Génération Ransomware 2016 : le top 6 des derniers nés et comment vous en protéger

La vague de ransomwares qui déferle actuellement sur le monde informatique risque de faire chavirer la politique sécurité de plus d’une entreprise. Toujours plus nombreux et virulents, la météo des ransomwares est loin d’être maussade. Alors, pour garder la tête hors de l’eau, Stormshield surfe sur l’actualité et dresse le profil des six derniers ransomwares pour mieux comprendre la dynamique du phénomène avec en prime, le gilet de sauvetage offert contre Locky et ses amis, CTB-Locker, TeslaCrypt, Petya, SamSam.

Qu’est-ce qu’un ransomware ?

Le ransomware (ou rançongiciel en français) correspond à une catégorie particulière de logiciels malveillants qui en cas d’infection, bloquent tout ou partie de votre ordinateur et réclament le paiement d'une rançon dans un délai imparti généralement en bitcoins (monnaie électronique). En clair, non seulement votre ordinateur est pris en otage mais surtout, le paiement de la rançon ne garantit en rien la récupération saine et sauve de votre machine et de son précieux contenu. Dans la majorité des cas, les données passées aux mains de l’attaquant sont perdues de manière irréversible.

Les différents visages du ransomware

Il y a deux types de ransomwares : les ransomwares classiques dit « policiers » qui se figent votre navigateur (appelés Browlock) ou paralysent entièrement votre ordinateur. La deuxième catégorie de plus en plus répandue et probablement la plus néfaste est celle des « Crypto-ransomwares » ou « cryptowares ». Le logiciel malveillant va chiffrer les documents contenus sur votre ordinateur les rendant illisibles sans la clé de déchiffrement détenue par le pirate qui exige alors une rançon en échange de cette clé.

Les modes d’infection des ransomwares :

  • Un e-mail frauduleux (dans lequel se trouve une pièce jointe infectée)
  • Un site internet compromis ou malveillant
  • Une installation de logiciel de source non fiable
  • Les réseaux sociaux (qui facilitent le social engineering)

Les derniers nés de la génération ransomware

Locky n’épargne personne

Locky est un crypto-ransomware qui fait beaucoup parler de lui depuis le mois de février. Il se répand actuellement comme une trainée de poudre dans toute l'Europe, principalement au travers de macros malicieuses dans un document Word, généralement transmis à la victime lorsque cette dernière télécharge la pièce jointe d’un email malveillant. Il chiffre les fichiers sur le poste de travail et parfois sur un réseau entier.

Par ailleurs, il évolue chaque semaine en utilisant de nouvelles méthodes de propagation. Par exemple, certains groupes favorisent la propagation du malware en payant des individus spécialistes en exploitation de failles de sécurité. Ces derniers utilisent des vulnérabilités, notamment 0day, pour prendre le contrôle de l'ordinateur et installer Locky sur le poste.

CTB Locker, un nouvel adversaire sur mesure

CTB-Locker est également un crypto-ransomware découvert en février de cette année et cible toutes les versions de Windows sans exception (à partir de Windows XP). Le ransomware se propage principalement par email piégé, mais aussi via des sites webs compromis ou malveillants. Les campagnes d’emails frauduleux en question sont efficaces car elles ciblent un groupe d'utilisateurs particulier pour lequel les messages sont personnalisés (dans la langue de l’utilisateur notamment) et donc plus percutants qu’un email standardisé et envoyé en masse.

Une fois exécuté, il parcourt en silence dans l’arrière-plan de votre machine, l'ensemble des disques durs et des partages réseaux, s’empare d’une liste de fichiers (documents office, images, textes etc.) et les place dans une archive chiffrée protégé par mot de passe.

Afin de ne pas être détecté par les experts sécurité des entreprises, CTB-Locker est doté d’un mécanisme d’anti-debugging, qui lui permet de repérer et donc de ne pas s’exécuter sur les machines virtuelles utilisées par les experts en sécurité pour analyser les malwares. Enfin, le ransomware démontre une versatilité inquiétante, avec plusieurs variantes détectées à son actif dont la dernière, une variante serveur découverte par un de nos experts Stormshield.

TeslaCrypt, le ransomware qui cache bien son jeu

Nous avons publié un article détaillé en anglais sur le cryptoware TeslaCrypt apparu en février 2016 : https://thisissecurity.net/2016/03/02/lets-ride-with-teslacrypt/

Le ransomware analyse votre ordinateur, sur l'ensemble de vos lettres de lecteurs, à la recherche de vos fichiers de données. Il ignore Windows lui-même et les applications pour permettre à l'ordinateur de continuer à fonctionner afin d'aller sur Internet et payer la rançon. Les fichiers de données sont chiffrés en utilisant un chiffrement AES. Le chiffrement AES étant l’un des plus robustes, il assure au hacker un contrôle total sur les fichiers sans aucune chance pour la victime de pouvoir récupérer ses fichiers en clair. Certaines versions de ce malware ciblent particulièrement les PC des gamers. Son mode d'infection est multiple mais se fait en grande majorité par des emails ou des exploits kits.

Petya, encore plus agressif que Locky

Ce ransomware est encore plus agressif que Locky puisqu’en plus de chiffrer les fichiers, Petya va lui chiffrer les premiers secteurs du disque système ; empêchant alors le système d’exploitation de l’ordinateur de se charger. Il rend donc totalement inutilisable l’appareil ciblé. Cette agressivité démontre encore une fois l’aspect lucratif de ce type de malwares. Le prétexte utilisé pour infiltrer les disques durs est, par exemple, un CV envoyé par email au département des ressources humaines d’une entreprise. Si le réseau est infecté, l’ordinateur est totalement inutilisable. Tant que la rançon n’est pas payée, avec une issue qui reste incertaine, les informations de l’entreprise sont condamnées.

Samsam déterre le Hash de guerre

La particularité de ce nouveau cryptoware est l’utilisation de la technique dite « Pass the Hash », qui constitue un réel danger pour la sécurité des réseaux d'entreprise. Les pirates informatiques utilisent cette technique pour contourner les systèmes d’authentification au serveur et accéder aux informations confidentielles et aux applications critiques. Il permet à l’attaquant, qui a réussi à compromettre un poste de travail ciblé, d’étendre son emprise sur l’ensemble des machines et du système informatique d’une entreprise. Ce mécanisme ne pouvant pas être bloqué par un anti-virus, les entreprises doivent prendre conscience de la gravité de ce type d’attaque et changer d’attitude face aux risques encourus par leur infrastructure IT.

Samsam a récemment bloqué MedStar Health, une organisation gérant une dizaine d’hôpitaux dans le Maryland et l’état de Washington  Au total, 45 bitcoins ont été demandés pour déverrouiller tous les systèmes affectés, soit environ 18.500 $.

Cerber, la dernière bête noire de la communauté cybersécurité

Cerber est ce qu’on appelle un Ransomware As A Service (RaaS), bien que ce ne soit pas le seul, c’est une tendance qui pointe le bout de son nez et qui va en s’intensifiant. Désormais, les fraudeurs peuvent acheter le logiciel malveillant et l’opérer à volonté. Le réseau de malfaiteurs ne se limite donc plus à un cercle d’experts de la programmation et de l’écriture de logiciels. Avec, les innovations fulgurantes du ransomware, la société assiste petit à petit à l’éclatement et l’amplification du marché noir de la criminalité. C’est une véritable commercialisation généralisée et organisée de cette criminalité qui se met en place.

Des conseils indispensables pour vous protéger des ransomwares :

  • Tenez à jour votre ordinateur (du système d’exploitation, logiciels et plugins)
  • Réaliser des sauvegardes de vos fichiers les plus importants
  • Ne cliquez pas sur les liens provenant de sources inconnues

Vers une génération « Super Cryptoware »

On peut s’attendre sans nul doute non seulement à une recrudescence de l’apparition de nouveaux ransomwares mais aussi à une métamorphose toujours plus complexe dans les mois à venir du visage des cryptowares. Le phénomène ransomware ne fait que commencer et son évolution sera au cœur de l’actualité pour encore longtemps.

L’une de ces évolutions à surveiller concerne les modes toujours plus innovants, de propagation des ransomwares. A titre d’illustration, on note que Locky et Cerber utilisent parfois l’exploitation d’une vulnérabilité 0day pour se répandre ; un canal beaucoup plus impactant en terme de volume que l’email. Cette tendance montre que le caractère très lucratif du ransomware incite les attaquants redoubler de malice pour atteindre le plus de victimes possibles. Alors que le profil des pirates se diversifie, ils gagnent donc également en puissance à travers la génération ransomware.

Non, un antivirus n’est pas suffisant

Parce que les pirates élaborent des scénarios d’attaque et des malwares toujours plus complexes et intelligents, l’installation d’un antivirus n’est désormais plus assez efficace pour protéger le poste de travail. En effet, les malwares déjouent aisément le système d’analyse de signature et une identification proactive de comportements malicieux comme le propose Stormshield Endpoint Security, est maintenant indispensable pour contrer les nouvelles menaces connues comme inconnues. Ainsi, la technologie Stormshield Endpoint Security permet de maîtriser l’ensemble des ransomwares présentés dans cet article et pour la majorité de les bloquer avant même qu’ils ne soient identifiés par la communauté cybersécurité. Pour comprendre les différences avec votre antivirus classique, découvrez notre infographie ici.

Pensez au garde-fou pour votre réseau

Dans certains cas comme celui de Locky, le poste de travail n’est pas votre seul point de ralliement pour vous prémunir des dangers d’un ransomware.

En effet, si une protection comme Stormshield Endpoint Security empêche le logiciel malveillant de s’exécuter sur votre ordinateur et/ou l’exploitation de la vulnérabilité (via un exploit kit), un pare-feu nouvelle génération tel que Stormshield Network Security apporte une couche de protection complémentaire au niveau du serveur.

Ainsi, si votre PC est infecté par Locky à cause d’un anti-virus peu performant, Stormshield Network Security empêchera le ransomware d’obtenir la clé de chiffrement auprès du serveur sur Internet et donc de chiffrer vos documents. Sans possibilité de brouiller vos documents, le ransomware ne pourra pas donc mettre sa menace de rançon à exécution.

Sources :
https://thisissecurity.net/2016/02/26/a-lockpicking-exercise/
https://thisissecurity.net/2016/03/02/lets-ride-with-teslacrypt/
http://korben.info/locky-quil-y-a-a-savoir-malware-moment.html
http://www.undernews.fr/malwares-virus-antivirus/ctb-locker-tout-ce-quil-faut-savoir-sur-ce-ransomware-agressif.html
https://stopransomware.fr/

Partager sur

A propos de l'auteur

mm
Marco Genovese
Stormshield Network Security Product Manager, Stormshield

Marco Genovese est né à Asti, petite ville italienne plus connue pour son excellent vin que pour ses infrastructures informatiques. Après une expérience à but non lucratif visant à amener l'Internet au grand public, Marco va étudier l'informatique et collaborer avec diverses entreprises du secteur de la sécurité. Il rejoint Netasq en 2008 en tant qu'ingénieur avant-vente et décide, après quelques années, de combiner qualité de vie et accès aux infrastructures informatiques en déménageant à Paris. Depuis novembre 2016, il est Product Manager Stormshield Network Security.

Lire la suite