Les ransomwares, ou rançonlogiciels, en interdisant l’accès à des données sensibles, ont inventé un nouveau type de cyber attaque : le chantage numérique. Ils affectent aujourd’hui des victimes dans le monde entier, dans toutes les langues. Ciblant à l’origine exclusivement les systèmes sous Windows, ils touchent désormais d’autres systèmes d’exploitation tels qu’Android (Simplocker) et Mac OS X (KeRanger), et représentent une menace majeure pour les entreprises de toutes tailles, en raison de leur prolifération et de leur popularité grandissante auprès des cyber criminels.

Des solutions existent, qui permettent de limiter efficacement les risques et les dommages causés par les ransomwares, quel que soit le canal qu’ils utilisent pour s’introduire dans les organisations.

Trois types de dommages

Les ransomwares causent trois types principaux de dommages.

Chiffrement de documents et données d’entreprise ou personnelles
Les ransomwares sont conçus pour chiffrer des documents et des données importantes sur un système pour les rendre inaccessibles. Les fichiers chiffrés ne pouvant être restaurés avec des solutions de sécurité disponibles sur le marché, la victime n’a pas d’autres choix que de payer la rançon ou de profiter de sauvegardes pré existantes pour récupérer les fichiers. Dans de nombreux cas, une restauration complète est impossible sans la clé de déchiffrement fournie par l’attaquant. Une fois qu’un ordinateur a été infecté par un ransomware, les dommages sont quasiment toujours instantanés et inévitables.

Dommages indirects
Les ransomwares peuvent aussi causer des dommages indirects sur des équipements tels des serveurs de fichiers ou des systèmes de stockage partagé. Si l’ordinateur de la victime initiale est connecté à ces équipements, le ransomware pourra souvent chiffrer toute la ressource partagée. Lors de campagnes de ransomwares, des cyber criminels peuvent ainsi propager le malware sur d’autres systèmes au sein d’une même organisation. Certains outils utilisés pour télécharger les ransomwares peuvent aussi dérober des identifiants email, ce qui permet aux attaquants de les utiliser pour accroître la propagation du malware.

Grâce à ces mécanismes de prolifération, un seul PC infecté peut disperser un ransomware d’un bout à l’autre d’une entreprise et causer d’importants dommages.

Divulgation d’informations confidentielles durant la restauration des données
Des cyber criminels peuvent aussi entreprendre de dérober des données dans des systèmes affectés par des ransomwares. Dans de multiple cas, des acteurs malveillants ont déployé sur leurs victimes simultanément des ransomwares et des outils conçus pour dérober des données. Les infections de ransomwares servent souvent de point d’entrée pour permettre aux attaquants d’exécuter d’autres actions malveillantes.

Identifier les mécanismes d’attaque

Il n’existe pas de réponse unique pour lutter contre la menace posée par les ransomwares. La victime typiquement soit paie la rançon et espère ainsi avoir résolu le problème, soit risque des dommages importants tout en essayant de restaurer lui-même ses données.

Payer la rançon n’est pas une solution satisfaisante. En dehors du fait que cela représente un coût financier pour la victime, cela accroît la motivation de l’attaquant et l’incite à renouveler ses attaques. Les forces de l’ordre ne font aucune recommandation en ce sens et insistent plutôt sur la prévention et les plans d’urgence en cas d’attaque.

En règle générale, prévenir les attaques de ransomwares passe d’abord par le maintien des systèmes d’exploitation et des logiciels parfaitement à jour, et le respect par les employés des meilleures pratiques lors de leurs navigations sur Internet. Accroître la sécurité des emails pour bloquer les messages de ‘phishing’ est également très efficace. En cas d’infection, des sauvegardes régulières peuvent également limiter les dommages et accélérer les délais de restauration.

En dehors de ces mesures simples, les organisations doivent avant tout s’attacher à identifier les mécanismes d’intrusion des ransomwares, et mettre en place des solutions de sécurité capables de protéger leurs informations critiques.

Les ransomwares s’introduisent dans les systèmes via deux canaux principaux : le web et les emails.

Infection via le web

Les ransomwares peuvent s’introduire dans les systèmes via des sites web en utilisant des malwares de type ‘exploits’. L’attaquant infecte un site légitime ou infiltre un réseau publicitaire pour insérer du code qui redirige la victime vers un autre site qui contient l’exploit. Une fois avoir infecté l’ordinateur de la victime, le ransomware se connecte à un serveur de commande et de contrôle qui permet à l’attaquant de collecter des informations utiles.

Quatre mesures peuvent aider à réduire efficacement les dommages causés par des ransomwares introduits via le web :

  • Une analyse précise de tout le processus d’infection, du site web légitime auquel l’utilisateur a accédé au départ à la page redirigée et au site de l’infection finale.
  • La désactivation des scripts fonctionnant sur le navigateur.
  • Une analyse comportementale du code malicieux pour déterminer sa dangerosité et les facteurs d’infection.
  • Le blocage des accès au serveur de commande et de contrôle.

La mise en place de l’une quelconque de ces mesures peut limiter l’impact d’un ransomware.

Infection via email

Les emails représentent le principal canal d’infection des ransomwares. Lorsqu’ils sont introduits par ce biais, ils sont délivrés via des pièces jointes et des liens dans le message lui-même. Les attaquants utilisent souvent des techniques d’ingénierie sociale pour amener la victime à ouvrir la pièce jointe ou cliquer sur le lien.

Des fonctions d’analyse comportementale sont les plus efficaces pour bloquer proactivement les attaques et réduire ainsi les risques d’infection.

Mettre en place des solutions de sécurité adaptées

Un certain nombre de solutions « anti ransomwares » existant sur le marché se concentrent uniquement sur les sauvegardes de fichiers et sur la détection de types spécifiques de malwares. Et ne fournissent pas d’informations claires sur le canal emprunté par les attaquants, ou sur les moyens nécessaires pour bloquer efficacement les attaques.

Les meilleures solutions s’attachent au contraire à fournir une visibilité complète sur les tactiques et processus employés par les attaquants. Et fournissent une stratégie de réponse spécifique pour chaque canal d’intrusion (web et email).

La sécurité des emails est la première ligne de défense

Des solutions de sécurité des emails sont aujourd’hui capables de bloquer efficacement les ransomwares distribués via des pièces jointes ou des liens malveillants, en exécutant et analysant les contenus suspects avant que les messages ne parviennent à leurs destinataires.

Des solutions existantes permettent aussi de limiter les attaques par ransomware via le web en identifiant les sites de distribution des ‘exploits’ et en les bloquant.

Les tactiques d’intrusion des ransomwares comprennent trois étapes principales.

Infection initiale
A cette étape, la victime est redirigée d’une page web normale vers le site de distribution du code malicieux, puis ‘l’exploit’ est activé. Les meilleures solutions de sécurité réseau sont capables d’identifier les processus d’attaque dans le trafic web. Ceci permet aux organisations de savoir quels sites web sont utilisés comme sites de distribution de ransomwares  et d’appliquer des politiques actives de blocage de ces sites.

Chiffrement des fichiers
A ce stade, les systèmes infectés par un ransomware peuvent manifester un comportement inhabituel. Si le ransomware n’a pas été identifié à l’étape de l’infection initiale mais s’il est détecté au cours de la phase de chiffrement des fichiers, la solution doit réaliser une analyse détaillée du code malicieux et utiliser des indicateurs d’infection pour bloquer le ransomware, mettre en place des mesures de réduction de la menace et identifier les ordinateurs infectés. Par exemple, si le ransomware démontre sa capacité à désactiver la fonction de restauration des fenêtres ou à chiffrer les fichiers, la solution analyse ces comportements et fournit des indicateurs détaillés à l’utilisateur. Ceci non seulement aide à détecter une attaque identique contre d’autres utilisateurs, mais peut aussi prévenir la propagation du ransomware dans l’ensemble du réseau.

Systèmes de commande et de contrôle
A cette étape, le ransomware envoie des informations sur l’infection à des serveurs de commande et de contrôle ou reçoit de ceux-ci les clés de chiffrement. Les meilleures solutions sont capables de détecter et de bloquer l’accès des malwares à ces serveurs. Si le ransomware ne peut communiquer avec ses serveurs de commande et de contrôle, il ne peut pas chiffrer les fichiers ou causer d’autres types de dommages.

 

____________
David Grout est CTO EMEA de FireEye