Comprendre le ransomware : tactiques et approches

feature_whyransomware-300x300Comment les entreprises se préparent-elles à contrer les attaques par ransomware ? Une enquête récente révèle que certaines entreprises vont jusqu’à  se procurer des Bitcoins, pour récupérer rapidement leur données verrouillées et prises en otage par un ransomware.  Il n’est guère recommandé de régler la rançon, car cela ne garantit en rien la récupération des fichiers mais, au contraire, encourage ce type d’exaction. Mais on ne peut guère mettre à l’index ces grandes organisations et entreprises qui le font. Les attaques par ransomware peuvent mettre à l’arrêt les opérations métiers, grever la productivité et nuire à la réputation des entreprises victimes, autant de vecteurs de perte supplémentaire.

Comment expliquer la prévalence du ransomware ?

Pour éviter de compter parmi les victimes d’un ransomware, il est important d’en comprendre le mode opératoire. Les techniques d’ingénierie sociale et les outils de chiffrement jouent un rôle essentiel dans le succès des attaques basées sur des ransomware. Mais au-delà, l’épidémie actuelle de ransomware associe différents processus malveillants qui peuvent causer de lourds dommages.

Imaginons qu’une entreprise X se rende compte que ses fichiers et données importants ont été chiffrés et pris en otage jusqu’à paiement d’une rançon. Les équipes informatiques font le nécessaire pour déconnecter et isoler le système infecté du réseau. Puis elles tentent de nettoyer et de restaurer le PC infecté… Mais cela n’est guère simple.

En effet, une des méthodes utilisées par certains ransomware, comme  CRYPWALLLockyCERBER et CRYPTESLA consiste à supprimer les copies masquées de sauvegarde à l’aide de la commande suivante. Difficile alors de procéder à une restauration :

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

D’autres techniques peuvent également être utilisées parmi lesquelles :

Modification du démarrage

La modification ou la suppression du Master Boot Record (MBR) rend impossible le démarrage du système, même en mode sans échec parfois. C’est ainsi que procède la variante PETYA notamment. De son côté, MATSNU exécute une commande backdoor pour supprimer le MBR et l’écran de verrouillage.

Tactique de propagation

Il est particulièrement complexe de restaurer les fichiers d’un système compte tenu de l’algorithme de chiffrement utilisé par le ransomware. Ce qui est d’autant plus vrai lorsque la menace prolifère via des médias amovibles et des dispositifs de partage sur le réseau, ce qui étend le chiffrement à de nouvelles données. Le ransomware  Zcryptor (ZCRYPT crypto-ransomware) se propage via des dispositifs amovibles.

Mécanismes anti-détection

Des processus de surveillance sont parfois utilisés pour redémarrer le malware si de dernier est mis à l’arrêt. Le mode opératoire consiste à activer un processus de chiffrement accompagné d’un autre processus de surveillance qui en assure la pérennité. Autre technique employée par les ransomware : l’identification de l’environnement, pour savoir s’il s’agit d’un environnement virtuel VMware.

process-tree_watchdog_final

 

Figure 1. Arborescence des processus d’infection de CryptXXX, avec notamment un processus de surveillance

VIRLOCK se différencie des autres menaces ransomware compte tenu de son chiffrement polymorphe qui utilisation de nouvelles clés pour chaque infection perpétrée. Ce ransomware est également susceptible d’insérer un code logiciel aléatoire et des appels API dans les fichiers infectés, comme illustré ci-dessous. Ces deux caractéristiques rendent la détection du malware plus complexe, d’autant que ce dernier peut utiliser plusieurs fonctions de chiffrement pour rester furtif et contourner les analyses.

virlock_cropped

 

 

 

 

Figure 2. Code inséré par VIRLOCK pour éviter de se faire détecter

Autres techniques

Une autre technique utilisée par les ransomware consiste à analyser le réseau à la recherche du protocole SMB, utilisé pour le partage de ressources connectées au système infecté. C’est de cette façon que procède CryptoFortress, identifié l’année dernière. CRYPWALL (versions 3 et 4) est capable de lister les lecteurs réseaux. Si ces derniers sont mappés, les fichiers qui y sont hébergés sont alors susceptibles d’être chiffrés.

Certaines variantes, comme PowerWare et  POSHCODER, tirent également parti de services légitimes tels que la fonction Windows PowerShell . De son côté, CryptoLocker utilise l’algorithme DGA (Domain Generation Algorithm) pour se connecter à son serveur C&C. Notons que certaines menaces, comme CryptXXX détournent des informations susceptibles d’être revendus par les auteurs de l’attaque.

Les administrateurs IT trouveront qu’il est particulièrement complexe de maîtriser les ransomware qui exploitent les vulnérabilités. C’est le cas de SAMSAM qui utilise une vulnérabilité de  Jexboss pour pénétrer sur le réseau via des serveurs vulnérables et se propager. De plus, l’infection de fichiers de document et de média peut également rendre le nettoyage difficile, comme c’est le cas avec VIRLOCK.

Une ligne de défense multicouche s’impose

Face à la difficulté à pouvoir restaurer des fichiers chiffrés, certaines organisations victimes de ransomware décident de payer la rançon. Mais le risque en payant est de devoir subir de nouvelles campagnes de spam, car ces organisations sont identifiées en tant qu’entité qui accepte de régler une rançon. En effet, lorsque vos fichiers sont chiffrés, les assaillants y associent souvent un identifiant à la page de déchiffrement qui vous est dédiée. D’autre part, il est simple d’identifier les adresses email de ceux qui ont cliqué sur un email infecté ou ouvert un fichier joint vérolé.

La compréhension des ransomware permet aux entreprises de mieux sécuriser leur environnement. La sauvegarde des fichiers est recommandée, mais il ne s’agit pas d’une panacée, certains ransomware étant capables de chiffrer ces sauvegardes. Il devient donc essentiel de déployer plusieurs couches de défense pour sécuriser les environnements ciblés, des postes clients, aux réseaux et aux serveurs. C’est précisément que Trend Micro propose au travers de ses différents outils :

Au niveau des endpoints, Trend Micro Smart Protection Suites prévient l’exécution des processus malveillants présentés dans ce post, grâce à un monitoring comportemental, le contrôle applicatif et la prise en charge des vulnérabilités. La fonction anti-ransomware détecte et neutralise proactivement les ransomware et empêche le chiffrement. La menace ne peut plus se propager vers d’autres systèmes ou attteindre les serveurs.

Il est également possible de neutraliser la menace en amont des endpoints, au niveau des passerelles Web et email. C’est le rôle de Trend Micro™ Deep Discovery™ Email Inspector qui détecte et bloque les emails de ransomware et leusr fichiers joints malveillants. Sa technologie de sandbox personnalisée détecte également les variantes qui utilisent des macros. Le service de réputation IP et Web proposés par la solution permettent d’autre part de maîtriser les risques de ransomware au niveau de l’email et du Web.

Pour la protection du réseau, Trend Micro Deep Discovery Inspector détecte et neutralise les ransomware sur le réseau, ainsi que les mouvements latéraux d’infection sur le périmètre interne, grâce à sa sandbox antimalware et ses fonctions d’analyse réseau.

Les ransomware comme SAMSAM ciblent les serveurs, et c’est tout l’intérêt de la solution Trend Micro Deep Security™ et de sa fonction de patching virtuel, de neutraliser de tels ransomware en amont des serveurs physiques, virtualisés ou cloud.

Pour les petites entreprises, Trend Micro Worry-Free Services Advanced offre la solution de sécurité email Hosted Email Security, basée dans le Cloud. La protection des endpoints est également assurée via un monitoring comportemental et des services de réputation Web en temps réel qui détectent et neutralisent les ransomware.

Quant au grand public, il est invité à tester Trend Micro Security 10, un antimalware capable de combattre les ransomware, en neutralisant l’accès aux sites web, aux emails et aux fichiers associés à cette menace.

Trend Micro propose également des outils gratuits : Trend Micro Lock Screen Ransomware Tool, pour détecter et supprimer les ransomware qui verrouillent les écrans, ainsi que Trend Micro Crypto-Ransomware File Decryptor Tool, qui peut déchiffrer les fichiers piratés par certaines variantes de crypto-ransomware, sans règlement de rançon et sans clé de déchiffrement.

 

Leave a Reply

Your email address will not be published. Required fields are marked *