Technologie

No More Ransom : les forces de l’ordre de l’UE et des spécialistes de la sécurité informatique unis contre les ransomwares


Un nouvel outil contenant 160 000 clés de déchiffrement va aider les victimes à récupérer leurs données.

LAGOS, Nigeria, 28 juillet 2016/ — La Police nationale néerlandaise, Europol, Intel Security et Kaspersky Lab (www.Kaspersky.fr) s’associent et lancent l’initiative « No More Ransom ». Il s’agit là d’une nouvelle étape franchie dans la coopération entre les forces de l’ordre et des acteurs du secteur privé pour lutter ensemble contre le phénomène des rançongiciels (ransomware). « No More Ransom » (www.NoMoreRansom.org) est un nouveau portail dont le but est d’informer le public sur les dangers des ransomwares et d’aider les victimes à récupérer leurs données sans avoir à verser d’argent aux cybercriminels.

Un ransomware est un type de programme malveillant dont se servent les cybercriminels pour verrouiller l’ordinateur de leurs victimes ou chiffrer leurs données à leur insu, exigeant une certaine somme d’argent pour en rendre l’accès. Ce phénomène est l’une des priorités pour les forces de l’ordre en Europe : près des deux tiers des Etats-membres de l’UE enquêtent sur ce type d’attaque. Les appareils personnels, mais aussi les réseaux d’entreprises ou d’administrations, comptent parmi les principales cibles. Le nombre de victimes augmente à un taux alarmant : selon Kaspersky Lab, le nombre d’utilisateurs concernés par les programmes de chiffrement des fichiers (les « crypto-ransomwares ») a augmenté de 550 % entre la période 2014-2015 et 2015-2016, passant de 131 000 cas à 718 000.

L’objectif du portail www.NoMoreRansom.org est d’aider les victimes de ransomwares en mettant à leur disposition des informations utiles. Le public y trouvera des explications techniques sur ces programmes malveillants et leur mode de fonctionnement, assortis de conseils pour se protéger. La sensibilisation est essentielle car il n’existe pas d’outil de déchiffrement pour chaque variante de programme rencontrée. En cas d’infection, les chances de récupérer un jour les données prises en otage sont très minces. Pour s’en prémunir, mieux vaut essayer d’adopter de bonnes pratiques de sécurité, simples mais vertueuses.

Le projet « No More Ransom » fournit aux utilisateurs des liens vers des outils qui permettent dans certains cas de récupérer des données verrouillées. Dans sa phase initiale, le portail contient quatre outils de déchiffrement adaptés à différents types de malwares, dont le plus récent a été développé en juin 2016 en réponse à la variante du programme Shade.

Shade est un Trojan de type ransomware qui est apparu fin 2014. Ce malware se propage par le biais de sites web et de pièces jointes d’emails piégés. Une fois dans le système de l’utilisateur, Shade chiffre les fichiers stockés dans l’appareil et crée un fichier en « .txt » qui contient le message de demande de rançon accompagné des instructions pour récupérer les fichiers. Shade repose sur un algorithme de déchiffrement pour chaque fichier chiffré, et génère de manière aléatoire deux clés AES 256-bit : l’une pour chiffre le contenu du fichier, l’autre pour chiffrer le nom de celui-ci.

Depuis 2014, Kaspersky Lab et Intel Security ont déjà déjoué plus de 27 000 tentatives de piratage à l’aide du cheval de Troie Shade. La plupart des infections signalées ont eu lieu en Russie, en Ukraine, en Allemagne, en Autriche et au Kazakhstan, avec des cas recensés dans une moindre proportion en France, en République tchèque, en Italie et aux Etats-Unis.

Grâce à une collaboration étroite et au partage d’informations entre différentes parties prenantes, le serveur utilisé par les pirates derrière Shade pour stocker les clés de déchiffrement a été saisi. Les clés récupérées ont été mises en commun avec Kaspersky Lab et Intel Security, ce qui a permis à ces derniers de concevoir un outil dédié pour les victimes. Disponible en téléchargement sur le portail No More Ransom, il leur permet de récupérer leurs données sans verser la rançon exigée. L’outil contient actuellement plus de 160 000 clés.

Une coopération entre les secteurs public et privé

Ce projet a été pensé comme une initiative à but non-commercial, uniquement destiné à rassembler des institutions publiques et privées. Face à la nature très changeante des rançongiciels, caractérisée par l’apparition fréquente de nouvelles variantes, d’autres acteurs pourront rejoindre le projet.

« Nous, la police néerlandaise, n’avons pas les moyens de lutter seuls contre la cybercriminalité au sens large et les ransomwares en particulier », explique Wilbert Paulissen, Directeur de la Division d’enquête criminelle de la police néerlandaise« Cette lutte, qui est du ressort de la police, du ministère de la Justice, d’Europol et des acteurs du secteur high-tech, requiert une action groupée. Je suis donc ravi de voir la police collaborer avec Intel Security et Kaspersky Lab. Ensemble, nous allons faire tout ce qui est en notre pouvoir pour contrarier les plans des cybercriminels et pour rendre les fichiers à leurs propriétaires sans que ces derniers aient à verser des sommes exorbitantes ».

Pour Jornt van der Wiel, chercheur en sécurité au sein de l’équipe globale de recherche et d’analyse (GReAT) de Kaspersky Lab : « Le principal problème des crypto-ransomwares est que lorsque les utilisateurs ont des données critiques verrouillées, ils sont prêts à payer les criminels sur le champ pour les récupérer. Cette réaction stimule l’économie souterraine et nous sommes confrontés à un nombre croissant de nouveaux criminels, et donc d’attaques. La seule solution repose sur la coordination de nos efforts pour lutter contre ce phénomène. L’apparition d’outils de déchiffrement n’est que la première étape de notre action. Nous espérons voir ce projet s’étoffer, avec l’arrivée de renforts supplémentaires au fur et à mesure que d’autres entreprises et représentants de forces de l’ordre d’autres pays se joindront à notre combat ».

Raj Samani, Directeur de la technologie EMEA d’Intel Security, fait également part de son enthousiasme : « Cette initiative montre la valeur d’une coopération entre les secteurs public et privé pour lutter sérieusement contre la cybercriminalité. Cette collaboration va bien au-delà du seul partage d’informations, de l’éducation du grand public et du blocage des pirates puisqu’elle permet de réparer les dommages subis. En leur rendant l’accès à leur système, nous sensibilisons activement les victimes, qui comprennent qu’elles peuvent agir et ne pas verser de rançon ».

Et Wil van Gemert, Directeur adjoint des opérations chez Europol, de conclure : « Depuis quelques années, les attaques par rançongiciels sont devenues un problème majeur pour les forces de l’ordre de l’UE. Il s’agit là d’un problème qui concerne aussi bien les particuliers que les entreprises, touchant à la fois les ordinateurs et les appareils mobiles. Les criminels élaborent des techniques toujours plus sophistiquées pour infliger le maximum de dégâts aux données des victimes. Des initiatives telles que le projet No More Ransom montrent que l’expertise alliée à la collaboration est une bonne recette pour lutter contre la cybercriminalité. Nous espérons aider de nombreuses personnes à reprendre la main sur leurs fichiers, tout en poursuivant notre action de sensibilisation et d’éducation auprès du public pour expliquer comment se protéger contre les programmes malveillants ».

La Police nationale néerlandaise, Europol, Intel Security et Kaspersky Lab s’associent et lancent l’initiative « No More Ransom ». Il s’agit là d’une nouvelle étape franchie dans la coopération entre les forces de l’ordre et des acteurs du secteur privé pour lutter ensemble contre le phénomène des rançongiciels (ransomware). « No More Ransom » (www.nomoreransom.org) est un nouveau portail dont le but est d’informer le public sur les dangers des ransomwares et d’aider les victimes à récupérer leurs données sans avoir à verser d’argent aux cybercriminels.

Un ransomware est un type de programme malveillant dont se servent les cybercriminels pour verrouiller l’ordinateur de leurs victimes ou chiffrer leurs données à leur insu, exigeant une certaine somme d’argent pour en rendre l’accès. Ce phénomène est l’une des priorités pour les forces de l’ordre en Europe : près des deux tiers des Etats-membres de l’UE enquêtent sur ce type d’attaque. Les appareils personnels, mais aussi les réseaux d’entreprises ou d’administrations, comptent parmi les principales cibles. Le nombre de victimes augmente à un taux alarmant : selon Kaspersky Lab, le nombre d’utilisateurs concernés par les programmes de chiffrement des fichiers (les « crypto-ransomwares ») a augmenté de 550 % entre la période 2014-2015 et 2015-2016, passant de 131 000 cas à 718 000.

L’objectif du portail www.NoMoreRansom.org est d’aider les victimes de ransomwares en mettant à leur disposition des informations utiles. Le public y trouvera des explications techniques sur ces programmes malveillants et leur mode de fonctionnement, assortis de conseils pour se protéger. La sensibilisation est essentielle car il n’existe pas d’outil de déchiffrement pour chaque variante de programme rencontrée. En cas d’infection, les chances de récupérer un jour les données prises en otage sont très minces. Pour s’en prémunir, mieux vaut essayer d’adopter de bonnes pratiques de sécurité, simples mais vertueuses.

Le projet « No More Ransom » fournit aux utilisateurs des liens vers des outils qui permettent dans certains cas de récupérer des données verrouillées. Dans sa phase initiale, le portail contient quatre outils de déchiffrement adaptés à différents types de malwares, dont le plus récent a été développé en juin 2016 en réponse à la variante du programme Shade.

Shade est un Trojan de type ransomware qui est apparu fin 2014. Ce malware se propage par le biais de sites web et de pièces jointes d’emails piégés. Une fois dans le système de l’utilisateur, Shade chiffre les fichiers stockés dans l’appareil et crée un fichier en « .txt » qui contient le message de demande de rançon accompagné des instructions pour récupérer les fichiers. Shade repose sur un algorithme de déchiffrement pour chaque fichier chiffré, et génère de manière aléatoire deux clés AES 256-bit : l’une pour chiffre le contenu du fichier, l’autre pour chiffrer le nom de celui-ci.

Depuis 2014, Kaspersky Lab et Intel Security ont déjà déjoué plus de 27 000 tentatives de piratage à l’aide du cheval de Troie Shade. La plupart des infections signalées ont eu lieu en Russie, en Ukraine, en Allemagne, en Autriche et au Kazakhstan, avec des cas recensés dans une moindre proportion en France, en République tchèque, en Italie et aux Etats-Unis.

Grâce à une collaboration étroite et au partage d’informations entre différentes parties prenantes, le serveur utilisé par les pirates derrière Shade pour stocker les clés de déchiffrement a été saisi. Les clés récupérées ont été mises en commun avec Kaspersky Lab et Intel Security, ce qui a permis à ces derniers de concevoir un outil dédié pour les victimes. Disponible en téléchargement sur le portail No More Ransom, il leur permet de récupérer leurs données sans verser la rançon exigée. L’outil contient actuellement plus de 160 000 clés.

Une coopération entre les secteurs public et privé

Ce projet a été pensé comme une initiative à but non-commercial, uniquement destiné à rassembler des institutions publiques et privées. Face à la nature très changeante des rançongiciels, caractérisée par l’apparition fréquente de nouvelles variantes, d’autres acteurs pourront rejoindre le projet.

« Nous, la police néerlandaise, n’avons pas les moyens de lutter seuls contre la cybercriminalité au sens large et les ransomwares en particulier », explique Wilbert Paulissen, Directeur de la Division d’enquête criminelle de la police néerlandaise. « Cette lutte, qui est du ressort de la police, du ministère de la Justice, d’Europol et des acteurs du secteur high-tech, requiert une action groupée. Je suis donc ravi de voir la police collaborer avec Intel Security et Kaspersky Lab. Ensemble, nous allons faire tout ce qui est en notre pouvoir pour contrarier les plans des cybercriminels et pour rendre les fichiers à leurs propriétaires sans que ces derniers aient à verser des sommes exorbitantes ».

Pour Jornt van der Wiel, chercheur en sécurité au sein de l’équipe globale de recherche et d’analyse (GReAT) de Kaspersky Lab : « Le principal problème des crypto-ransomwares est que lorsque les utilisateurs ont des données critiques verrouillées, ils sont prêts à payer les criminels sur le champ pour les récupérer. Cette réaction stimule l’économie souterraine et nous sommes confrontés à un nombre croissant de nouveaux criminels, et donc d’attaques. La seule solution repose sur la coordination de nos efforts pour lutter contre ce phénomène. L’apparition d’outils de déchiffrement n’est que la première étape de notre action. Nous espérons voir ce projet s’étoffer, avec l’arrivée de renforts supplémentaires au fur et à mesure que d’autres entreprises et représentants de forces de l’ordre d’autres pays se joindront à notre combat ».

Raj Samani, Directeur de la technologie EMEA d’Intel Security, fait également part de son enthousiasme : « Cette initiative montre la valeur d’une coopération entre les secteurs public et privé pour lutter sérieusement contre la cybercriminalité. Cette collaboration va bien au-delà du seul partage d’informations, de l’éducation du grand public et du blocage des pirates puisqu’elle permet de réparer les dommages subis. En leur rendant l’accès à leur système, nous sensibilisons activement les victimes, qui comprennent qu’elles peuvent agir et ne pas verser de rançon ».

Et Wil van Gemert, Directeur adjoint des opérations chez Europol, de conclure : « Depuis quelques années, les attaques par rançongiciels sont devenues un problème majeur pour les forces de l’ordre de l’UE. Il s’agit là d’un problème qui concerne aussi bien les particuliers que les entreprises, touchant à la fois les ordinateurs et les appareils mobiles. Les criminels élaborent des techniques toujours plus sophistiquées pour infliger le maximum de dégâts aux données des victimes. Des initiatives telles que le projet No More Ransom montrent que l’expertise alliée à la collaboration est une bonne recette pour lutter contre la cybercriminalité. Nous espérons aider de nombreuses personnes à reprendre la main sur leurs fichiers, tout en poursuivant notre action de sensibilisation et d’éducation auprès du public pour expliquer comment se protéger contre les programmes malveillants ».

 De l’importance de signaler les attaques

Signaler des rançongiciels aux forces de l’ordre est essentiel pour que les autorités aient une bonne vision d’ensemble du problème, et donc les moyens de déjouer les projets des pirates. Les victimes sont invitées à signaler une attaque via le portail No More Ransom, qui met en relation avec les forces de l’ordre de chaque pays.

Si vous êtes victime d’un ransomware, nous vous déconseillons de payer la somme demandée. Si vous payez, vous permettez aux cybercriminels de prospérer. Et, surtout, vous n’avez aucune garantie de récupérer vos données intactes.

Signaler des rançongiciels aux forces de l’ordre est essentiel pour que les autorités aient une bonne vision d’ensemble du problème, et donc les moyens de déjouer les projets des pirates. Les victimes sont invitées à signaler une attaque via le portail No More Ransom, qui met en relation avec les forces de l’ordre de chaque pays.

Si vous êtes victime d’un ransomware, nous vous déconseillons de payer la somme demandée. Si vous payez, vous permettez aux cybercriminels de prospérer. Et, surtout, vous n’avez aucune garantie de récupérer vos données intactes.

SOURCE: Kaspersky, APO et Vincent Youkpo

 

Commentaires

commentaires