Nous prenons en charge les navigateurs, pas les fossiles. Pour que le contenu de cette page web s’affiche correctement, vous devez mettre à jour votre navigateur.

Vous ne savez pas quelle solution choisir pour votre entreprise ?

Qu’est-ce que le ransomware Sodinokibi (REvil) ?

Identifié pour la première fois en 2019, Sodinokibi (également connu sous le nom de REvil ou de Ransomware Evil) a été développé dans le cadre d'une opération privée – en tant que ransomware-as-a-service (RaaS) – que l'on pense être basée en Russie. Sa large portée et son efficacité ont été constatées presque immédiatement, puisque durant ses quatre premiers mois, il est devenu le quatrième type de ransomware le plus courant.

L'approche de distribution RaaS signifie que de nombreuses personnes ont eu accès au code du ransomware, ce qui a donné lieu à un large éventail de variantes et à des attaques de plus en plus agressives à partir de différents vecteurs, notamment le spam et les attaques de serveurs. Cela en fait une forme particulièrement dangereuse de ransomware.

Cet article examine les origines de Sodinokibi, son mode de fonctionnement et les mesures à prendre pour sécuriser votre réseau.

Essayez gratuitement le Business Hub d’Avast pendant 30 jours.

Toutes les entreprises méritent une cyberprotection de premier ordre. Téléchargez le Business Hub d’Avast et essayez-le gratuitement pendant 30 jours.

Qu’est-ce que le ransomware Sodinokibi/REvil ?

Sodinokibi est livré tant que ransomware-as-a-service (RaaS), ce qui signifie que des affiliés distribuent le ransomware, et qu’ils partagent avec les développeurs l'argent provenant des rançons. Il présente des similitudes avec le code connu des célèbres groupes de pirates DarkSide et GandCrab, qui seraient à l'origine de 40 % des infections par ransomware dans le monde.

Le virus est généralement transmis par des techniques de phishing, incitant les cibles à ouvrir des fichiers malveillants déguisés en pièces jointes d’e-mail, en documents et en feuilles de calcul.

Ce type de malware se concentre sur des attaques de ransomware très médiatisées contre de grandes organisations et des personnalités publiques, dans le but d'obtenir le paiement d'importantes rançons et de publier des informations privées sur le blog du groupe. Des cybercriminels ont utilisé Sodinokibi pour :

Qui se cache derrière le ransomware Sodinokibi ?

Les créateurs du ransomware ont été difficiles à identifier. Au départ, les attaques semblaient se concentrer sur l'Asie, mais elles se sont rapidement propagées en Europe, mais en épargnant la Russie – d'où l’hypothèse que le malware provient de cette région.

Une opération impliquant 17 pays a permis d'arrêter cinq suspects liés à Sodinokibi/REvil. En janvier 2022, les autorités russes ont annoncé le démantèlement du groupe.

Aussi bonne soit cette nouvelle, cela ne signifie pas que la menace Sodinokibi a disparu. En raison de son style de distribution et des relations de son créateur avec d'autres groupes, son code pourrait encore être utilisé ou modifié pour cibler de nouveaux vecteurs d'attaque.

Comment fonctionne le ransomware Sodinokibi ?

L'un des principaux défis posés par le ransomware Sodinokibi est sa détection. Une grande partie de son code étant déguisée ou chiffrée, les scanners antivirus ont du mal à le détecter – d'où l'importance d'établir une stratégie de sécurité holistique à plusieurs niveaux et combinant formation, meilleures pratiques et logiciels pour identifier au plus vite les potentielles menaces.

Cette section examine de près le processus d'attaque afin d'aider les utilisateurs à mieux comprendre le fonctionnement du ransomware.

Pour en savoir plus sur d'autres types de ransomware très médiatisés, lisez nos guides sur Phobos et WannaCry.

1. Initialisation du ransomware

Avant de frapper, le ransomware doit s'assurer que seul son processus est en cours d'exécution sur le terminal cible. Il exécute ensuite des exploits pour identifier les vulnérabilités liées au manque d'installation de correctifs de sécurité. L’étape suivante consiste à modifier les autorisations d'accès pour obtenir des privilèges d'administrateur complets, et redémarrer l’appareil en mode administrateur.

Une analyse système recherche alors les identifiants de langue. Le code inclut une liste d'exemptions permettant d’identifier l’emplacement des appareils selon leur langue, et donc de ne pas attaquer des terminaux d'Europe de l'Est. Ce sont ces informations qui ont permis aux enquêteurs de déterminer que le groupe de pirates opérait depuis la Russie.

Ensuite, les fichiers du système de sauvegarde de Windows (Shadow Copy) sont supprimés et l'éditeur de politique de démarrage est utilisé pour désactiver les modes de récupération. Le système est ensuite analysé pour trouver les dossiers de sauvegarde, qui sont supprimés et écrasés afin d’empêcher leur récupération.

1. Initialisation du ransomware

2. Génération et échange de clé

Les clés de chiffrement sont créées par paires : l'une est accessible au public, l'autre est détenue par l'attaquant. Sans les deux clés, la récupération des données est presque impossible. Sodinokibi utilise un algorithme de génération et d'échange de clés connu sous le nom de Échange de clés Diffie-Hellman basé sur les courbes elliptiques (ECDH).

2. Génération et échange de clé

3. Chiffrement

Sodinokibi utilise deux types de chiffrement :

  • AES, pour chiffrer la clé privée et le transfert des données sur les réseaux
  • Salsa20, pour chiffrer les fichiers de l’utilisateur

Les documents de l'utilisateur sont collectés à partir de tous les fichiers n’ayant pas été marqués comme exempts et chiffrés avec Salsa20, générant une clé unique pour chaque fichier. On peut clairement savoir quels fichiers ont été chiffrés car le ransomware ajoute une extension à chaque fichier affecté.

L'opération prépare alors les données pour les livrer sur le serveur de l’attaques.

3. Chiffrement

4. Demandes

Une note de rançon est créée et placée dans le dossier du fichier chiffré. Ce processus est répété pour chaque dossier contenant des fichiers chiffrés. Un modèle à cet effet est inclus dans le ransomware Sodinokibi et est automatiquement mis à jour avec l'ID utilisateur et d'autres informations pertinentes, notamment une clé.

4. Demandes

Déchiffrement de Sodinokibi

La note de rançon fournit des instructions claires pour récupérer les données. Il s'agit notamment d'installer le navigateur TOR, de visiter un lien unique et de saisir une clé.

C'est sur cette page que les détails de la rançon sont présentés. Les utilisateurs doivent payer un certain montant pour télécharger un logiciel de déchiffrement, et ce dans un certain délai. Si ce délai n'est pas respecté, le prix est doublé. Le paiement est souvent exigé en bitcoin.

4. Demandes

En septembre 2021, il a été annoncé que les entreprises de cybersécurité et les forces de l'ordre américaines avaient créé une clé de déchiffrement gratuite et universelle, capable de restituer les fichiers à toutes les entreprises ayant été attaquées avant le 13 juillet 2021. Toutefois, pour protéger les données de votre entreprise contre d'autres attaques, il est crucial de vous doter d'un outil de protection contre les ransomwares, car cette clé ne fonctionne pas forcément sur les chiffrements ayant lieu après cette date.

Se protéger contre les attaques REvil

Comme il s'agit d'une forme de ransomware aussi variée que dangereuse, les professionnels doivent s'assurer de la protection de leur réseau et de leurs appareils contre la menace Sodinokibi/REvil. Voici quelques mesures essentielles à prendre :

  • Mettez régulièrement à jour vos systèmes. Les vulnérabilités sont une voie d'accès courante aux systèmes. Il est donc essentiel d'appliquer les correctifs, les corrections et les mises à jour dès leur parution.
  • Formez vos employés à la cybersécurité. L'erreur humaine est l'une des principales causes de violation de données. Pour l’éviter, formez votre personnel, à tous les niveaux de l'entreprise. Avec le quiz et les ressources pédagogiques en cybersécurité d'Avast Business, vous pouvez évaluer le niveau de connaissances de vos employés et identifier les domaines dans lesquels une formation complémentaire est nécessaire.
  • Sauvegardez vos données. Comme leur nom l'indique, les attaques par ransomware visent à voler des données et les revendre à leurs propriétaires. Si vous conservez des sauvegardes de façon sécurisée et à un endroit distinct, vous pourrez toujours accéder à vos données et documents vitaux même en cas d’attaque.
  • Contrôlez les accès. Les autorisations d'accès doivent être strictement limitées aux personnes ayant besoin d'un accès direct. Vérifiez les autorisations à l'échelle de l'entreprise pour vous assurer que les privilèges d'administration sont réduits au strict minimum, afin de limiter l'accès aux contrôles du réseau en cas de violation d'un compte utilisateur.
  • Adoptez les meilleures pratiques de sécurité. Une autre façon de protéger les données de votre entreprise est vous assurer que les meilleures pratiques de sécurité sont respectées : exiger des mots de passe forts, mettre en place un processus de signalement des activités suspectes, conclure des accords de travail à distance pour garantir la mise à jour et la sécurité des appareils, etc. Dans ce cadre, des logiciels anti-ransomwares et des scanners de logiciels malveillants doivent être installés sur tous les terminaux connectés au réseau de l'entreprise pour aider à détecter et à supprimer les ransomwares.
  • Menez régulièrement des inspections et évaluations des vulnérabilités. Les journaux d'événements doivent être vérifiés régulièrement afin que toute activité inhabituelle, telle qu'une forte activité en dehors des heures de bureau, puisse être rapidement repérée et évaluée.
  • Préparez un plan de réponse. La planification en cas de catastrophe est essentielle pour la protection des entreprises – et cela englobe aussi l'espace numérique. Assurez-vous que des exercices d'attaque sont organisés régulièrement, que le personnel sait qui contacter en cas d'attaque par ransomware et qu'un plan de continuité des activités (PCA) est en place pour que l'entreprise puisse continuer à fonctionner après une attaque.

Protégez-vous contre le ransomware Sodinokibi

Les membres du groupe à l'origine du ransomware Sodinokibi/REvil ont peut-être été appréhendés en janvier 2022, mais leur logiciel malveillant n'est qu'un parmi tant d'autres. Protégez votre entreprise contre un large éventail d'attaques grâce au Avast Business Hub, notre plateforme de sécurité intégrée et basée sur le cloud pour les PME.

Fermer

Vous y êtes presque !

Pour terminer l’installation, cliquez sur le fichier téléchargé et suivez les instructions qui s’affichent à l’écran.

Lancement du téléchargement…
Remarque : Si le téléchargement ne démarre pas automatiquement, cliquez ici
Cliquez sur ce fichier pour lancer l’installation d’Avast.