Comment fonctionne un ransomware (et comment le combattre)

Date de publication: 01/10/2023
feature image

Comme si de rien n’était 

Vous êtes assis dans votre coin préféré, travaillant sur votre ordinateur portable, lorsque vous recevez un courrier électronique. Il se trouve que vous êtes en train de travailler sur une longue file d’attente de courriers électroniques urgents, alors vous vous dites : « Quoi d’autre encore ? » et vous souriez. Ce que vous ne savez pas, c’est que le dernier courrier électronique urgent que vous avez reçu a été envoyé par un attaquant. Cet attaquant mène depuis des semaines une campagne complexe de compromission de courriers électroniques professionnels (BEC). Cette campagne consiste à compromettre des comptes professionnels tels que votre compte M365 et à envoyer des logiciels malveillants aux contacts figurant dans la liste de contacts de ces comptes.


En savoir plus : 


Les contacts ne savent absolument pas que le compte de l’expéditeur a été compromis. Vous lisez le courrier électronique de l’attaquant, pensant qu’il provient d’un contact de confiance. Le courrier électronique vous demande d’ouvrir le document Word joint. Au lieu de l’ouvrir, vous passez simplement le curseur de votre souris sur le document pour obtenir un aperçu du document Word. C’est tout ce qu’il a fallu pour infecter votre appareil. Le simple fait de prévisualiser le document Word trafiqué de façon malveillante était suffisant pour commencer l’exploitation de la logique native de Microsoft. 

Excusez-moi… que s’est-il passé ? 

Les ransomware frappent sans préavis. Un petit logiciel communément appelé « dropper » a été téléchargé en utilisant l’ingénierie sociale. Il a été signalé sur Twitter par le chercheur en sécurité Kevin Baumont et est baptisé MS-MSDT « Follina ». 

CVE-2022-30190 est une vulnérabilité de sécurité de Microsoft Windows qui permet l’exécution du code à distance en utilisant une fonctionnalité native Microsoft appelée « modèle personnalisé ». Le chercheur en sécurité John Hammond montre la puissance de Follina dans cette validation GitHub. Les “dropper” utilisent souvent des bombes logiques pour déclencher le téléchargement de la charge utile principale contenant un logiciel malveillant. Une fois le dropper téléchargé sur un appareil, il attend que les conditions désignées soient remplies, qui peuvent être aussi simples qu’une date et une heure spécifiques ou même une combinaison de conditions. Une fois le dropper exécuté, il envoie une requête à un serveur HTTP hébergeant la charge utile. Dans ce cas, la charge utile est un ransomware. Le saviez-vous ? Avant que vous ne le réalisiez, vous avez été infecté. Vous venez d’introduire sans le savoir un logiciel malveillant dans le réseau sécurisé de votre organisation.

SharePoint Online et OneDrive Entreprise 

La plupart des organisations activent la synchronisation de OneDrive Entreprise. Cette configuration courante permet aux fichiers locaux et au contenu Microsoft 365 créé avec la version de bureau des applications Microsoft Office de se synchroniser de manière transparente avec OneDrive Entreprise du compte dans Microsoft 365. Une autre pratique habituelle consiste à mapper un lecteur partagé vers une bibliothèque de documents SharePoint Online. De cette façon, les équipes peuvent travailler ensemble par le biais de partages de fichiers tout en bénéficiant de la collaboration et du stockage offerts par SharePoint Online. Ces deux configurations fournissent un lien entre les appareils locaux connectés au réseau et l’investissement du cloud Microsoft 365 de leur organisation. 

Par le biais de ces conduites, les logiciels malveillants axés sur le cloud traversent l’appareil local à la recherche d’un moyen de se propager dans l’environnement cloud de l’organisation. En un clin d’œil, le logiciel malveillant a trouvé les bons répertoires et a commencé à les copier. Une fois la copie terminée, la synchronisation native entre les ressources du cloud et l’appareil local se déclenche. Le résultat est que le logiciel malveillant a maintenant établi une tête de pont dans les ressources OneDrive Entreprise et SharePoint Online de l’organisation. 

Le contrôle de version me protégera contre les ransomware… n’est-ce pas ? 

Une fois que le ransomware s’est introduit dans l’environnement Microsoft 365 de votre organisation, il commence à crypter chaque fichier. Dans la plupart des attaques, les fichiers sont cryptés 500 fois ou plus afin d’annuler toute protection fournie par le contrôle de version. Ce faisant, les attaquants font en sorte qu’il soit pratiquement impossible pour vous de revenir à une ancienne version non cryptée du fichier. Il s’agit d’un véritable problème, car votre organisation risque de perdre des données précieuses.

Contenu rançonné 

AvePoint Cloud Backup est une solution facile à utiliser et rentable qui peut protéger vos données contre les ransomware, les suppressions accidentelles et d’autres scénarios de perte de données. AvePoint Cloud Backup stocke vos données dans un emplacement hors site, de sorte qu’elles ne peuvent pas être altérées ou supprimées par un logiciel malveillant. En cas d’attaque par ransomware, vous pouvez rapidement restaurer vos données dans leur état d’origine, ce qui minimise l’impact sur votre entreprise. 

AvePoint Cloud Backup est une solution idéale pour les entreprises de toutes tailles qui souhaitent protéger leurs données sans se ruiner. En plus de son prix abordable, Cloud Backup est facile à utiliser, de sorte que vous pouvez commencer à protéger vos données immédiatement. Et en cas d’attaque par ransomware ou d’un autre scénario de perte de données, vous pouvez être rassuré en sachant que vos données sont en sécurité et peuvent être rapidement restaurées. Demandez une démo gratuite dès aujourd’hui.


Pour en savoir plus sur les rançongiciels, n’oubliez pas de vous abonner à notre blog !

Share this blog

Abonnez-vous à notre blog