Une attaque par ransomware suit en général trois étapes : infection, chiffrement et demande de rançon.
Infection
L’infection de l’appareil de la victime a généralement lieu par le biais d’attaques de point d’eau ou par hameçonnage. Un email peut contenir un lien vers un site web qui héberge le malware ou inclure une pièce jointe ayant une fonction de téléchargement. Le téléchargement et l’exécution du ransomware sur l’appareil a lieu lorsque l’on clique sur le lien figurant dans l’email ou en ouvrant la pièce jointe.
Une fois que l’infection initiale a eu lieu, le ransomware peut essayer de se diffuser sur un réseau en ciblant d’autres appareils, serveurs ou disques connectés.
D’autres techniques incluent le « malvertising », qui consiste à utiliser de fausses publicités sur lesquelles un utilisateur va cliquer, et donnera ainsi au malware accès à son système. Mêmes les sites les plus fiables, comme celui de The New York Times, peuvent par inadvertance héberger des attaques de malvertising.
Chiffrement
Le chiffrement des fichiers de l’utilisateur est l’étape suivante. Après avoir pu accéder à l’appareil, le ransomware installe un fichier malveillant binaire, à savoir un code exécutable qui contient des instructions que le programme du malware malveillant doit exécuter sur l’appareil de la victime.
Le ransomware utilise un chiffrement asymétrique, c’est-à-dire une méthode de chiffrement qui utilise deux clés, l’une publique et l’autre privée, pour chiffrer et déchiffrer un fichier. La clé privée servant à déchiffrer le fichier est stockée sur le serveur de l’attaquant même et n’est remise à la victime qu’une fois que l’attaque l’a débloquée.
La plupart des variants des ransomwares font une sélection de fichiers à chiffrer pour conserver la stabilité du système. Certains pourraient également effacer les copies de sauvegarde des fichiers sélectionnés pour qu’il soit encore plus difficile de les récupérer sans avoir accès à la clé privée.
Demande de rançon
L’étape suivante est la demande même de rançon. Cela prend souvent forme d’un fond d’écran modifié pour ressembler à une demande rançon. La demande la plus courante est que la victime transfère une somme en cryptomonnaie en échange de laquelle elle pourra de nouveau accéder à ses fichiers.
Si la rançon est payée, l’attaquant donne parfois la clé privée utilisée pour protéger la clé de chiffrement symétrique ou une copie de cette clé de chiffrement symétrique. L’attaquant fournit un programme de déchiffrement dans lequel la victime doit saisir ces informations pour restaurer l’accès à leurs données. Toutefois, étant donné que le rançonneur a le pouvoir entre ses mains dans toutes les situations où les victimes n’ont pas pris de mesure de protection pour restaurer les données dans la clé de déchiffrement, certains attaquants ne fournissent pas la clé y compris après le paiement de la rançon. Dans d’autres cas, les attaquants vendent les données qu’ils ont extrait avant de chiffrer la base de données sur le dark web pour obtenir un paiement complémentaire lié à l’attaque initiale. Selon le type de données ayant été volées, cela peut être pire pour les victimes.
L’argent demandé par les attaquants augmente rapidement, ce qui rend cette attaque encore plus lucrative pour les attaquants. De récentes recherches menées par le groupe de consultation sur la sécurité Unit 42 suggère que le nombre moyen de demandes de rançons a augmenté de 518 % et le nombre de versements de 82 % pendant le premier semestre 2021.