attaque massive de cryptolocker @itrustblog
TRANSCRIPT
Attaque massive de cryptolocker
Le risque d’attaque de logiciels malveillants, en particulier de rançongiciel – ransomware, a connu une croissance exponentielle au cours de ces dernières années, et plus particulièrement au cours de ces derniers mois. Ceci peut s’expliquer par un accroissement constant du trafic de mails, plus 6% chaque année environ, qui atteint de nos jours environ 90 mails professionnels en moyenne. Une mine d’or pour les pirates.
Un autre facteur de cette croissance se trouve dans les nouvelles monnaies virtuelles. Lors de l’apparition des premiers cryptolockers, le paiement se faisait via virement bancaire, quelque chose de très facilement traçable. Les pirates se montraient donc frileux quand à l’utilisation de ce type de virus. Avec l’émergence des monnaies virtuelles, comme le bitcoin, ce dernier problème de taille se voit résolu. Le paiement est désormais intraçable, et cette transaction n’est plus qu’un échange de bits, parmi tant d’autres.
Cela signifie que nous serons sûrement tous confrontés à un rançongiciel, nous devons rester vigilants sur les mails et pièces jointes que nous ouvrons.
Typologie des rançongiciels, appelé ransomware
Un rançongiciel est un logiciel malveillant qui prend en otage des données personnelles.Un rançongiciel se propage de la même manière qu’un cheval de Troie : il pénètre le système via des failles dans les systèmes d’exploitations ou par des campagnes d’emails malicieux.Nous distinguons deux types de rançongiciels, ceux qui utilisent une clé de chiffrement et ceux qui n’en utilisent pas.
Le rançongiciel utilisant la technique de chiffrement se base sur le principe de clé privée / clé publique. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer. Ainsi, sans la clé privée, en possession de l’auteur du malware, il est impossible de déchiffrer les données précédemment cryptées par le pirate.
Le rançongiciel n’utilisant pas de chiffrement utilise une simple application qui va restreindre toute interaction avec le système, habituellement en changeant l’extension par défaut dans la base de registre Windows7, ou même en changeant le Master Boot Record (MBR), pour empêcher le système d’exploitation de démarrer tant qu’il n’a pas été réparé. Ce type de rançongiciel utilise des méthodes basées sur la peur pour forcer l’utilisateur à payer pour le rétablissement de ses données. La charge active du virus peut, par exemple, afficher une alerte à l’utilisateur, faussement issue d’une agence gouvernementale qui avertit l’utilisateur que son système a été pris à partie par un pirate informatique. Il aurait effectué des actions illégales ou bien aurait stocké des contenus illégaux comme des contenus pornographiques ou des logiciels piratés. Ce type de malware est connu sous le nom de « virus gendarmerie nationale ».
Pour éviter le rançongiciel d’abuser de nos réseaux, plusieurs couches de protection sont nécessaires pour une couverture partielle.
Technique d’atténuation
Un des premiers axes que nous pourrions envisager pour se prémunir d’un rançongiciel est de se doter d’un antivirus disposant de contrôle web, pare-feu et de filtre antispam. Correctement configuré et installé il pourra contribuer à la défense du système contre les abus de logiciels malveillants.
Cela étant dit, tous les antivirus ne sont pas créés de la même manière. Les principaux antivirus du marché se concentrent sur des fichiers et comparent alors la signature virale du virus aux codes à vérifier. Cette technique a perdu de son efficacité contre les logiciels malveillants. Investir dans un antivirus de nouvelle génération, qui ne repose par sur les signatures, mais plutôt fondé sur l’apprentissage automatique et les lieux d’attaque communs, aide à obtenir un taux plus élevé de détection.Cependant, même si vous disposez d’un antivirus nouvelle génération, il ne sera pas toujours en mesure de vous protéger contre un rançongiciel.
Technique de détection
En voyant que notre premier axe ne se montre pas complet, envisageons une nouvelle approche.
Il existe des solutions qui détermineront si une violation de vos systèmes est en cours. Elles sont conçues pour détecter les menaces qui contournent les systèmes de protection classiques comme les logiciels de sécurité endpoint dont font parties les antivirus. Ils émettent une alerte lorsqu’une attaque est détectée. Cela se fait passivement par la mise en place d’une surveillance du flux réseau comme les centres de supervision de sécurité (SOC).
Restez tout de même sur vos gardes, cette technologie n’est pas en mesure de contrer directement les menaces, mais avertit de manière proactive d’une attaque actuellement en cours. Elle permet de limiter la propagation de la menace et donne une vision globale de ce qui aurait été manqué par les technologies endpoint.
Malheureusement, il n’existe pas de « solution miracle » qui permet de contrer parfaitement la menace des rançongiciels. Les algorithmes composant les malwares seront toujours en avance par rapport aux bases de menaces des antivirus que nous connaissons. La surveillance via les outils prévus à cet effet est encore le meilleur moyen de faire face à la menace. Cela requiert une grande réactivité dans le cas où l’attaque se déroule concrètement, tôt en prenant en compte que l’alerte émanant de la menace peut se perdre au milieu de flux de données si nous ne nous montrons pas assez vigilants. Alors certes, une conclusion possible serait de ne pas cliquer sur les liens douteux dans les mails, de ne pas permettre à ces cryptolockers d’accéder à notre système… mais comme on dit, l’erreur est humaine. Une piste reste encore envisageable, celle de l’analyse comportementale…
Liens :
https://www.reveelium.com/fr/massive-cryptolocker-attack/
https://www.itrust.fr/attaque-massive-cryptolocker