attaque s’avère très rentable pour les attaquants, en particulier parce que les utilisateurs n’y sont pas du tout préparés car ils considèrent cette technologie comme très fiable”.
En novembre, les chercheurs d’Intezer et d’IBM X-Force ont exploré PureLocker, une nouvelle forme de ransomware qui cible les serveurs d’entreprise. Le malware, écrit en PureBasic, est activement utilisé dans les attaques et est offert aux criminels en tant qu’outil personnalisable. Son prix est par ailleurs certainement très élevé.
Source : ZDNet.com
Comentarios