Environ 60 % des attaques de ransomware déclenchées par des humains impliquent désormais un chiffrement à distance malveillant. Lisez la suite de cet article pour en savoir plus sur ce vecteur d’attaque de ransomware répandu et sur les capacités de protection de pointe de Sophos.
Qu’est-ce qu’un ransomware distant ?
Un ransomware distant, également appelé chiffrement à distance malveillant, survient lorsqu’un système endpoint compromis est utilisé pour chiffrer des données sur d’autres appareils du même réseau.
Lors d’attaques humaines, les adversaires tentent généralement de déployer des ransomwares directement sur les machines qu’ils souhaitent chiffrer. Si leur tentative initiale est bloquée (par exemple, par des technologies de sécurité sur les appareils cibles), ils abandonnent rarement, choisissant plutôt d’adopter une approche alternative et de réessayer encore et encore.
Une fois que les attaquants réussissent à compromettre une machine, ils peuvent exploiter l’architecture de domaine de l’entreprise en question pour chiffrer les données sur les machines gérées et appartenant au domaine. Toutes les activités malveillantes (accès initial, exécution des charges virales et chiffrement) se produisent sur la machine déjà compromise, contournant ainsi les piles de sécurité modernes. Le seul indicateur de compromission est la transmission de documents vers et depuis d’autres machines.
80% des compromissions utilisant le chiffrement à distance proviennent d’appareils non gérés sur le réseau, bien que certaines commencent sur des machines sous-protégées qui ne disposent pas des défenses nécessaires pour empêcher les attaquants d’accéder à l’appareil.
Pourquoi les ransomwares distants sont-ils si répandus ?
Un facteur clé à l’origine de l’utilisation généralisée de cette approche est son évolutivité : un seul système endpoint non géré ou sous-protégé peut exposer l’ensemble du parc d’une entreprise à un chiffrement à distance malveillant, même si tous les autres appareils utilisent une solution de sécurité endpoint Next-Gen.
Pire encore, les adversaires ne sont pas limités dans le choix des différents types de ransomware qu’ils peuvent utiliser pour leurs attaques. Un large éventail de familles de ransomware bien connues prennent en charge le chiffrement à distance malveillant, notamment Akira, BitPaymer, BlackCat, BlackMatter, Conti, Crytox, DarkSide, Dharma, LockBit, MedusaLocker, Phobos, Royal, Ryuk et WannaCry.
De plus, la plupart des produits de sécurité endpoint sont inefficaces dans ce type de scénario car ils se concentrent sur la détection des fichiers et processus malveillants des ransomwares au niveau du système endpoint protégé. Cependant, avec les attaques de chiffrement à distance, les processus qui s’exécutent sur la machine compromise, empêche en réalité la protection endpoint de détecter les activités malveillantes.
Heureusement, Sophos Endpoint inclut une protection robuste contre le chiffrement à distance malveillant, optimisée par notre protection CryptoGuard, leader du secteur.
Sophos CryptoGuard : protection universelle contre les ransomwares, leader du secteur
Sophos Endpoint contient plusieurs couches de protection qui défendent les entreprises contre les ransomwares, notamment CryptoGuard, notre technologie anti-ransomware unique incluse dans tous les abonnements Sophos Endpoint.
Contrairement à d’autres solutions de sécurité endpoint qui recherchent uniquement des fichiers et des processus malveillants, CryptoGuard analyse les fichiers de données à la recherche de signes de chiffrement malveillant, quel que soit l’endroit où les processus sont réellement exécutés. Cette approche le rend très efficace pour stopper toutes les formes de ransomware, notamment le chiffrement à distance malveillant. S’il détecte un chiffrement malveillant, CryptoGuard bloquera automatiquement l’activité et restaurera les fichiers pour qu’ils retrouvent leur état non chiffré.
CryptoGuard examine activement le contenu de tous les documents au fur et à mesure que les fichiers sont lus et écrits, en utilisant une analyse mathématique pour déterminer s’ils ont été chiffrés. Cette approche universelle est unique dans le secteur et permet à Sophos Endpoint de stopper les attaques de ransomware que les autres solutions ne parviennent pas à détecter, notamment les attaques à distance et les variantes de ransomware inédites.
Détection du chiffrement malveillant en analysant le contenu du fichier
Contrairement à d’autres solutions qui examinent les ransomwares d’un point de vue anti-malware en se concentrant sur la détection du code malveillant, CryptoGuard recherche un chiffrement massif et rapide des fichiers en analysant le contenu à l’aide d’algorithmes mathématiques.
Blocage des attaques de ransomware locales et distantes
Étant donné que CryptoGuard se concentre sur le contenu des fichiers, il peut détecter les tentatives de chiffrement des ransomwares même lorsque le processus malveillant n’est pas en cours d’exécution sur l’appareil de la victime.
Restauration (roll back) automatique annulant le chiffrement malveillant
CryptoGuard crée des sauvegardes temporaires des fichiers modifiés et annule automatiquement les modifications lorsqu’il détecte un chiffrement de masse. Sophos utilise une approche propriétaire, contrairement à d’autres solutions qui utilisent Windows Volume Shadow Copy, que les adversaires savent très bien contourner. Il n’existe aucune limite quant à la taille et au type de fichier pouvant être récupéré, minimisant ainsi l’impact sur la productivité de l’entreprise.
Blocage automatique des appareils distants
Lors d’une attaque de ransomware distant, CryptoGuard bloque automatiquement l’adresse IP de l’appareil distant qui tente de chiffrer des fichiers sur la machine de la victime.
Protection du MBR (Master Boot Record/enregistrement de démarrage principal)
CryptoGuard protège également l’appareil contre les ransomwares qui chiffrent l’enregistrement de démarrage principal (empêchant le démarrage) et contre les attaques qui effacent le disque dur.
CryptoGuard est l’une des fonctionnalités uniques de Sophos Endpoint et est inclus dans tous les abonnements Sophos Intercept X Advanced, Sophos XDR et Sophos MDR. De plus, la fonctionnalité est activée automatiquement par défaut, garantissant ainsi aux entreprises de bénéficier immédiatement d’une protection complète contre les attaques de ransomware locales et distantes : aucun paramétrage ou configuration n’est requis.
Détecter les appareils non protégés
Un seul système endpoint non protégé peut rendre votre entreprise vulnérable à une attaque de chiffrement à distance. Le déploiement de Sophos Endpoint offre une protection universelle robuste contre les ransomwares et le chiffrement malveillant. Mais comment savoir si vous avez des appareils non protégés sur votre réseau ?
C’est là que Sophos Network Detection and Response (NDR) peut vous aider. Sophos NDR surveille le trafic réseau à la recherche de flux suspects et, ce faisant, identifie les appareils non protégés et les actifs malveillants au sein de l’environnement.
Pour bénéficier de la protection la plus efficace contre les attaques de ransomware distant, installez Sophos Endpoint sur toutes les machines de votre environnement et déployez Sophos NDR pour détecter les appareils non protégés sur votre réseau.
Améliorez dès aujourd’hui votre protection contre les ransomwares distants
Le chiffrement à distance malveillant est une technique populaire utilisée par les ransomwares et que la plupart des principales solutions de sécurité endpoint ont du mal à stopper. Si vous n’utilisez pas Sophos Endpoint, il y a de fortes chances que vous soyez exposé.
Pour en savoir plus sur Sophos Endpoint et la manière avec laquelle il peut aider votre entreprise à mieux se défendre contre les attaques avancées actuelles, notamment les ransomwares distants, contactez dès aujourd’hui un de nos experts ou bien votre partenaire Sophos. Vous pouvez également le tester dans votre propre environnement en démarrant un essai gratuit de 30 jours sans engagement.
Billet inspiré de Sophos Endpoint: Industry-leading protection against remote ransomware attacks, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.