Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ransomware Cerber (analyse CheckPoint) par Régis Benard, Vade Secure

août 2016 par Régis Benard, Consultant technique de Vade Secure

Le ransomware Cerber a fait parler de lui cette année, par l’originalité de son mode de propagation : un ransomware-as-a-service dont la diffusion est prise en charge par des « affiliés » recrutés et volontaires.

En complément de la nouvelle étude de Checkpoint, très poussée et riche en enseignements, Vade Secure, spécialiste français de la protection des boîtes de messagerie, vous propose sa réaction :

Dans sa réaction Régis Benard, Consultant technique de Vade Secure souligne particulièrement la professionnalisation de la cybercriminalité du ransomware :

« Le marketing du ransomware-as-a-service se précise et se professionnalise, et nous voyons même apparaître de véritables services-après-vente pour accueillir les victimes et les aider à payer la rançon… Le phénomène d’affiliation décrit par la société CheckPoint avec Cerber n’est qu’un aspect de cette professionnalisation. Le ransomware s’organise et enrichit progressivement ses offres comme le ferait une véritable entreprise. Nous sommes clairement loin des attaques de malware artisanales…. »

Il ajoute : « Le modèle de ransomware-as-a-service est apparu cette année, même si lors de la détection du premier cas - Cerber - par CheckPoint, le mode de diffusion n’était pas encore clairement identifié. L’analyse proposée aujourd’hui par CheckPoint est en revanche un éclaircissement sur le modèle de ransomware-as-a-service avec toutes les implications qui vont avec. La bonne nouvelle est que c’est désormais un modèle connu. Cerber a été rapidement décrypté et il existe maintenant des solutions efficaces pour décontaminer les postes. Ce qui est moins rassurant, c’est que le modèle est très rentable, et que d’autres ransomwares vont très certainement se pencher sur cette méthode de diffusion, si ça n’est pas déjà fait… Après les derniers cas de ransomwares, dont l’évolution technique primait (Petya puis Locky puis Satana, etc.), ce cas met également en lumière l’évolution rapide des méthodes. En effet, le modèle économique évolue très rapidement pour offrir aux cybercriminels en herbe le moyen de se lancer dans le business par un simple engagement sur un forum privé. Ceci promet un bel avenir au ransomware-as-a-service et garantit par conséquent un besoin accru de solutions de sécurité fiables surtout pour les entreprises ».

Nous pouvons mettre le Ransomware-as-a-service en parallèle avec un autre modèle pour lequel un développement rapide est à prévoir, celui du Ransomware-as-a-Freeware ou RaaF. La société Symantec a signalé l’apparition de cette nouvelle menace de ransomware, surnommée Shark, qui est distribuée en freeware avec une exigence : la remise d’une partie des gains mal acquis à ses créateurs

Régis Benard conclut : « Identifier les nouveaux types de ransomwares le plus rapidement possible est l’objectif de tous les éditeurs de solutions antivirus. Les solutions que nous fournissons chez Vade Secure permettent de se protéger des ransomwares avant même que ceux-ci n’aient été identifiés. Nous travaillons sur plusieurs éléments pour cela :

• L’analyse de l’email reçu (sa réputation, sa méthode d’envoi, son volume d’envoi, etc.). Sans même avoir besoin d’analyser la pièce jointe, nous sommes capables d’identifier qu’un email est illégitime et le filtrer.

• L’analyse de la pièce jointe qui n’est pas le virus directement, mais un dropper (fichier permettant de télécharger ensuite le virus). Les droppers sont souvent des documents word contenant des macros ou des fichiers .js. Grâce à une analyse heuristique, nous sommes en mesure d’identifier des éléments qui sont généralement utilisés dans des mails dangereux et les bloquer.

• L’analyse des liens contenus dans l’email afin d’identifier le contenu vers lequel un email tenterait de rediriger une personne. Il arrive que l’email ne contienne aucune pièce jointe mais seulement à lien pour aller télécharger le virus ».


Voir les articles précédents

    

Voir les articles suivants