Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Anthony Barjon, LEXSI : Analyse d’un Ramsomware, Cryptolocker

mars 2015 par Anthony Barjon, expert en cybersécurité chez LEXSI

Qu’en est-il des ransomwares cryptographique à l’heure actuelle ? (Cet article est extrait de notre Observatoire de la Cybercriminalité « Analyse d’un Ransomware– CryptoLocker »). Une conférence sur les ransomwares sera donnée très prochainement par les experts Lexsi à Paris, Lyon et Lille.

Quoi de neuf docteur ?

Message d’alerte Cryptowall (Janvier 2015)

À peine plus de 2 mois après la publication de la version 2.0 sur internet (et décortiquée par les équipes sécurité de Cisco), les développeurs du ransomware Cryptowall viennent de publier une version 3.0. Bien que cette nouvelle version n’apporte pas de grandes évolutions par rapport aux précédentes, elle maintient les fonctionnalités ayant fait leurs preuves et en améliore d’autres :

 Protection contre l’exécution en mode bac à sable (sandbox)

Principe de fonctionnement de la protection contre l’exécution en mode bac à sable

 Utilisation des réseaux Tor et I2P (nouveauté Crowti / V3.0) pour la communication avec les serveurs C&C

 Suppression des Shadow-Copy

Cryptowall marche sur les traces de son prédécesseur Cryptolocker, éradiqué à la suite de la dissolution du botnet Gameover Zeus à l’été 2014, en lui empruntant certaines fonctionnalités et certains mécanismes (suppression des Shadowcopy, utilisation d’algorithme RSA 2048). Il fait partie d’une nouvelle génération de ransomware cryptographique développé dans le but unique de récolter un maximum d’argent de la façon la plus industrialisée possible. Malgré les attaques subies (forces de l’ordre, chercheurs, solutions antivirus), des botnets constitués par de nouvelles familles de ransomware continuent d’apparaître et à évoluer, grâce à une forte capacité d’évolution, une réaction rapide des développeurs et un très fort appât du gain.

Mais c’est quoi un ransomware ?

Contrairement à d’autres logiciels malveillants, dédiés à prendre le contrôle d’une machine distante pour voler des informations ou l’exploiter pour mener des attaques en déni de service, les ransomwares vont tenter d’extorquer de l’argent à un utilisateur en verrouillant logiquement l’accès à sa machine et/ou à ses documents.
La première apparition recensée d’un ransomware date de 1989 avec « PC Cyborg ». Ce ransomware rendait inopérant le système de la victime en modifiant le nom de l’ensemble des fichiers systèmes et réclamait 189$ pour effectuer un retour arrière.
Une preuve de concept de malware basée sur de la cryptographie asymétrique a été présentée au début de l’année 1996 par les chercheurs Adam L. Young et Moti Yungen[1]. Il a cependant fallu attendre l’année 2006 pour commencer à voir apparaître des versions de ransomware exploitant massivement ce principe.

Chronologie (non exhaustive) des ransomware de 1989 à nos jours.

Le chiffrement réalisé par le ransomware touche les fichiers avec une extension spécifique (notamment les documents bureautique, personnels type photo/vidéo, multimédias, fichiers de configuration, etc.). Les malware peuvent s’installer à la suite de l’exécution par un utilisateur d’un binaire (ex : ouverture d’un fichier téléchargé en P2P ou depuis un site Web, d’une pièce jointe au sein d’un spam, via une clé USB infectée, etc.).

Les ransomwares cryptographiques tels que Cryptolocker ou Cryptowall utilisent des algorithmes de chiffrement robustes afin de limiter ou de bloquer l’accès de la victime à son ordinateur ou à ses données. La victime devant débourser une somme d’argent (voir ci-dessous) pour espérer retrouver ses données sans engagement d’une désinstallation complète du ransomware sur la machine. Les montants demandés varient entre les familles de malware et même pour un même ransomware, les cybercriminels pratiquant parfois un prix à la « tête » du client (victime). Les informations ci-dessous ont été estimées à partir du taux d’un Bitcoin au mois de juin 2014 (640$/BTC) et des différents tarifs fixes identifiés sur les versions étudiées.

Moyenne des rançons demandées par famille de ransomware cryptographique

Et je fais comment pour m’en protéger ?

Il faut avoir conscience qu’une fois les données chiffrées par un ransomware cryptographique de dernière génération, le déchiffrement de celles-ci se révèle quasiment impossible avec les moyens à la disposition des particuliers et même des grandes entreprises (ex : brute force, ingénierie inverse).

Parmi les méthodes pouvant dès lors aider à la prévention des risques posés par les ransomwares figurent :

1. Des moyens techniques, pour empêcher l’infection de survenir :
• L’antivirus : même si cela est valable pour l’ensemble des logiciels malveillants et que cette solution est très largement insuffisante, avoir un antivirus fonctionnel et à jour sur l’ensemble des postes et serveurs reste une première défense nécessaire.
• Les mises à jour de sécurité : au même titre que pour la recommandation précédente, installer les mises à jour de sécurité demeurent prépondérant. Il convient de mettre à jour à la fois pour les postes utilisateur le système d’exploitation et les applications (lecteur PDF, lecteur messagerie, navigateur et greffons, etc.).
• Le blocage des points de connexions : la majorité des ransomwares cryptographique actuels ont besoin d’un accès internet pour être fonctionnels (récupération de clé publique, envoi de clé symétrique). Il est donc recommandé de vérifier que les solutions de filtrage (proxy, IPS, pare-feu) mises en œuvre au sein de l’entreprise bloquent le plus rapidement possible l’accès à l’ensemble de ces sites distants et aux connexions sortantes via le réseau Tor (ex : points de connexion), souvent utilisé par les ransomwares.
• La restriction logicielle : depuis Windows 7 pour les clients et Windows 2008 R2 pour les serveurs, il est possible de mettre en place des stratégies de restriction logicielle. Même si une solution exhaustive n’est pas réalisable, il est conseillé de configurer des restrictions logicielles (SRP/AppLocker sous Windows) permettant d’empêcher l’exécution de code à partir d’une liste noire de répertoires à définir.

2. Et des démarches limitant le nombre d’occurrences et les impacts associés :
• La sensibilisation : la prévention passe avant tout par l’information et la sensibilisation des utilisateurs aux risques associés aux messages électroniques. Il est important de mener des campagnes régulières en direction des différents publics internes à risque, afin de limiter au maximum le nombre de victimes.
• La sauvegarde : une des rares méthodes, à l’heure actuelle, pour limiter les impacts reste la mise en place d’une politique de sauvegarde régulière des postes de travail et serveurs. Le déchiffrement via paiement de la rançon aux attaquants ne devant pas être considéré comme une option crédible, restaurer les fichiers à partir d’une sauvegarde récente demeure la principale solution pour limiter les impacts relatifs aux ransomwares. Attention néanmoins à :
• protéger les sauvegardes pour ne pas qu’elles puissent être impactées par les effets d’un Ransomware (ex : chiffrement des données).
• contrôler les données sauvegardées pour ne pas écraser des données viables avec des données chiffrées par un ransomware cryptographique.


[1] http://www.cryptovirology.com/




Voir les articles précédents

    

Voir les articles suivants