Comprendre le ransomware : tactiques et approches (suite)

Feature_Image_400x400-300x300Après nous être penché sur les tactiques de chiffrement des ransomware, il nous semble tout aussi important de comprendre comment ils s’immiscent au sein d‘un environnement. Nos études soulignent que les ramsomware, dans leur grande majorité, peuvent être neutralisés au niveau des couches Web et email. Trend Micro a ainsi neutralisé 66 millions de messages de spam liés aux ransomware, URL malveillantes et menaces, de janvier à mai 2016.

Le ransomware est devenu très lucratif pour les cybercriminels et, au cours de ces 6 derniers mois, ce sont plus de 50 nouvelles familles qui ont été identifiées, contre 49 sur la période de 2014 à 2015. Cette popularité tient, entre autres raisons, à la technique d’extorsion de fonds. En jouant principalement sur la peur des victimes de voir leurs données supprimées à jamais, les cybercriminels ont fait évoluer leurs techniques, du simple verrouillage de l’écran de l’utilisateur avec affichage d’une demande de rançon à, aujourd’hui, la manipulation des données.

Les débats autour du ransomware se focalisent beaucoup sur le fichier malveillant en lui-même, celui qui permet au ransomware de s’installer. Le mécanisme d’arrivée n’est, en revanche, que trop rarement étudié. On pense, souvent à tort, que ce mécanisme n’est guère nouveau ou créatif : les auteurs de ransomware auraient simplement opté pour des tactiques éprouvées qui associent email et Web. Mais ces tactiques, même si simples, ne sont généralement pas visibles et identifiées par les utilisateurs, et cette furtivité est essentielle pour contourner les solutions de sécurité traditionnelles.

Le spam : vecteur traditionnel d’infection

Penchons-nous sur les tactiques de spam utilisées par le ransomware pour déjouer les filtres antispam. De manière générale, le spam lié au ransomware contient un fichier joint malveillant qui télécharge le ransomware. C’est le cas notamment de CryptoLocker qui utilise un fichier joint malveillant en tant que base de téléchargement de ZeuS/ZBOT. Puis, ce malware de détournement de données télécharge à son tour CryptoLocker avant de l’exécuter.

Mais les cybercriminels vont plus loin. Certains crypto-ransomware utilisent en sus des macros, cette bonne vieille tactique remise à goût du jour pour contourner les sandbox en demandant à l’utilisateur d’activer manuellement les macros embarquées dans les fichiers joints malveillants, pour initier l’infection. C’est à ce niveau qu’interviennent les techniques d’ingénierie sociale qui tirent parti des faiblesses inhérentes à la psychologie humaine.

Le crypto-ransomware Locky  utilise ainsi des macros jointes aux emails, ainsi que des objets de formulaire (que l’on retrouve dans les macros) pour dissimuler le code malveillant. C’est ce malware qui a ciblé le Hollywood Presbyterian Medical Center en février dernier.

fig1_spamFigure 1. Exemple de message envoyé en spam et lié à Locky

Nous avons également observé des fichiers joint JavaScriipt qui téléchargent automatiquement des variantes telles que XORBAT, ZIPPY, TeslaCrypt 4.0, CryptoWall 3.0, et Locky. Un autre langage de scripting, VBScript, a également été utilisé pour faire proliférer Locky et CERBER. Notons que l’utilisation de scripts est un moyen potentiel pour déjouer les analyses de scan..

Quel est, généralement, l’objet des emails malveillants ?

L’objet des emails conçus par les cybercriminels est on ne peut plus ordinaire : CV, factures, infos de livraison d’une commande, avis de suspension d’un compte etc. Ces messages donnent bien sûr l’illusion de provenir d’une source parfaitement légitime.

au_post

Figure 2. Exemple de sujet d’email lié à des ransomware comme TorrentLocker

Torrentlocker_Vodafone

Figure 3. Autre exemple de message de spam lié à TorrentLocker

TorrentLocker est une menace qui a lourdement pesé sur nombre d’utilisateurs individuels et professionnels en Australie et en Europe. Et cette menace se distingue : elle se décline en versions locales et personnalise son message, ainsi que son objet, au niveau des langues et des expéditeurs, qui varient selon le pays ciblé. À titre d’exemple, en Australie, les messages étaient prétendument envoyés par la police fédérale australienne, Australia Post ou une autre entreprise connue du pays. Ces emails de spam ne sont envoyés que vers des comptes emails légitimes du pays ciblé, ce qui permet de contourner les antispams : un message émanant prétendument d’une entreprise italienne ne sera envoyé qu’à des utilisateurs italiens.

Le bon timing: un facteur clé de succès

Les assaillants étudient également le moment auquel ils enverront leur email de spam à leurs cibles. Par exemple, aux États-Unis, CryptoWall débarque dans les boîtes emails entre 5 :00 et 9 :00 tandis que les emails associés à TorrentLocker sont envoyés entre 13:00 et 19 :00 pendant les jours ouvrés, ce qui correspond aux heures de travail au sein des organisations ciblées. Notons également que les cybercriminels séquencent leur envoi, en expédiant des volumes relativement peu importants d’emails à des heures différentes de la journée. Ceci, évidemment, afin de leurrer les antispams traditionnels.

Autres tactiques utilisées pour éviter les antispam

Dans le passé, nous avons identifié que les assaillants étaient passés des botnets à des serveurs mail piratés pour envoyer leur spam.

Les solutions de sécurité dotées d’un service de réputation Web/IP, ainsi que d’outils de protection contre le spear phishing peuvent sécuriser la passerelle email , en bloquant, par exemple, tous les emails provenant de destinataires identifiés comme étant malveillants. Les boites emails des destinataires ne seront ainsi pas spammées.

Infection et prolifération via des sites web piratés

Les ransomware sont également hébergés sur des URL malveillantes ou des sites Web malveillants. Des serveurs Web légitimes peuvent être piratés pour réorienter les visiteurs vers des sites malveillants. Les sites Web piratés constituent ainsi un bon moyen de déjouer les outils visant à bloquer l’accès à certaines URL.

En décembre 2015, les cybercriminels ont piraté le blog d’un site d’actualité, The Independent , afin d’infecter les visiteurs à l’aide de TeslaCrypt 2.0. Ces utilisateurs étaient réorientés à de nombreuses reprises, et notamment vers un site Web hébergeant le kit d’exploitation Angler. L’infection s’opérait sen cas de  vulnérabilité CVE-2015-7645 d’Adobe Flash Player sur le système.

Au-delà du piratage de sites Web, les cyber-assaillants s’en sont également pris à des services légitimes pour héberger leurs fichiers malveillants. PETYA, par exemple, était hébergé sur le site de stockage en ligne Dropbox. D’un point de vue technique, la menaces était véhiculée par spam, avec une URL malveillante associée provenant prétendument de Dropbox.

Autres mécanismes pour contourner le filtrage de sites web

TorrentLocker a su tirer avantage des codes CAPTCHA pour éviter le filtrage des pages de destination, la détection des téléchargements furtifs et les analyses antimalware automatisées. Auparavant, les cybercriminels avaient pour habitude d’opter pour des temps de présence en ligne courts pour leurs noms de domaine. Les domaines associés n’étaient disponibles que pendant une période brève (environ une heure). Ceci était bien sûr source de difficulté lorsqu’il s’agissait de bloquer l’accès aux URL hébergeant des ransomware. Notons également que Tor est souvent utilisé pour des raisons d’anonymat.

Des malware distribués par des kits d’exploit

Plusieurs familles de ransomware sont distribuées par des kits d’exploit et via des publicités malveillantes (malvertisement). Lorsqu’un utilisateur visite un site infecté par ce type de publicité, il est possible que les systèmes non patchés soient la cible d’une pléthore de menaces, et notamment de ransomware.

Le tableau ci-dessus montre les familles de ransomware fournies par des kits d’exploit différents :

Kit d’exploit Ransomware distribué (2015) Ransomware distribué (2016)
Angler Exploit Kit CryptoWall, TeslaCrypt, CryptoLocker CryptoWall, TeslaCrypt, CryptoLocker, CryptXXX
Neutrino Exploit Kit CryptoWall, TeslaCrypt CryptoWall, TeslaCrypt, Cerber, CryptXXX
Magnitude Exploit Kit CryptoWall CryptoWall, Cerber
Rig Exploit Kit CryptoWall, TeslaCrypt Ransom_GOOPIC
Nuclear Exploit Kit CryptoWall, TeslaCrypt, CTB-Locker, Troldesh TeslaCrypt, Locky
Sundown Exploit Kit CryptoShocker
Hunter Exploit Kit Locky
Fiesta Exploit Kit TeslaCrypt

Cette année, nous avons identifié que le kit d’exploit Angler distribuait TeslaCrypt. Lorsque les auteurs de ce ransomware ont décidé d’arrêter leurs opérations en Avril, Angler a commencé à distribuer CryptXXX en remplacement. Il semble néanmoins que les concepteurs d’Angler, le kit d’exploit le plus actif l’année derniére, ontmis un terme final à leur activité. Selon cet article, ceci pourrait être dû à l’arrestation d’assaillants qui utilisaient Angler.

Certains cyber-escrocs utilisent d’autres kit d’exploit tels que Neutrino et Rig. CryptXXX et Locky sont distribués par les kits d’exploit Neutrino et Nuclear, respectivement.

Le patching des systèmes est un bon moyen pour prévenir le téléchargement des menaces véhiculées par des kits d’exploit et des publicités malveillantes. Il est tout aussi essentiel de disposer d’un service de réputation Web et d’une solution de restauration des vulnérabilités , pour ainsi bloquer les URL et protéger les systèmes contre les bugs de sécurité.

Comment les solutions Trend Micro sécurisent-elles le périmètre réseau ?

Neutraliser les menaces au niveau de leur passerelle d’infection : c’est la meilleure façon de protéger son réseau, ses données et ses utilisateurs. Lorsque les menaces sont déjà présentes sur les postes clients, il devient plus complexe de s’en débarrasser pour retrouver l’accès aux systèmes. Mais le danger est encore plus grand lorsque ces menaces se propagent sur le réseau, en infectant d’autres systèmes et d’autres réseaux. Les antivirus traditionnels ne sont plus suffisants compte tenu de la nature des ransomware.

D’où l’intérêt de déployer une ligne de défense multicouche, comme l’illustre cette infographie.

Trend Micro propose des solutions qui neutralisent les ransomware au niveau des passerelles d’entrée.

Trend Micro Deep Discovery Inspector détecte et neutralise les rensomware sur le réseau. Sa technologie de sandbox personnalisée est capable d’identifier les variantes de ransomware qui utilisent des macros. Les services de réputation Web et IP, intégrés dans cette solution, empêchent d’accéder aux URL connues pour être malveillantes et bloquent les expéditeurs suspects.

Au niveau du poste de travail, Trend Micro Smart Protection Suites offre de nombreuses fonctionnalités, comme le monitoring comportemental, le contrôle applicatif ou la prise en charge des vulnérabilités. Les ransomware sont détectés en amont de leur exécution : aucun fichier n’est donc chiffré et l’infection ne se propage pas d’un système à l’autre sur le réseau.

Trend Micro Deep Discovery Inspector identifie et neutralise les ransomware présents sur le réseau, grâce à sa sandbox personnalisée  et ses outils d’analyse réseau, tandis que Trend Micro Deep Security™ protège les serveurs physiques, virtualisés et Cloud de l’entreprise, grâce notamment à une solution de patching virtuel qui pallie les vulnrabiltiés utilisées par les kits d’exploit pour distribuer les ransomware.

Pour les petites entreprises, Trend Micro Worry-Free Services Advanced offre la solution de sécurité email Hosted Email Security, basée dans le Cloud. La protection des Endpoints est également assurée via un monitoring comportemental et des services de réputation Web en temps réel qui détectent et neutralisent les ransomware.

Trend Micro propose également des outils gratuits : Trend Micro Lock Screen Ransomware Tool, pour détecter et supprimer les ransomware qui verrouillent les écrans, ainsi que Trend Micro Crypto-Ransomware File Decryptor Tool, qui peut déchiffrer les fichiers piratés par certaines variantes de crypto-ransomware, sans règlement de rançon et sans clé de déchiffrement.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *