La sécurité des Endpoints : l’arme ultime contre le ransomware

Thumb-02-300x300Le business des ransomware est en forte croissance, encourageant les cybercriminels à étendre le périmètre de leurs cibles, du grand public aux organisations publiques et privées. Les PME disposent généralement de ressources limitées pour investir dans des solutions de sécurité. De leur côté, les grandes entreprises font face à des risques, en dépit des multiples couches de sécurité déployées. Ces risques peuvent être liés à des partenaires, fournisseurs, clients et même aux collaborateurs. Vis-à-vis de ces derniers, des solutions de sécurité disposant de fonctions de monitoring comportemental et d’un contrôle applicatif peuvent constituer l’ultime ligne de défense contre les menaces et notamment les ransomware.

Figure 1. Les couches de sécurité pour lutter contre le ransomware

Le monitoring comportemental, proposé par des solutions comme Trend Micro™ Smart Protection Suites et Trend Micro Worry-Free™ Services Advanced, identifie et neutralise tout “anomalie”, comportement système suspect ou modification présentant des risques. Cette fonction détecte et neutralise proactivement l’exécution d’un ransomware et des variantes de crypto-ransomware, sur la base de comportements connus ou inconnus (chiffrement, manipulation de processus, téléchargement furtif de fichier, communication avec les serveurs C&C, etc.) Les ransomware qui détournent les données sont également bloqués, à l’instar de RAA ransomware et de MIRCOP.

Un bon outil de monitoring des comportements peut mettre à l’arrêt tout programme qui chiffre des fichiers spécifiques sur un système. Si un programme actif ne fait pas parti d’une liste blanche, ou est associé à un ransomware, l’outil doit être capable d’en neutraliser immédiatement l’exécution.

Figure 2. Copie d’écran des différents types de fichiers chiffrés par les ransomware

Les scripts conçus pour contourner les outils d’analyse email et qui misent sur l’obfuscation du code malveillant, comme ceux utilisés pour distribuer Locky, TeslaCrypt 4.0 (détecté en tant que CRYPSTELA) et CryptoWall 3.0 (détecté en tant que CRYPTWALL), doivent pouvoir être identifiés par  tout bon outil de monitoring. Typiquement, notre  fonction de monitoring détecte et neutralise les ransomware qui utilisent VBScript (Cerber et variantes de Locky) et JScript (RAA).

Certaines familles de ransomware suppriment les clichés instantanés (shadow copies), ce qui pourrait être considéré comme normal par certains systèmes d’exploitation, et donc sans réaction immédiate. Mais un outil de monitoring pertinent doit être capable d’identifier une telle routine et de l’associer à un ransomware le cas échéant.

D’autres variantes de ransomware tentent de tirer parti de programmes, services et environnements légitimes, pour éviter de se faire détecter et supprimer. PowerWare en est un bon exemple, en tirant parti de PowerShell. Un bon outil de monitoring doit surveiller et prévenir certains événements, comme lorsqu’un programme/service normal se comporte de manière malveillante, ou lorsque des programmes normaux sont utilisés pour le chiffrement. Une règle doit également être définie pour spécifier les fichiers qui ne doivent pas être exécutés sur un système.

Figure 3. Code qui permet à PowerWare de tirer parti de PowerShell

Les utilisateurs ne sont souvent pas immédiatement alertés en cas d’infection par un malware, surtout si le composant malveillant est injecté dans des processus normaux tels qu’Explorer.exe. Le monitoring comportemental peut aider dans de tels cas, les attaques par injection ou hooking pouvant être identifiés, et donc neutralisés.

Qu’est-ce que le contrôle applicatif ?

Au-delà du monitoring comportemental, la sécurité des Endpoints dépend également du contrôle applicatif (ou liste blanche applicative) : cette fonction empêche le ransomware d’être exécuté sur les systèmes et prévient ainsi tout impact sur les sauvegardes notamment. Pour tenir cet objectif, seuls les routines/fichiers/processus non-malveillants sont autorisés à être exécutés sur les systèmes.

Figure 4. Trend Micro Application Control empêche JIGSAW de s’exécuter

Au-delà de cette liste blanche, un contrôle applicatif performant doit empêcher certains programmes et processus de s’exécuter sur le critère du chemin d’accès. Les administrateurs peuvent créer des règles de blocage pour des répertoires spécifiques, à savoir ceux étant le plus souvent utilisés par des malware. Certaines variantes de ransomware se copient dans les répertoires %Temp% et %User Temp%. Des ransomware tels que JIGSAW utilisent les chemins d’accès %Application Data% et %AppDataLocal%. Les administrateurs IT peuvent créer des règles de blocage pour des variantes spécifiques, en connaissant les chemins d’accès qu’elles utilisent.

Figure 5 : des localisations spécifiques pouvant être bloquées par Trend Micro Application Control

Une sécurité multicouche s’impose

Alors que les ransomware peuvent utiliser de nombreux vecteurs pour infecter les systèmes, les organisations doivent privilégier une défense multicouche capable de sécuriser les endpoints, les réseaux et les serveurs. Le contrôle comportemental et le contrôle applicatif sont ainsi des couches de protection supplémentaires qui neutralisent tout ransomware ayant franchi la barrière de la passerelle de sécurité. Lorsque les menaces atteignent le poste client et commencent à chiffrer les fichiers (et notamment les données vitales d’entreprise), leur récupération est particulièrement complexe en l’absence de sauvegarde. Et les choses empirent lorsque le ransomware supprime les clichés instantanés, ne laissant guère le choix aux victimes que celui de régler la rançon.

Trend Micro Smart Protection Suites déploie des fonctions de monitoring comportemental, de contrôle applicatif, de protection des vulnérabilités, de réputation Web et de prévention des tentatives d’exploiter une vulnérabilité de navigateur. Les ransomware, même ceux distribués par les kits d’exploitation, sont ainsi tenus à l’écart.

Trend Micro™ Deep Discovery™ Email Inspector détecte et neutralise les emails de spear phishing et ceux associés aux ransomware, notamment ceux contenant des pièces jointes malveillantes. Sa technologie de sandbox personnalisée détecte aussi les ransomware utilisant des macros malveillantes. Les entreprises peuvent également compter sur InterScan™ Web Security, pour identifier les vulnérabilités zero day et celles des navigateurs. Les fonctions de réputation IP et Web de ces solutions peuvent neutraliser les infections par ransomware au niveau des passerelles emails et Web.

Pour la protection du réseau, Trend Micro Deep Discovery Inspector détecte et neutralise les ransomware grâce à sa sandbox personnalisée. La plateforme détecte le chiffrement, les modifications des processus de restauration à partir de sauvegardes, ainsi que les modifications de masse de fichiers. Sont également détectés : les exploits zero-day et les fichiers compressés malveillants protégés par mot de passe, communément associés aux ransomware.  De son côté, la solution Trend Micro Deep Security™, empêche les ransomware d’atteindre les serveurs d’entreprise physiques, virtualisés ou dans le Cloud. Elle empêche également toute exploitation de vulnérabilités systèmes et serveurs souvent utilisés par les kits d’exploitation distribuant les ransomware.

Pour les petites entreprises, Trend Micro Worry-Free Services Advanced offre la solution de sécurité email Hosted Email Security, basée dans le Cloud. La protection des endpoints est également assurée via un monitoring comportemental et des services de réputation Web en temps réel qui détectent et neutralisent les ransomware.

Trend Micro propose également des outils gratuits : Trend Micro Lock Screen Ransomware Tool, pour détecter et supprimer les ransomware qui verrouillent les écrans, ainsi que Trend Micro Crypto-Ransomware File Decryptor Tool, qui peut déchiffrer les fichiers chiffrés par certaines variantes de crypto-ransomware, sans règlement de rançon, ni clé de déchiffrement.

 

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *