Ransomware : pourquoi les mails sont-ils toujours vulnérables ?
En 2021, les attaques des ransomwares ont connu une très forte croissance. Lors de la pandémie Covid 19, des études ont montré que 68 % des organisations ont été touchés par le phénomène. Et pour les USA, le payement de rançons a augmenté de 70 % en 2021. En France, les dégâts s’élèvent à 5,5 milliards de dollars en 2021. Les entreprises ont admis que le clic des employés sur des mails phishing ont été à leur origine.
Plusieurs méthodes existent pour installer un ransomware sur un système, mais le phishing est la méthode la plus simple et la plus rapide.
Création d’emails phishing
Les hackers se servent des logos des marques depuis leur site pour renforcer l’authenticité. Une technique permet aussi d’usurper le nom d’affichage. En outre, des kits de phishing sont disponibles en ligne, comprenant une page Web malveillante, ainsi que des outils permettant de donner une apparence légitime à l’email.
Pour éviter les détections et les filtres, des outils sont disponibles, et peuvent être gratuits, comme un outil de raccourcissement d’URL qui trompe les filtres de recherche des URL en liste noire. Il est aussi possible de rediriger une URL légitime vers une URL frauduleuse.
Des kits de ransomwares bon marché.
Pour 500 $, vous pouvez disposer d’un kit contenant un malware. Les kits sont fournis avec licence d’une durée de trois mois.
Des malwares connus, dangereux comme Robbinhood, peuvent être achetés en ligne. Ce malware inclut des tableaux de bord qui permettent de suivre les attaques en temps réels. Le distributeur du modèle reçoit une partie de la rançon. Emotet, un malware utilisé pour lancer le malware Ryuk est aussi disponible à la vente. Disparu en 2021, Ryuk est devenu Conti.
Les réseaux sociaux facilitent les attaques par email
Pour les dirigeants des organisations et pour les responsables de systèmes d’information, les attaques ne peuvent réussir sauf pour des exceptions. Mais un employé nouvellement recru est une cible privilégiée d’un hacker. Des informations sur un profil Linkedin sont exploitées par les hackers pour déterminer sa cible. Le hacker va détecter quel genre d’email va entrainer immédiatement la réaction de la cible. Un employé non sensibilisé peut facilement cliquer sur un email phishing sans se méfier.
Les pièces jointes cachent la charge
Dans la plupart des cas, les filtres ne vérifient pas la présence des liens dans les pièces jointes. Les hackers y dissimulent une URL Phishing. Au moment du clic, un lien dans la pièce jointe lance le téléchargement du malware. Des fois, le malware est téléchargé dès l’ouverture de la pièce jointe.
Comment éviter les ransomwares ?
Il faut d’abord sensibiliser le personnel pour être vigilant avant de cliquer sur des liens ou d’ouvrir des pièces jointes. Toutefois chacun a des moments de faiblesse pour relâcher sa vigilance.
Il est possible avec des technologies bien élaborées de faire le suivi des URL de phishing, d’analyser des fichiers en temps réels pour détecter des liens cachés dans les pièces jointes, d’analyser les fichiers partagés ou des fichiers de services pour détecter des liens malveillants ou des logos ou images manipulés.