Rançongiciel
Histoire
Le premier ransomware, connu sous le nom de PC Cyborg ou AIDS, a été créé à la fin des années 1980. PC Cyborg chiffrait tous les fichiers contenus dans le répertoire C: après 90 redémarrages, puis demandait à l'utilisateur de renouveler sa licence en envoyant 189 $ par courrier à la société PC Cyborg Corp. Le chiffrement était plutôt simple à réparer et n'a donc pas posé beaucoup de problèmes à ceux qui avaient des connaissances dans le domaine informatique.
Peu de nouveaux ransomwares ont vu le jour pendant la décennie qui a suivi. Il faut attendre 2004 pour voir arriver un ransomware présentant une véritable menace avec le GpCode, qui utilisait un chiffrement RSA faible pour prendre les fichiers personnels en otage.
En 2007, WinLock a lancé la mode d'un nouveau type de ransomware qui, au lieu de chiffrer les fichiers, empêche les utilisateurs d'accéder à leurs ordinateurs. WinLock prenait le contrôle de l'écran de la victime, y affichait des images pornographiques, puis exigeait le paiement d'une rançon via un SMS payant pour les retirer.
En 2012, le développement de la famille de ransomwares Reveton a marqué l'avènement d'une nouvelle forme de ransomware : le ransomware qui se fait passer pour une institution gouvernementale. Les victimes n'ont plus accès à leur ordinateur, qui est recouvert par une page semblable à celle pouvant appartenir à une institution gouvernementale (FBI, Interpol, etc.), incluant même les coordonnées de celle-ci. Le ransomware affirme que l'utilisateur a commis un crime : piratage informatique, téléchargement illégal de fichiers, voire pédopornographie. La plupart des ransomwares qui se font passer pour une institution gouvernementale demandent le paiement d'une amende allant de 100 à 3 000 $ à l'aide d'une carte prépayée de type UKash ou PaySafeCard.
L'utilisateur moyen ne sait pas comment réagir et croit vraiment faire l'objet d'une enquête judiciaire. Cette tactique d'ingénierie sociale joue avec le sentiment de culpabilité de l'utilisateur, qui remet en question son innocence et qui, plutôt que de se voir reprocher une activité dont il n'est pas fier, préfère régler le problème en payant la rançon.
En 2013, CryptoLocker a remis au goût du jour le ransomware chiffreur en le rendant encore plus dangereux. CryptoLocker utilisait une méthode de chiffrement puissante et stockait la clé de déchiffrement des fichiers sur un serveur distant. Il était donc pratiquement impossible pour les utilisateurs de récupérer leurs données sans payer la rançon. Ce type de ransomware chiffreur est toujours utilisé aujourd'hui puisqu'il s'est avéré pour les cybercriminels un moyen incroyablement efficace de gagner de l'argent. Des attaques de ransomwares de grandes envergures, telles que WannaCry en mai 2017 et Petya en juin 2017, ont utilisé des ransomwares chiffreurs pour piéger des particuliers et des entreprises dans le monde entier.
Fin 2018, Ryuk s'est imposé sur la scène des ransomwares avec de nombreuses attaques sur des quotidiens américains ainsi que sur l'Office des eaux et des égouts de Onslow en Caroline du Nord. Détail intéressant, les systèmes ciblés ont d'abord été infectés par Emotet ou TrickBot, deux chevaux de Troie voleurs d'informations dorénavant utilisés pour distribuer d'autres formes de malwares telles que Ryuk par exemple. Le directeur de Malwarebytes Labs, Adam Kujawa, présume qu'Emotet et TrickBot sont utilisés pour trouver des cibles à fort potentiel. Lorsqu'un système est infecté et considéré comme une cible de choix pour le ransomware, Emotet/TrickBot réinfecte le système avec Ryuk.