Comme pour les logiciels classiques, les logiciels malveillants ont leurs palmarès, leurs modes, leurs tendances. Une récente étude de Malwarebytes, l’un des anti-malware les plus répandu sur le marché, nous permet de faire le point sur les dernières évolutions. Où l’on voit que le rançongiciel Cerber est bien la coqueluche de ce début d’année 2017. Analyse au cœur des programmes qui ne vous veulent pas du bien.
Malwarebytes vient de publier son rapport sur la cybercriminalité pour le premier trimestre 2017. Le premier constat qui s’impose est que le rançongiciel (ransomware en anglais) est toujours, et de loin, la menace la plus courante pour les utilisateurs de Windows.
Le principe d’un rançongiciel est de s’introduire dans l’ordinateur d’un utilisateur et de crypter ses données personnelles ou l’accès à sa machine, et de ne les décrypter que contre paiement d’une somme d’argent. Les cibles privilégiées sont les petites entreprises et les particuliers travaillant à leur compte sur leur ordinateur : ayant besoin de leurs données pour travailler, les victimes payent souvent les sommes demandées.
Rançongiciel : 60% des attaques répertoriées
Sur le premier trimestre 2017 plus de 60% des attaques de logiciels malveillants répertoriées sur Windows sont le fait de rançongiciels. L’autre menace d’importance est constituée par les malware de type « AdFraud », qui ont pour effet de créer automatiquement des clics sur Internet depuis l’ordinateur visé, soit pour générer des revenus publicitaires pour des sites, soit, au contraire, pour bloquer les revenus d’une publicité en créant trop de clics dessus et en la désactivant. Ce type de logiciel représente plus de 20% des cyberattaques.
Cerber est le danger numéro 1
Parmi ces rançongiciel, un changement notable a eu lieu : alors que les logiciel de type Locky dominaient largement les cyberattaques depuis des mois, le premier trimestre de l’année a vu Cerber passer largement devant – au point qu’en mars 2017 près de 90% des attaques de rançongiciel étaient le fait de programme de la famille Cerber.
Cerber et Locky ont des fonctionnements similaires, ils ont de nombreux points communs : les deux malware utilisent notamment le même chiffrement via l’algorithme AES, pour lequel aucun système de décryptage n’est disponible. Le déclin de Locky s’explique en grande partie par le changement d’optique du botnet responsable de sa propagation, Necurs : considéré comme l’un des botnets les plus actifs et les plus agressifs, Necurs a considérablement baissé son activité à partir de novembre 2016 et, surtout, a cessé de distribuer Locky.
Comme Cerber est un malware efficace et facile d’utilisation, notamment pour la récupération des gains générés, les cybercriminels l’ont adopté facilement. Cerber présente l’avantage de pouvoir chiffrer le disque de la cible sans avoir eu besoin de contacter son serveur de command&control. Raison qui explique son succès actuel.
Vers des rançongiciels s’attaquant au MBR ?
Les analystes de Malwarebytes estiment que les rançongiciels vont rester les menaces les plus courantes dans les mois à venir, mais ils notent l’apparition de nouvelles familles qui s’attaquent directement au MBR (Master Boot Record), la partition qui contient les instructions de démarrage de l’ordinateur, et craignent un développement rapide de ce type de rançongiciel, encore plus dangereux qu’un Locky ou un Cerber.
Concernant les autres systèmes d’exploitation, Malwarebytes note l’apparition de nouveaux logiciels malveillants visant les Mac, notamment un nouveau rançongiciel, FindZip, ainsi que le développement de deux nouvelles familles de menaces pour les système Android : d’abord un logiciel malveillant créant automatiquement une application cachée générant des revenus publicitaire, ensuite une inquiétante adaptation du principe du rançongiciel aux smartphones.
Vigilance de mise
Mais, comme toujours concernant la cybercriminalité, cette étude n’est qu’une photographie à un instant T : la créativité des pirates étant sans limite, de nouveaux logiciels malveillants ou des améliorations des existants sont à prévoir dès les prochaines semaines. Raison de plus pour rappeler les consignes de sécurité de base : garder un antivirus à jour, ne pas ouvrir les pièces jointes d’expéditeurs inconnus et ne jamais divulguer de données personnelles sans une confiance totale dans celui à qui vous les envoyez.