Ransomware Ziver

Les logiciels malveillants, et en particulier les rançongiciels, demeurent l'une des menaces les plus destructrices pour les particuliers comme pour les entreprises. Une seule faille de sécurité peut entraîner des pertes de données massives, des dommages financiers et l'exposition d'informations confidentielles. Parmi ces menaces avancées figure le rançongiciel Ziver, une variante malveillante basée sur le célèbre framework de rançongiciel Makop. Comprendre son comportement, son vecteur d'attaque et comment s'en protéger est essentiel pour maintenir sa cyber-résilience.

L’essor de Ziver : une menace basée sur Makop

Le rançongiciel Ziver poursuit un objectif clair et malveillant : chiffrer les fichiers de la victime et les extorquer sous peine de divulgation. Une fois exécuté sur la machine ciblée, le logiciel malveillant chiffre les données, modifie les noms de fichiers et ajoute une extension personnalisée comprenant l'identifiant unique de la victime, l'adresse e-mail des attaquants et « .ziver ». Par exemple, un fichier initialement nommé 1.png serait renommé « 1.png.[2AF20FA3].[ziver25@outlook.com].ziver ».

Cette altération de fichier s'accompagne d'une intimidation visuelle : Ziver remplace le fond d'écran de la victime par un avertissement et publie une demande de rançon intitulée « +README-WARNING+.txt ». Ce message confirme non seulement que les fichiers ont été chiffrés, mais aussi que des données sensibles ont été exfiltrées, ce qui témoigne d'une double tactique d'extorsion. Les victimes sont contraintes de contacter les attaquants sous la menace de fuites de données publiques et de pertes supplémentaires en cas d'assistance d'un tiers.

Demandes de rançon et fausses promesses

Bien que Ziver affirme que payer la rançon permettra de restaurer l'accès aux données et d'éviter les fuites, la réalité est souvent différente. De nombreuses victimes, même après avoir payé, ne reçoivent aucun outil de déchiffrement ni assistance, ce qui entraîne une perte définitive de données. Les experts en cybersécurité déconseillent fortement de payer la rançon, car elle finance des activités criminelles et n'offre aucune garantie de récupération.

Même si le logiciel malveillant peut être supprimé d'un système pour empêcher tout chiffrement supplémentaire, cela ne répare pas les dommages existants. La restauration des données n'est possible qu'avec des sauvegardes sécurisées et intactes.

Modes de livraison : comment Ziver se propage

Ziver, comme de nombreuses familles de ransomwares, exploite des techniques de distribution courantes mais très efficaces :

Hameçonnage et ingénierie sociale : les e-mails et les messages déguisés en communications légitimes incitent les victimes à ouvrir des pièces jointes malveillantes ou à cliquer sur des liens nuisibles.

Pièces jointes malveillantes : Ziver arrive souvent fourni avec des types de fichiers tels que des archives ZIP/RAR, des fichiers exécutables (EXE, RUN), des PDF, des documents Office, des fichiers OneNote et JavaScript.

Téléchargements intempestifs et fausses mises à jour : les utilisateurs peuvent installer Ziver sans le savoir en interagissant avec des publicités trompeuses, des mises à jour logicielles frauduleuses ou de faux outils d'activation (« cracks »).

Chargeurs de chevaux de Troie et propagation sur le réseau : le logiciel malveillant peut être transmis via d'autres logiciels malveillants ou se propager via des clés USB infectées et des réseaux locaux.

Renforcer vos défenses : pratiques de sécurité essentielles

Pour réduire le risque d'infection par Ziver et autres rançongiciels, il est essentiel de mettre en place une hygiène de cybersécurité rigoureuse. Vous trouverez ci-dessous deux listes, techniques et comportementales, mettant en avant les mesures de défense les plus efficaces.

Mesures de sécurité techniques :

• Maintenez votre système d’exploitation, vos logiciels et vos outils antivirus à jour.
• Activez les mises à jour automatiques pour vos solutions de sécurité.
• Utilisez un logiciel de sécurité réputé doté d’une protection en temps réel et de capacités anti-ransomware.
• Créez et maintenez plusieurs sauvegardes de vos données, hors ligne et dans le cloud.
• Limitez les privilèges administratifs et utilisez la liste blanche des applications lorsque cela est possible.

Habitudes d'utilisation sécuritaires :

• Évitez de télécharger des logiciels ou des fichiers provenant de sources non fiables.
• Ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes provenant d’expéditeurs inconnus ou inattendus.
• Soyez sceptique face aux e-mails demandant une action immédiate ou demandant des informations sensibles.
• Sensibilisez régulièrement tous les utilisateurs (en particulier dans les organisations) à la sensibilisation au phishing.
• Désactivez les macros et l’exécution de scripts dans les documents Office, sauf si cela est explicitement requis.

Conclusion : la vigilance est la meilleure défense

Le ransomware Ziver nous rappelle brutalement que les menaces de ransomware continuent d'évoluer et d'exploiter les faiblesses humaines et techniques. En comprenant son comportement et en mettant en œuvre des défenses robustes et multicouches, les particuliers et les organisations peuvent réduire considérablement leur exposition aux attaques. Les enjeux sont importants, mais la possibilité de rester protégé l'est tout autant si les précautions appropriées sont prises.