web-dev-qa-db-fra.com

Pourquoi les attaques avec rançon réussissent-elles?

Je viens de lire que les attaques de "rançon" sont en augmentation - où l'attaquant utilise une vulnérabilité pour lui permettre de crypter des fichiers et de demander de l'argent pour la clé.

Pourquoi est-ce différent d'une panne de disque, où la solution est "obtenir la sauvegarde"?

48
GreenAsJade

Quelques personnes mentionnent les sauvegardes comme un correctif pour les ransomwares. Le ransomware fonctionne car la cible n'est pas préparée pour le résultat. Bien qu'un disque dur défectueux et un cryptage de ransomware puissent tous deux être "récupérés" via la restauration d'une sauvegarde sur un nouveau lecteur, le ransomware est parfois un malware qui s'exécute sur la machine elle-même. Dans tous les cas, la restauration à partir d'une sauvegarde externe ne supprimera pas le problème qui permettait aux attaquants d'accéder au système en premier lieu. Cela nécessite des contre-mesures telles que:

  1. autorisations de sécurité élevées sur un système pour empêcher les chevaux de Troie
  2. stratégies de sauvegarde à distance pour empêcher le chiffrement des sauvegardes connectées
  3. détection d'infiltration en cas de quelque chose comme un ver
  4. des mots de passe renforcés pour éviter les intrusions

Malheureusement, la plupart des utilisateurs d'ordinateurs n'ont pas mis en place ces contre-mesures.

Pour récupérer à partir d'un disque défectueux, effectuez simplement des sauvegardes sur un disque externe. En cas de panne d'unité, remplacez le disque et restaurez les volumes. Facile.

Pour récupérer à partir d'un ransomware, il faut du temps, des temps d'arrêt et une enquête pour déterminer si la machine a été compromise en raison de:

  1. un compte d'utilisateur fonctionnant avec des autorisations trop élevées pour les besoins de l'utilisateur (utilisateur de bureau en tant qu'administrateur)
  2. une infection sur une autre machine ou appareil qui a permis à un utilisateur de pivoter vers le système permettant l'infection (contrôleur de domaine infecté)
  3. un manque de sensibilisation à l'égard de quelque chose comme une tentative de phishing dans un e-mail où l'utilisateur a cliqué sur quelque chose qu'il n'avait pas l'intention de faire (avec # 1)
  4. mots de passe très simples (si l'attaque était sur place)
  5. autorisations d'accès à distance sur une machine avec un logiciel d'accès à distance comme LogMeIn ou Windows Remote Desktop
  6. un réseau sans pare-feu
  7. d'autres systèmes compromis comme les appareils IoT

Si le coût d'une enquête est cher, il peut être moins cher de payer la rançon.

Remarque: le système/réseau doit encore être sécurisé avant et après une enquête, sinon la même attaque peut se reproduire.

Dans certains cas, en activant le chiffrement sur un volume avec BitLocker où le volume n'était pas déjà chiffré, l'attaquant peut empêcher l'accès à l'intégralité du volume en bloquant l'utilisateur hors de son propre système. Dans ce cas, c'est une fonctionnalité Windows. Il n'y aurait aucune preuve de quoi que ce soit "installé" sur le système, mais il y aurait plutôt la preuve d'une intrusion si le système était configuré de telle manière que l'utilisateur le compte pourrait être compromis à distance ou en personne avec l'insertion d'un appareil infecté.

En cas de défaillance du disque

Lorsqu'un disque tombe en panne, il vous suffit de remplacer le périphérique car il s'agissait d'une défaillance physique. Si plusieurs disques échouent, il y a un problème avec le contrôleur. Vous pouvez seulement dire si un disque est tombé en panne en le testant sur une autre machine si un nouveau disque présente les mêmes symptômes, ou si vous testez un nouveau disque sur la machine en panne et que cela fonctionne, alors vous savez que le contrôleur est correct. Dans des situations comme un RAID où plusieurs disques fonctionnent ensemble, un disque défaillant peut retirer d'autres disques, il existe donc un risque de défaillance systémique sur plusieurs périphériques. Pensez aux secteurs défectueux et à la corruption de fichiers sur un seul disque en miroir sur plusieurs copies sur un RAID. La panne de disque est généralement limitée à une seule machine, à l'exception des réseaux où les terminaux (clients légers) se connectent tous à un système central. Le remplacement d'un disque défectueux résout généralement le problème. Statistiquement, il est peu probable que vous rencontriez le même problème, sauf si le disque de remplacement a été acheté en même temps et faisait partie de la même exécution du fournisseur, auquel cas il pourrait s'agir d'un défaut du fabricant d'une ligne de composants.

Ce n'est pas toujours une seule machine avec Ransomware

Certains ransomwares peuvent en fait chiffrer plusieurs machines sur un réseau. J'ai un client dont le serveur a été infecté et a permis au virus de se propager à plusieurs machines sur le réseau, puis le serveur et les postes de travail ont tous été verrouillés. Dans les cas où le serveur n'est peut-être pas infecté, mais agit en tant qu'hôte, cela peut provoquer des infections récurrentes sur les postes de travail qui se connectent aux fichiers infectés. Quoi qu'il en soit, le problème doit être résolu de manière systémique pour arrêter l'infection.

Si un disque dur d'un poste de travail meurt, il ne reproduit pas l'échec sur un réseau. Comparer les ransomwares et les pannes de disque dur, c'est comme comparer le cancer à un membre cassé; ils sont tous les deux débilitants.

41
AbsoluteƵERØ

La plupart des gens n'ont pas de sauvegardes. La plupart des gens qui ont des sauvegardes ne les ont pas testés pour s'assurer qu'ils fonctionnent.

La vraie différence entre une panne de disque et un rançongiciel est que payer la rançon est moins cher que de payer une entreprise de récupération de données et est plus susceptible de récupérer vos données.

71
Mark
  • Il est possible de sauvegarder des données chiffrées avec le ransomware
  • La plupart des gens ne sauvegardent pas sur le cloud en premier lieu
  • Si vous sauvegardez régulièrement votre disque dur, vous n'avez pas à vous soucier de sauvegarder automatiquement votre disque dur mort
  • Avec le cryptage, il n'y aurait aucun moyen de récupérer mes données sans payer la rançon (ce qui n'est pas garanti de fonctionner).
  • Si le lecteur meurt, il est toujours possible que certains d'entre eux puissent être récupérés.

Dans l'ensemble, la défaillance du disque dur risque de ne pas être aussi dommageable avec les précautions et les services de récupération, tandis que les ransomwares sont conçus pour être intentionnellement beaucoup plus dommageables.

9
user72066

Pour que les sauvegardes soient utiles, vous devez les faire régulièrement. Si vous travaillez sur votre ordinateur et que votre dernière sauvegarde a eu lieu il y a une semaine, ces fichiers créés en une semaine peuvent déjà valoir 50-100 $/€ quoi que demande l'attaquant. Et s'il s'agit de photos non sauvegardées, la plupart sont encore plus disposées à payer. Cela rend ce type d'attaque très rentable.

La plupart des gens n'ont aucune idée des ordinateurs. Ce sont simplement des utilisateurs simples, avec peu de connaissances sur ce qu'il faut éviter ou ce qui pourrait mal tourner. Après tout, dans la plupart des cas, lorsque vous avez un virus ou un rootkit, vous connaissez quelqu'un qui peut vous aider, enregistrer vos fichiers, formater votre ordinateur et réinstaller Windows pour vous. Cela signifie que pour ces utilisateurs, l'attaque vient de nulle part et ils ne sont tout simplement pas préparés.

Et les gens sont aussi paresseux. Même s'ils savaient que les sauvegardes sont utiles, la plupart seraient trop paresseux pour connecter périodiquement leur ordinateur à un disque externe. Et la plupart ne sauraient pas vraiment comment le faire, à part tirer tous les fichiers qu'ils aiment manuellement sur le lecteur. Dans ce cas, ils pourraient facilement en manquer ou copier autant de fichiers que le processus devient fastidieux au fil du temps.

De plus, si vos sauvegardes sont connectées à votre réseau/ordinateur, elles peuvent également être vulnérables, car vous vous attendez à une défaillance du disque, mais vous pensez que votre réseau/ordinateur est généralement à l'abri de la plupart des exploits ou que les utilisateurs ont été informés de ce qu'il fallait éviter.

9
HopefullyHelpful

Avec les ransomwares, il y a un fort élément psychologique - un sentiment de violation.

Si votre disque dur meurt et que vous n'avez pas de sauvegarde, eh bien c'est quelque chose qui vient de se passer, comme un tremblement de terre.

Le ransomware, c'est comme si quelqu'un est entré par effraction dans votre maison, quelqu'un vous a fait quelque chose. De plus, un disque dur meurt et vous n'avez aucune sauvegarde, vous avez terminé. S'il s'agit d'un rançongiciel, l'utilisateur doit maintenant décider: dois-je payer? Si je paie, est-ce qu'ils me donneront mes données?

Si un disque dur meurt, quelle est la probabilité qu'un autre disque tombe en panne? Si quelqu'un était assez stupide pour télécharger le ransomware, il se peut qu'il ne sache pas ce qu'il a fait et aura peur que cela se reproduise. Dans de nombreux cas, l'utilisateur a probablement téléchargé quelque chose, mais de nombreux utilisateurs penseront qu'ils ont été "piratés" et étaient des cibles.


Par succès, vous voulez dire pourquoi les gens paient au lieu d'utiliser des sauvegardes? Quelques possibilités:

  • Ils n'ont pas de sauvegardes
  • Ils ont des sauvegardes, mais ils étaient également verrouillés ou ciblés (par exemple, ils ont des sauvegardes, mais leur concept de sauvegarde les a placés dans un autre dossier sur le disque dur principal)
  • Ils ont quelque chose comme Carbonite ou Mozy comme sauvegardes, ont leur mot de passe dans un .txt fichier et ne pourra jamais récupérer le mot de passe car il est verrouillé de son ordinateur

  • Quelqu'un d'autre a configuré leurs sauvegardes et ils ne savent pas comment le faire, et ne veulent pas admettre qu'ils ont téléchargé quelque chose et ont été attaqués par leur ami informatique

  • Cela pourrait se reproduire, "peut-être que si je paie, ils me laisseront tranquille"
  • La récupération à partir des sauvegardes semble difficile ou ils craignent que la dernière sauvegarde n'ait pas le fichier le plus important, peut-être que leur temps vaut plus que le coût de la rançon

Un disque dur mort est un échec, un ransomware est une attaque. Ils entraînent tous deux une perte de disponibilité des données si aucune action n'est entreprise, cependant, le ransomware implique également que d'autres attaques ou violations peuvent être possibles - pourquoi l'attaquant ne devrait-il pas déverrouiller vos données, puis les re-verrouiller encore et encore ou également vous ajouter à un botnet? Le ransomware peut ne pas être une épreuve unique et terminée.

6
Eric G

Si des sauvegardes sont effectuées et que ces sauvegardes ne sont pas accessibles par le ransomware, il suffit alors d'obtenir la sauvegarde (après bien sûr, supprimer complètement le logiciel ransomware de l'ordinateur infecté).

Si le support de sauvegarde est toujours connecté (par exemple, partage réseau monté, disque dur USB, etc.), il est possible que le ransomware crypte également les sauvegardes.

6
n1000

"Pourquoi est-ce différent d'une panne de disque"

Un point n'a pas encore été soulevé: ce n'est pas vraiment différent du tout. Les personnes qui paient pour un ransomware de type chiffrement paieraient également 500 $ pour que leur disque dur soit instantanément restauré après une panne de disque. *

Les sauvegardes sont très rares sur les ordinateurs personnels des particuliers. Acheter un NAS et apprendre sur les réseaux et comment faire des sauvegardes automatisées n'est ni bon marché ni simple pour un utilisateur d'ordinateur moyen. L'achat d'un disque dur externe et sa connexion occasionnelle sont bon marché et simples, mais trop encombrants donc la dernière sauvegarde aura quelques mois. Et cela n'aide pas que si vous utilisez Windows, la méthode intégrée pour effectuer des sauvegardes change tous les 3 ans. Les sauvegardes ont également le problème d'être sur des partages réseau accessibles au public, ce qui signifie que le ransomware pourrait également décider de les crypter.

N'oublions pas non plus d'installer Windows à partir de zéro, sans avoir de disque. Je suppose que moins de 25% des utilisateurs sont à l'aise de le faire - même s'il y a une sauvegarde, ils devraient se rendre dans un atelier de réparation pour réparer le PC, réinstaller Windows et installer la sauvegarde. L'atelier de réparation coûte également de l'argent et signifie que le PC ne sera pas disponible pendant une semaine.

* Un cas particulier est celui des personnes qui ont honte d'avoir attrapé un virus en faisant, je ne sais pas quoi, qui veulent que le problème disparaisse sans que personne d'autre ne le remarque. Ils paieront la rançon pour éviter l'humiliation.

6
Peter

Les autres réponses soulèvent toutes d'excellents points sur la disponibilité des sauvegardes et la viabilité des ransomwares en tant que méthode d'attaque. Cependant, je ne pense pas que quiconque ait particulièrement comparé le cas spécifique de rançongiciel par rapport à une défaillance de disque du point de vue attaquant.

Si je devais attaquer le système informatique de quelqu'un et que j'avais le choix de ces deux résultats avec une probabilité de succès à peu près égale, il semble tout à fait évident de choisir celui qui me procurerait potentiellement un profit monétaire en cas de succès.

2
Aiken

Les attaques de rançon peuvent faire plus que verrouiller des fichiers.

J'ai déjà été victime d'une attaque qui ne m'a pas permis de démarrer l'ordinateur sans voir un écran qui disait quelque chose sur le ton de:

La police a détecté que cet ordinateur faisait toutes sortes de mauvaises choses et une amende doit être payée pour résoudre les accusations.

Si cela se produit sur un ordinateur partagé avec ceux qui ne connaissent pas les ransomwares, cela pourrait être beaucoup plus dangereux qu'un nettoyage de système "normal". Et donc une attaque peut être plus susceptible de produire quelque chose.

1
Dennis Jaheruddin

En plus des autres réponses, je voudrais souligner que certains ransomwares ne se présentent pas comme tels.

Au lieu de cela, il se déguise en composant qui avertit l'utilisateur qu'il a détecté des fichiers corrompus sur la machine. Il "procède ensuite à la recherche d'une solution en ligne", comme le fait le système d'exploitation légitime, et amène l'utilisateur sur une page Web où il peut acheter "un logiciel pour réparer son ordinateur". Bien sûr, les fichiers "corrompus" ont été cryptés par le ransomware en premier lieu, et le logiciel que l'utilisateur achète à un prix cher déchiffre les fichiers.

La beauté de cette approche plus sûre et discrète est que souvent l'utilisateur ne se rend même pas compte qu'il a été victime d'une arnaque. Cela contribue à augmenter le nombre de tentatives de ransomware réussies.

(Malheureusement, je ne trouve plus les références pour ce type de malware; j'ajouterai des exemples si je les trouve.)

0
dr_

Les attaques de ransomwares réussissent parce que les utilisateurs n'enregistrent pas toujours des copies de leurs données sensibles ailleurs que sur leurs ordinateurs et beaucoup de gens acceptent de payer pour récupérer leurs données compromises.

Tant qu'il y aura des utilisateurs qui paient, les attaques de ransomwares ne s'arrêteront pas mais évolueront et s'amélioreront.

0
user45139