Les rançongiciels sont toujours parmi nous. Et si nous pourrions être fatigués d’en entendre toujours parler, les attaquants pour leur part en sont ravis. Ils leur ont permis d’amasser des fortunes relativement facilement et continuent à mettre en échec et à déjouer la sécurité des terminaux. Malgré des informations sur leur déclin, le rapport d’enquêtes sur les violations de données de Verizon 2018 (DBIR) indique que les rançongiciels constituent 39% de toutes les attaques par logiciels malveillants.

Cette persistance peut en partie s’expliquer par leur énorme succès – les ransomwares continuent de générer un retour sur investissement pour les attaquants, justifiant toujours plus d’investissements dans la furtivité et le ciblage des victimes. En outre, des ensembles d’outils facilement disponibles ont permis à quasiment n’importe qui de devenir hacker à l’aide de ransomware. Quand on sait que l’analyse post-violation montre souvent que la victime a déjà été une proie et n’a pas pris les mesures suffisantes pour éliminer les signes cachés ou réduire la surface d’attaque, on ne peut que constater l’échec manifeste de la prévention. Nombreux sont ceux qui ne tiennent pas compte des meilleures pratiques – pourtant largement disponibles en matière de rançongiciel – et voilà pourquoi les attaques par ransomware restent si efficaces.

Les objectifs aussi ont changé. Les gangs du raçongiciel ont commencé à se concentrer, non plus sur les terminaux qui contiennent de petits caches de données, mais sur les cibles autrement plus rentables que sont les systèmes critiques internes. A ce propos, le Rapport Data Breach Investigations 2018 de Verizon mentionnait : « De plus en plus, les cybercriminels ne cherchent pas seulement à crypter les machines d’utilisateurs uniques. Ils opèrent beaucoup plus de dégâts et gagnent beaucoup plus d’argent quand ils parviennent à crypter un serveur de fichiers ou une base de données. »

Les systèmes critiques de ce type constituent l’épine dorsale de n’importe quelle organisation. Quand une entreprise est frappée, elle est paralysée. Dans un tel contexte, rares sont ceux qui peuvent résister à une demande de rançon, face à la perspective de perdre des millions après seulement quelques heures d’inactivité.

Cela peut être catastrophique. Lorsque les attaques NotPetya ont frappé Maersk en 2017, le géant du transport maritime a perdu des centaines de millions de dollars et ses opérations mondiales ont été paralysées.

Plus récemment, la famille de rançongiciels SamSam a été conçue pour se faufiler à travers la sécurité des terminaux et aller directement vers les serveurs critiques des entreprises. Le ransomware ne communique pas toujours avec un serveur C&C, ce qui rend plus difficile sa détection. Il peut aussi être activé manuellement, une fois que le logiciel a détecté et infecté le quota de cibles de l’attaquant. Comme pour WannaCry, l’activation de SamSam a été programmée le week-end ou tard dans la nuit, lorsque la surveillance et les répercussions sur l’utilisateur final sont faibles. Cette forme est classée comme attaque ciblée de type low-and-slow, contrairement à la vague initiale des ransomwares opportunistes.

Powershell et certains logiciels malveillants sans fichier ou en mémoire échappent également à la sécurité du périmètre, en évitant le sandbox et les systèmes basés sur les signatures, voire en s’arrêtant s’ils repèrent la présence d’un logiciel de détection. [Se reporter au Guide de Cyren présenté à InfoSec Europe.]

Le ransomware est systématiquement en avance sur cet état d’esprit de la sécurité qui ne se maintient pas au niveau d’innovation de son adversaire. Une grande partie de l’évolution de l’activité cybercriminelle s’est concentrée sur le moyen de déjouer le périmètre de sécurité qui surveille les transactions entre Internet et le data center, également appelé trafic Nord-Sud. Une fois la cible compromise ou investie, l’attaquant peut naviguer à travers le réseau afin de se rapprocher sans entrave des systèmes critiques. Cela se produit parce que peu d’entreprises ont une surveillance Est-Ouest (ou une surveillance Nord-Sud) à une vitesse ou à un niveau de détail qui permette une détection ou un confinement efficace et immédiat. Certaines des attaques les plus récentes ont été rapidement maîtrisées. Mais, même un court laps de temps entraîne des victimes, peut perturber et coûter cher.

Afin de mieux leur résister, les organisations doivent considérer que les rançongiciels sont beaucoup plus que de simples logiciels malveillants. Les entreprises doivent commencer à s’intéresser au ‘darkspace’ interne des réseaux, en grande partie non surveillé. La capacité à identifier le trafic crypté, au sein duquel les pirates se déplacent si souvent, est tout aussi critique.

A partir de là, une équipe de sécurité doit être en mesure de détecter et d’intervenir lors des dernières étapes d’une attaque, juste quand l’attaquant s’approche de sa cible et lui inflige le plus de dégâts. Il y a une bonne raison pour changer de tactique : les processus de cryptage du ransomware peuvent être très longs – un temps que vous pouvez utiliser pour détecter et faire échouer l’attaque.

Les nouvelles générations peuvent présenter des développements surprenants, mais les comportements des attaques par ransomware comme la reconnaissance, les mouvements latéraux et l’énumération, sont toujours prévisibles, détectables et maîtrisables. L’apprentissage automatique, ou learning machine, est bien plus efficace que les systèmes basés sur des règles et des signatures pour enquêter et suivre l’évolution des comportements. De plus, les tactiques anciennes utilisées pour les malwares, telles que le scan et le sandboxing, prennent du temps, sont inefficaces et sans résultat lorsque l’attaque s’opère en mémoire, sans fichier. Surveiller les comportements – de façon permanente et en temps réel – pour détecter les activités Est-Ouest fait la différence entre un réseau paralysé et un réseau résistant.

Les utilisateurs de ransomwares comptent sur le darkspace – cet espace d’un environnement que même son administrateur ne voit pas – pour activer leurs gains illicites. Afin de suivre les attaquants au-delà du point de terminaison et dans les dernières phases, les organisations et les entreprises ont besoin d’une visibilité claire et d’une détection précise qui apportent une réponse rapide et proactive pour interrompre l’attaque.

Ce niveau de précision est difficile, mais la vitesse compte dans les dernières étapes d’une attaque. Les armes qui peuvent aider à vaincre la menace persistante des rançongiciels et à éclairer le darkspace d’un réseau sont là – il faut simplement les récupérer.

 

_________
Jeff Costlow est Chief Information Security Officer chez ExtraHop.