Se protéger des ransomwares




  1. Ransomware atack / Computer virus crime

     

    La généralisation des échanges numériques et l’utilisation massive d’internet au travers de multiples dispositifs de communication (PCs, tablettes, smartphones, objets connectés, etc.) offrent aux pirates informatiques un terrain de jeu illimité. Les failles potentielles de sécurité sont nombreuses et les techniques d’attaque se multiplient : rançongiciel ou ransomware, hameçonnage, etc. Les analystes s’attendent d’ailleurs à une augmentation des nouveaux types d’attaques principalement vers les smartphones, les serveurs web et les bases de données.

    Les pirates sont à l’affut de toute information qui circule sur internet et qui les alerte sur les failles logicielles rapidement exploitables. Il arrive parfois qu’ils en soient informés avant les éditeurs. Dans ce cas, l’éditeur n’a pas le temps de mettre au point un correctif de sécurité que les pirates ont déjà développé et lancé une attaque dite « zero day » (« qu’est-ce qu’une vulnérabilité ZETA ou zero day » par Kaspersky lab). Malheureusement, les éditeurs d’applications disposent de peu de moyens pour se protéger de ce type de vulnérabilité identifiée récemment.

     

    Les ransomwares font la une

    Depuis un peu plus de deux ans, on assiste à une explosion du nombre d’attaques de type « ransomware » ou rançongiciel en français. Elles sont si efficaces qu’elles se généralisent (augmentation de 125% entre 2014 et 2015 selon le rapport Symantec 2015 paru dans Channelnews) et qu’elles risquent de se poursuivre longtemps.

     

    Evolution des attaques de ransomware entre novembre 2015 et mars 2016 – Source Check Point Software Technologies

     

    Evolution des attaques de ransomware

     

     

    Les médias en parlent tous les jours :

    Ministère de l’Intérieur français : « Cryptolocker : une prise d’otages en 2.0 »

    Le Monde.fr le 24/02/2016 : « Des hôpitaux français eux aussi victimes de chantage informatique »

    Le Figaro.fr le 12/03/2016 : « Locky, le « rançongiciel » qui cible les abonnés de Free »

    Ouest France du 04/04/2016 : « Petya. Ce « ransomware » verrouille totalement votre ordinateur ! »

     

    Qu’est-ce qu’un ransomware ?

    Le ransomware est un dispositif d’attaque informatique déclenché la plupart du temps par l’utilisateur lui-même. C’est par exemple, une pièce jointe à un mail qui est ouverte par l’utilisateur sans qu’il ait pris le temps de vérifier l’identité réelle de son émetteur (qu’il croyait être son collègue et dont l’identité a été usurpée) ni même le type et la qualité de la pièce jointe. Une fois la pièce ouverte, l’utilisateur ne peut que déplorer les dégâts instantanément causés par le ransomware.

    Lorsque le ransomware s’active, vous êtes informé au travers d’une interface très explicite et persuasive que toutes vos données accessibles sont instantanément chiffrées et renommées sur l’ordinateur en local ou via toute connexion (exemples : lecteurs réseau, disques durs externes, clés USB, etc.). Vous êtes informé que vous pouvez récupérer vos données moyennant le versement d’une rançon et qu’à défaut de paiement dans un délai court et précisé vos données seront purement et simplement perdues puisque non déchiffrables. Les messages sont suffisamment explicites pour que vous soyez certain que vos données ont bien été piratées et qu’elles ne sont plus accessibles.

    Pour que leurs attaques payent aussi bien auprès des particuliers que des entreprises, les hackers adaptent le montant des rançons à leurs cibles et à leur capacité financière. Elles sont estimées à une valeur moyenne variant de 150 à 400 Euros.
    Bien renseignés, les hackers adaptent le message à la langue de leurs interlocuteurs et leur proposent différents moyens de paiement comme par exemple des cartes cadeaux (Amazon, iTunes, etc.). Enfin, ils guident leurs victimes en leurs indiquant avec précision la marche à suivre.

    Autre exemple d’attaque : Nos chères têtes blondes en quête de la dernière saison de telle ou telle série sont également la cible des hackers. Bien entendu, les hackers savent que les téléchargements chez les particuliers se font souvent depuis l’ordinateur de la maison. L’infection courante dans ce cas est par exemple celle du virus Cerber. Là encore, les données sont verrouillées et une rançon est demandée. Bien entendu, plus la victime met de temps à réagir pour payer et plus le montant de la rançon augmente.

    Selon un rapport publié par Verizon DBIR en 2016, la principale source de propagation des infections est la pièce jointe à un email.

    Selon ce rapport de 2016, les 5 premières sources d’infection aux malwares sont :
    – Les pièces jointes
    – Les sites web malveillants
    – Les liens email
    – Le téléchargement de malware
    – La propagation via le réseau

     

    Comment fonctionnent les ransomware ?

    Partant du principe que « la préparation prime l’action », la mise en œuvre d’un ransomware respecte 3 phases successives :

    • 1ère phase : La préparation et la pré-infection

    Cette phase peut prendre quelques heures voire quelques mois partagée entre la reconnaissance de la cible, le choix de l’arme et le verrouillage de la cible jusqu’à la livraison du malware à son destinataire.

    • 2ème phase : L’intrusion et l’infection

    Lorsque l’utilisateur se rend compte qu’il est attaqué, il est déjà trop tard. L’installation du ransomware n’a pris que quelques fragments de secondes. Le message des hackers apparait déjà à l’écran.

    • 3ème phase : La post-infection

    Pour un ransomware, la post-infection est courte car l’objectif est que la victime paye le plus vite possible. La clé de cryptage de vos données est générée instantanément par un serveur de commande et de contrôle. On vous annonce précisément le mode opératoire pour déverrouiller vos données et les conditions de règlement pour obtenir leur déverrouillage.

     

    Le ransomware attaque par étape

    Quel que soit le moyen utilisé pour infecter (lien web, clé USB, malware, fichier joint, etc.), les hackers s’assurent que l’utilisateur infecte lui-même sa machine en exécutant un code malveillant. Cela peut être par le biais d’un fichier Word, d’un PDF, d’un exécutable ou de toute autre sorte d’objet.

    Ils s’assurent que le malware soit persistant. Pour cela, il va atteindre la clé de registre, le process windows svchost.exe, explorer.exe, etc. Il va tenter de supprimer les shadows copies en utilisant Microsoft vssadmin.exe.

    Ensuite, il va se connecter à un serveur dit de commande et de contrôle qu’il va générer automatiquement. C’est ce serveur qui va lui fournir une clé publique unique pour la machine qu’il a infectée. Il va ainsi scanner tous les répertoires et les disques connectés à la machine ainsi que l’ensemble des partages réseaux auxquels elle a accès afin de pouvoir les crypter.

    Grâce à la clé publique, il chiffe les fichiers. Il n’a plus alors qu’à expliquer précisément à la victime la procédure à suivre pour payer la rançon et déchiffrer ses fichiers. Par malchance, il arrive que d’autres fichiers exécutables soient installés pour prolonger l’attaque.

     

    Parmi les ransomwares connus

    Ils ont déjà fait beaucoup de dégâts et ne sont pas près de s’arrêter. D’ailleurs, il s’en développe de nouveaux tous les jours.

    – Crytolocker : Il est très virulent. On note qu’il est capable de créer un millier de nouveaux serveurs de commande et de contrôle par jour.
    – CyberPolice : Celui-ci est particulièrement dangereux pour les smartphones Android version 4. Il s’installe grâce à une application malicieuse et demande le paiement d’une rançon en carte cadeau iTunes.
    – Teslacrypt : Ce ransomware visant les joueurs n’est plus actif. D’ailleurs, ses clés de déchiffrement ont été publiées sur internet. Il utilise une faille Adobe Flash pour pirater les jeux (Call of Duty, World of Warcraft, Minecraft et World of Tanks) dont il chiffre les données.
    – Reveton : Il s’agit d’un vieux ransomware qui se diffuse régulièrement. Il bloque l’écran en se faisant passer pour le FBI.
    – RaaS ou Ransomware as a Service : Toujours plus fort ! Moyennant finances, les hackers mettent à votre disposition un site pour créer et diffuser vos propres attaques. Inutile de préciser que cette expérience est très fortement déconseillée !

    Il existe beaucoup d’autres ransomwares comme par exemple :
    – Locky : On ne le présente plus. Depuis 2015, Locky a été identifié dans 95% des cas d’attaques enregistrés dans les entreprises françaises.
    – Cryptodefense
    – Critoni / CTB-Locker
    – Rokku
    – Maktub
    – Petya : il chiffre les disques
    – Kimcilware : il cible les serveurs uniquement…

     

    Comment réagir face aux ransomwares ?

    Comme vous l’avez compris, ces attaques fonctionnent si bien qu’elles vont se développer. Pour se protéger des ransomwares, il faut détecter et bloquer les menaces. Toutefois les malwares étant de plus en plus sophistiqués, aucune solution ne pourra à coup sûre empêcher l’infection.

    La règle en cas d’infection : Débranchez la machine infectée du réseau. Isolez les serveurs de fichiers le temps de localiser l’origine et la portée de l’attaque. Une fois stoppée, ne payez pas et portez plainte ! Soyez extrêmement vigilants car certains ont payé et n’ont jamais retrouvé leurs données.

    Conseil n°1 – Sauvegardez régulièrement vos données !
    Assurez-vous de la qualité de vos sauvegardes en les testant et surtout, méfiez-vous du fait que vos sauvegardes ne soient pas accessibles par le biais d’un simple accès réseau car elles seraient instantanément cryptées et donc inutilisables. Il est très important de conserver des sauvegardes « hors ligne », sur bande LTO par exemple, à l’extérieur de l’entreprise.

    Conseil n°2 – Ne soyez pas administrateur de votre poste
    Grâce au statut d’administrateur de votre poste, le ransomware infecte plus facilement vos données sans rencontrer de difficultés à parcourir vos réseaux.

    Conseil n° 3 – Appliquez les patchs de sécurité
    Par sécurité, il est conseillé d’appliquer régulièrement les nouveaux patchs de sécurité Windows, Microsoft Office, Adobe Acrobat, Adobe Flash, Google Chrome, Internet Explorer, Firefox, etc. Méfiez-vous des exploits de navigateurs car ils sont la source fréquente d’attaques. Pensez à désactiver les macros car là aussi les attaques sont fréquentes.

    Conseil n° 4 – Eduquez vos utilisateurs
    Eduquer les utilisateurs est primordiale car ils sont souvent à l’origine des infections.

    Conseil n°5 – Installez un antivirus
    Même si l’antivirus traditionnel qui s’appuie sur les signatures n’est plus vraiment efficace, il reste tout de même nécessaire pour se prémunir des attaques virales traditionnelles et toujours actives.

    Conseil n°6 – Veillez à la réputation des sites
    En bloquant l’accès à des sites malicieux et en bloquant les spam et le phishing vous pouvez limiter l’action du malware et éviter l’infection initiale. D’autre part, n’oubliez pas que bon nombre de ransomwares se connectent à des serveurs de commande et de contrôle.

    Conseil n°7 – Créez une liste des applications saines
    Puisque beaucoup de ransomwares utilisent des exécutables, assurez-vous de bloquer les sources inconnues ou suspectes en créant une liste des applications sans risque ou à très faible risque. Certaines restrictions via GPO sur les environnements Microsoft permettent de ne pas autoriser de process hors liste blanche, cela permet de se protéger de certaines attaques (mais pas toutes !) mais promet beaucoup moins de souplesse aux utilisateurs pour l’installation de nouveaux logiciels.

    Conseil n°8 – Testez les fichiers en amont de votre réseau
    Les solutions de sandboxing permettent de tester les fichiers avant qu’ils entrent sur le réseau. Ces solutions visent particulièrement les attaques email et web. Il est possible que certaines solutions de sandboxing aient un impact sur le délai et perturbe un peu les utilisateurs mais leur action vous met à l’abri de bien des catastrophes.

    Conseil n°9 – Nettoyez les documents
    Tous les documents de type Word, PDF ou autres fichiers courants doivent être analysés et nettoyés avant d’être délivrés à leur destinataire. Des solutions de sanboxing comme Sandblast de Check Point permettent de « nettoyer » les fichiers Word, PDF et autres. On entend par nettoyer, par exemple, désactiver les liens hypertextes, supprimer les macros…

    Conseil n°10 – Déchiffrement SSL
    Une attention toute particulière doit être apportée aux flux chiffrés puisque près de la moitié des attaques passent par ces flux.

     

    Quelles stratégies adopte un acteur majeur de la sécurité IT tel que Check Point Software Technologies ?

    Pour réduire au maximum les risques d’infection par un ransomware, Check Point met en œuvre des solutions capables de détecter et de bloquer le malware. Elles agissent à plusieurs niveaux :

    – 1er niveau : Interception des virus connus ou anciens grâce à ses solutions IPS, antivirus et antibot

    – 2ème niveau : Détection des virus inconnus ou zero day et émulation OS et analyse au niveau des instructions envoyées au CPU grâce à sa solution Sandblast

    Philippe RONDEL, Directeur Technique de Check Point France, s’est exprimé sur notre blog sur la stratégie de son entreprise sur le marché de la sécurité. Je vous invite à lire son billet.

     

    Si les pratiques actuelles de piratage informatique vous intéressent, je vous invite à visiter le site (fiable) Hack Academy.

     

    Si vous avez besoin de conseils ou d’un accompagnement sur un projet de sécurité IT, n’hésitez pas à m’en faire part ou bien à contacter CERIEL Infrastructure et Services IT.

     

    Evénement technique à ne pas manquer !

    Pour aider les entreprises à se protéger de ces menaces, CERIEL Infrastructure et Services IT et Check Point Software Technologies organisent le 22 septembre 2016 à Mont Saint Aignan (banlieue de Rouen 76) une table ronde technique sur le thème « Faire face aux attaques Zero Day ». Venez échanger avec les autres participants !