Détection et prévention des ransomwares

Les ransomwares sont une menace réelle et en croissance à la fois pour les particuliers et les entreprises. L’exécution réussie d’une attaque par ransomware permet à un acteur malveillant d’accéder illégalement à un ou plusieurs serveurs, ordinateurs et/ou terminaux mobiles, de chiffrer des données locales et d’empêcher tout utilisateur légitime d’y accéder avant le paiement d’une rançon pour les déchiffrer. Les particuliers comme les entreprises doivent comprendre ce qu’est un ransomware, comment il fonctionne, et comment le détecter et l’éviter.

Un ransomware est une forme de logiciel malveillant, ou malware. Après avoir accédé à un ordinateur, à un serveur ou à un terminal mobile, il prend le contrôle du système et empêche son propriétaire d’y accéder. Le hacker qui en est à l’origine demande alors une rançon, souvent sous la forme d’une cryptomonnaie, pour restaurer l’accès du propriétaire. 

Le ransomware est de deux types :

• Un ransomware verrou (« locker ransomware »), qui pirate les fonctions de base de l’ordinateur

• Un crypto ransomware, qui chiffre les fichiers individuels pour qu’un utilisateur légitime ne puisse plus y accéder.

Les fichiers ne pourront pas être déverrouillés sans une clé privée connue seulement de l’attaquant.

La rançon est généralement demandée en bitcoin, car ils sont anonymes et peuvent facilement être échangés numériquement. Certaines organisations qui n’ont pas de lien avec les cryptomonnaies en achètent pour le cas où elles seraient infectées par des ransomwares et devraient payer la somme demandée.

L’une des attaques par ransomware les plus célèbres date de 2017. Le malware WannaCry s’est diffusé par le biais d’emails frauduleux. Il a affecté des centaines de milliers de personnes et d’organisations dans le monde, notamment FedEx, Nissan et Renault. Il a entraîné des pertes de 4 milliards de dollars US dans le monde, car les attaquants demandaient environ 300 dollars US pour libérer les fichiers piratés.

Une attaque par ransomware suit en général trois étapes : infection, chiffrement et demande de rançon. 

Infection

L’infection de l’appareil de la victime a généralement lieu par le biais d’attaques de point d’eau ou par hameçonnage. Un email peut contenir un lien vers un site web qui héberge le malware ou inclure une pièce jointe ayant une fonction de téléchargement. Le téléchargement et l’exécution du ransomware sur l’appareil a lieu lorsque l’on clique sur le lien figurant dans l’email ou en ouvrant la pièce jointe. 

Une fois que l’infection initiale a eu lieu, le ransomware peut essayer de se diffuser sur un réseau en ciblant d’autres appareils, serveurs ou disques connectés.

D’autres techniques incluent le « malvertising », qui consiste à utiliser de fausses publicités sur lesquelles un utilisateur va cliquer, et donnera ainsi au malware accès à son système. Mêmes les sites les plus fiables, comme celui de The New York Times, peuvent par inadvertance héberger des attaques de malvertising.

Chiffrement

Le chiffrement des fichiers de l’utilisateur est l’étape suivante. Après avoir pu accéder à l’appareil, le ransomware installe un fichier malveillant binaire, à savoir un code exécutable qui contient des instructions que le programme du malware malveillant doit exécuter sur l’appareil de la victime. 

Le ransomware utilise un chiffrement asymétrique, c’est-à-dire une méthode de chiffrement qui utilise deux clés, l’une publique et l’autre privée, pour chiffrer et déchiffrer un fichier. La clé privée servant à déchiffrer le fichier est stockée sur le serveur de l’attaquant même et n’est remise à la victime qu’une fois que l’attaque l’a débloquée.

La plupart des variants des ransomwares font une sélection de fichiers à chiffrer pour conserver la stabilité du système. Certains pourraient également effacer les copies de sauvegarde des fichiers sélectionnés pour qu’il soit encore plus difficile de les récupérer sans avoir accès à la clé privée.

Demande de rançon 

L’étape suivante est la demande même de rançon. Cela prend souvent forme d’un fond d’écran modifié pour ressembler à une demande rançon. La demande la plus courante est que la victime transfère une somme en cryptomonnaie en échange de laquelle elle pourra de nouveau accéder à ses fichiers. 

Si la rançon est payée, l’attaquant donne parfois la clé privée utilisée pour protéger la clé de chiffrement symétrique ou une copie de cette clé de chiffrement symétrique. L’attaquant fournit un programme de déchiffrement dans lequel la victime doit saisir ces informations pour restaurer l’accès à leurs données.  Toutefois, étant donné que le rançonneur a le pouvoir entre ses mains dans toutes les situations où les victimes n’ont pas pris de mesure de protection pour restaurer les données dans la clé de déchiffrement, certains attaquants ne fournissent pas la clé y compris après le paiement de la rançon. Dans d’autres cas, les attaquants vendent les données qu’ils ont extrait avant de chiffrer la base de données sur le dark web pour obtenir un paiement complémentaire lié à l’attaque initiale. Selon le type de données ayant été volées, cela peut être pire pour les victimes.

L’argent demandé par les attaquants augmente rapidement, ce qui rend cette attaque encore plus lucrative pour les attaquants. De récentes recherches menées par le groupe de consultation sur la sécurité Unit 42 suggère que le nombre moyen de demandes de rançons a augmenté de 518 % et le nombre de versements de 82 % pendant le premier semestre 2021.

La méthode de détection des ransomwares la plus courante et probablement la plus utilisée par les produits antivirus, est la détection basée sur les signatures.

Identifier des empreintes uniques

Tous les programmes, logiciels, fichiers et applis ont leur propre empreinte ou signature numérique, qui est généralement unique pour chacun. D’habitude, elle prend la forme d’un fichier haché, qui est une représentation par des chiffres des données conçue pour le protéger. Pour détecter les malwares, les produits antivirus analysent un ordinateur et comparent les signatures qu’ils trouvent à celles qui figurent dans une base de données incluant des malwares connus. S’il découvre une telle signature, le produit antivirus l’effacera ou le mettra en quarantaine.

L’équipe de sécurité d’une entreprise peut également utiliser des outils logiciels pour obtenir le hachage d’un fichier et le comparer à un malware connu.

Bien qu’elle soit utile et très efficace, la détection basée sur les signatures n’est qu’une ligne de défense initiale. Les développeurs de ransomwares évoluent et mettent à jour en permanence leur malware pour éviter la détection basée sur les signatures. Rien que le fait d’ajouter un seul byte à un fichier créer un hachage complètement nouveau, ce qui rend le malware plus difficile à détecter. Pour cette raison, bien que les méthodes basées sur les signatures parviennent à trouver des ransomwares établis, ils peuvent avoir du mal à trouver de toutes nouvelles menaces.

Certains produits antivirus sont également compatibles avec la détection basée sur le comportement. Les malwares ne se comportent pas comme des logiciels légitimes, et les produits antivirus peuvent détecter cela, y compris avant l’exécution du malware.

Les vérifications manuelles peuvent également révéler des activités suspectes qui sont le signe d’un ransomware. L’un de ces indicateurs est le changement de nom excessif d’un fichier. Certains noms sont changés tous les jours, mais si des centaines de fichiers sont renommés, cela peut indiquer la présence de ransomwares.

Analyser les schémas du trafic

Les équipes de sécurité peuvent également analyser le trafic pour voir si un logiciel se connecte à des sites web douteux, en particulier des sites de partage de fichiers. Une augmentation du volume du trafic peut également être un indicateur, car le ransomware doit se connecter à des serveurs offsite pour recevoir des instructions et échanger des clés de déchiffrement.

Analyser le trafic peut prendre du temps et, étant donné que ce n’est pas aussi précis que la détection basée sur le comportement, il peut aussi donner lieu à des faux positifs. Les attaquants peuvent également utiliser des sites de partage de fichiers légitimes pour éviter d’être détectés.

Utiliser la tromperie

Une troisième technique consiste à utiliser la tromperie en créant un pot de miel, en mettant en place un serveur de fichier qui agira comme un appât pour les attaquants. Étant donné que les utilisateurs légitimes n’ont pas accès à ce serveur, toute activité sur celui-ci peut résulter d’une attaque et ainsi prévenir les équipes d’une attaque avant ou pendant son exécution.

Un certain nombre de techniques peut être utilisé pour empêcher les ransomwares.

La plus importante d’entre elles est probablement de sauvegarder régulièrement les fichiers importants. Ces sauvegardes devraient idéalement être conservées hors ligne et hors site, séparément des réseaux normaux. Plusieurs copies des fichiers devraient être réalisées avec différentes solutions de sauvegarde et différents emplacements de stockage. 

Il est possible d’empêcher les ransomwares d’être déployés en :

• appliquant un filtre, pour autoriser uniquement les types de fichiers attendus

• bloquant les sites web malveillants

• utilisant des signatures pour bloquer les codes malveillants connus

• inspectant les contenus pour identifier les malwares. 

Il est également possible d’empêcher les ransomwares d’être déployés sur des appareils si ces mesures de sécurité ne sont pas respectées. Les bonnes pratiques incluent une gestion centralisée des appareils pour que seules les applications de confiance puissent fonctionner. Envisager d’utiliser des produits anti-malware professionnels, s’assurer que ces produits restent à jour et assurer des formations de sensibilisation à la sécurité auprès de votre personnel.

L’une des mesures anti-malwares les plus fortes est d’adopter une approche zero-trust en s’appuyant sur la réaffirmation répétée de l’identité d’une personne. Chaque demande est évaluée séparément pour éviter de donner un accès complet et automatique à quelqu’un ayant de mauvaises intentions.

Le saint graal des attaquants est d’avoir un accès sans entraves aux applis et aux serveurs d’une organisation victime. L’authentification de l’identité stoppe cela en donnant aux utilisateurs autorisés un accès à des applis individuelles, et non à l’ensemble du réseau. 

Cette méthode a recours à des techniques telles que l’authentification multifacteur, le single sign-on et les politiques zero-trust pour élaborer un système d’authentification fort. Les permissions sont évaluées en permanence pour s’assurer que l’accès est toujours valide, ce qui empêche les attaquants de se déplacer sur le réseau pour chasser les données et diffuser le ransomware. 

L’authentification à double facteur est considérée comme une bonne pratique. Avec cette approche, les utilisateurs sont authentifiés avec un nom d’utilisateur et soit un jeton physique, soit un jeton logiciel ou encore une vérification complémentaire à travers un canal séparé, comme par exemple un SMS.  Des technologies encore plus avancées utilisent les signaux de risque en temps réel pour analyser facilement le trafic et les comportements qui peuvent fournir à l’utilisateur une expérience sans frictions, tout en s’assurant que les authentifications et des autorisations nécessaires aient lieu.

Au vu des menaces qui existent actuellement, les anciennes méthodes basées sur le nom d’utilisateur et le mot de passe ne peuvent plus fournir la sécurité nécessaire. L’authentification des identités permet aux organisations de vérifier chaque employé et chaque appareil avant d’autoriser l’accès, ce qui éloigne la possibilité que les attaquants puissent obtenir l’accès dont ils ont besoin pour ravager le réseau d’une entreprise.