Comment les ransomwares attaquent ?

Ransomwares

Plus d’une décennie après leur apparition, le monde est-il enfin en mesure de stopper les ransomwares ?

ransomwares

À en juger par le nombre croissant de grandes entreprises prises au piège par ce qui est devenu l’arme privilégiée de tant de cybercriminels, il est tout de même tentant de répondre non.

Le problème pour les défenseurs, comme indiqué dans le nouveau rapport des SophosLabs intitulé ‘How Ransomware Attacks’, est que, bien que presque tous les ransomwares poursuivent le même objectif, à savoir le chiffrement de fichiers ou de disques entiers suivi par une demande de rançon pour permettre de rétablir la situation, la manière avec laquelle ils parviennent à échapper aux protections en place afin de mettre la main sur vos données est en constante évolution.

Ainsi, une technique d’analyse statique qui a réussi à stopper un type de ransomware aujourd’hui ne parviendra pas à arrêter son équivalent très proche, mais évolué, dans quelques semaines seulement. Il s’agit là d’un défi majeur pour les entreprises et les divers acteurs du secteur de la cybersécurité.

Comme nous le rappelle le nombre croissant d’attaques de ransomware très médiatisées, minimiser le problème serait une grave erreur : en effet, le ransomware est devenu une industrie en pleine expansion car il est redoutablement efficace pour ses utilisateurs, signifiant ainsi qu’il parvient, suffisamment souvent, à prendre le dessus sur les défenses de ses victimes pour générer d’importants revenus.  Le rapport présente en détail des exemples de ransomwares récents parmi les plus importants, dont Ryuk, BitPaymer, MegaCortex, Dharma, SamSam, GandCrab, Matrix, WannaCry, LockerGoga, RobbinHood et Sodinokibi.

Savoir est indispensable pour se défendre

Néanmoins, les défenseurs peuvent accumuler un certain nombre de connaissances. Dans son rapport, les SophosLabs décortiquent et démystifient les techniques couramment utilisées par les ransomwares, à commencer par ses mécanismes de distribution.

Le premier type sont les crypto-vers, qui vise à se répliquer rapidement sur le plus grand nombre de machines possible, en utilisant des vulnérabilités connues et parfois inconnues pour renforcer leur efficacité.

Bien que relativement rare, la réplication de type ver attire beaucoup plus l’attention. Lorsque les crypto-vers fonctionnent, ils ont tendance à être spectaculaires, prenez par exemple l’attaque WannaCry, à l’échelle mondiale, qui a eu lieu en 2017.

Une technique plus ciblée est “l’adversaire actif automatisé“, une technique manuelle utilisée par des cybercriminels et qui consiste à rechercher activement des entreprises vulnérables en scannant les faiblesses de la configuration réseau telles qu’un RDP (Remote Desktop Protocol) mal sécurisé ou bien des vulnérabilités logicielles. Une fois parvenus derrière les pare-feu, les ransomwares se propagent sur le plus grand nombre de serveurs possible, bloquant ainsi les défenseurs hors de leurs propres systèmes.

Le plus courant de tous est sans aucun doute le Ransomware-as-a-Service (RaaS), qui permet essentiellement aux cybercriminels débutants de créer des campagnes automatisées à l’aide de kits tiers vendus sur le Dark Web. Sodinokibi (alias Sodin ou Revil), un dérivé de GandCrab, en est un bon exemple, avec de nombreuses attaques en 2019 qui lui sont attribuées.

Une fois qu’ils sont parvenus à pénétrer au sein d’un système, les attaquants utilisent la même palette d’outils pour contourner les défenses encore en place, notamment en déployant des certificats numériques légitimes volés pour que leurs malwares paraissent dignes de confiance.

Naturellement, les déplacements latéraux sont utilisés pour atteindre des serveurs et des partages importants, tout comme l’élévation des privilèges qui permet de hisser une attaque au niveau administrateur, nécessaire pour causer un maximum de dégâts.

Le timing rigoureux est également le point commun de toutes les attaques réussies, déclare Mark Loman, directeur threat mitigation des SophosLabs, et auteur du rapport :

Dans certains cas, l’attaque se déroule la nuit lorsque l’équipe informatique dort bien tranquillement.  

Ce paramètre semble tellement évident, mais il est utilisé encore et encore. Attaquer de nuit est l’un des moyens les plus simples de donner plus de temps aux ransomwares (qui a besoin de temps pour effectuer tout son chiffrement), et ce sans efforts supplémentaires.

Stopper les ransomwares

Le conseil de Loman ne propose rien d’autre qu’une vigilance de tous les instants, en s’assurant que les machines soient bien corrigées vis à vis de vulnérabilités majeures telles qu’EternalBlue, qui continue d’être un problème majeur deux ans et demi après avoir alimenté WannaCry.

Pour se faire, la technique est assez simple : il suffit d’installer les correctifs. Mais ces derniers doivent être installés sur tous les systèmes vulnérables, car un ransomware n’a besoin que d’une machine mal sécurisée pour mettre un pied dans la porte.

Une telle hygiène en matière de sécurité exige également que les défenseurs vérifient l’état des logiciels sur tous leurs systèmes, des vérifications qui reviendraient à analyser en profondeur les maillons faibles avant que des cyberattaques ne soient lancées, mais que les administrateurs ne prennent pas le temps de faire.

Deuxièmement, activez l’authentification multi-facteurs à tous les niveaux possibles. Il s’agit d’une couche supplémentaire de sécurité que des attaquants devraient avoir du mal à franchir si elle a été configurée correctement.

Au minimum, faites vos sauvegardes, mais réfléchissez surtout à la façon avec laquelle elles seront utilisées pour restaurer votre système. Les victimes ont souvent des sauvegardes, mais ne disposent pas des ressources humaines, du temps ou de l’argent nécessaires pour passer des jours, voire des semaines, à remettre les choses en état.

Il existe également des contrôles intégrés dans des systèmes d’exploitation tels que Windows 10, par exemple le CFA (Controlled Folder Access) introduit en 2017 pour limiter les applications pouvant accéder à certains dossiers de données. Les chercheurs ont depuis découvert des failles dans ces contrôles, ainsi ils ne sont plus infaillibles, mais restent intéressants à déployer au niveau des systèmes endpoint.

Pour obtenir plus de conseils, lisez le rapport How Ransomware Attacks et consultez la page La Fin du Ransomware de Sophos.


Billet inspiré de How ransomware attacks, sur Sophos nakedsecurity.

Leave a Reply

Your email address will not be published.