Le problème des ransomwares se développe à grande vitesse. Ces derniers sont de plus en plus utilisés par les pirates informatiques car ceux-ci ont besoin de plus en plus d’argent et cela de plus en plus souvent. Si ceux-ci ne bloquent souvent que certains postes, l’ampleur du phénomène et sa récurrence pourrait en faire une menace plus importante que prévue. Le ministère des Transports en a fait les frais.
Un ransomware cryptographique est un outil malveillant chiffrant une partie des donnés d’un poste de travail. Pour cela, les pirates utilisent des mécanismes de clés publiques et clés privées (générées et téléchargées au moment de l’installation du ransomware). La clé privées étant en possession du hacker, ce dernier exigera de la victime attaquée le paiement d’une rançon, généralement en Bitcoin, afin de disposer de cette clé privée.
Le ransomware cryptographique le plus connu s’appelait CryptoLocker. Il a été éradiqué suite à la dissolution du botnet Gameover Zeus en 2014. Mais un petit nouveau arrive sous le nom de Cryptowall (version 3.0). Il est très proche de CryptoLocker mais surtout apporte de nouveaux mécanisme de non-détection par les outils de protection.
Il est quasiment impossible pour une victime – particulier ou entreprise – de récupérer ses données une fois le ransomware installé – hormis payer et récupérer la clé privée. Toutefois, le paiement de la rançon ne garantit en aucun cas que les criminels fourniront à la victime la clé qui lui permettra de retrouver ses données. Il est donc très important de se protéger contre ce type d’outil malveillant.
Comme DataSecurityBreach.fr vous l’explique depuis des années, les régles pour se protéger sont simple. F5 Networks en rappelle les bases. Ne jamais ouvrir un document venant d’un émetteur inconnu. Vérifier l’émetteur et son adresse. Il est très facile de se faire passer pour quelqu’un lors de l’envoi d’un email. Faire des sauvegardes régulières de ses données. J’avoue que je propose aussi aux entreprises pour je travaille de ne pas hésiter à appeler l’interlocuteur « connu » qui a envoyé le courriel. Est-il l’émeteur ? Est-il l’auteur de la piéce jointe ? Ca prend certe 1 minute de plus dans le traitement de l’information, mais c’est mieux de pleurer des heures, voir des jours devant le compte à rebour du ransomware.
Dernier point, pour que le ransomware puisse récupérer ses binaires et les clés de chiffrement, il devra accéder à Internet pour joindre son serveur. Il est donc important de disposer d’outil de filtrage internet à jour (liste de domains, d’URL et d’IP frauduleuses). Très souvent, les ransomware passent par le réseau Tor pour accéder à leur serveurs. Des outils de filtrages tels que les Passerelles Internet et les pare-feu permettent de contrôler l’accès à ce type de réseaux. L’éducation reste la meilleur des défenses.
Bonjour,
Quel Fléau ces cryptovirus ! Ils semblent très lucratifs pour les cyber-malveillant. Ils ne sont donc pas près de se lasser.
Dans mon cas, j’aurais aimé pouvoir utiliser l’outil Microsoft Applocker. Cela aurait permis de Controller les applications utilisés dans l’entreprise. Malheureusement il aurait fallut basculer tout le parc sous Windows Enterprise … beaucoup trop chère pour un PME. (La sécurité semble être une manne financière pour certains éditeurs).
A défaut, j’ai mis en place quelque des règles GPO pour interdire l’exécution d’application depuis les dossiers temporaires. C’est plutôt simple mais ça bloque pas mal de connerie.
En plus de ça, j’ai un PFsense (firewall) qui bloque TOR et la moitié du monde. Dans ce cas, pareil, l’accès à certaines listes d’IP à bloquer est payant.
Enfin j’ai mis un Postfix pour essayer tant bien que mal de filtrer les emails qui rentrent, Mais là je ne suis pas persuader que ça nous sauvera. Il n’y a qu’à voire la faible proportion d’entreprise ayant configuré un SPF sur leur domaine ! D’ailleurs il y en a autant qui ne control pas le SPF des emails qu’elles reçoivent.
J’ai aussi sensibilisé les utilisateurs à la gestion de leur email. Le problème c’est que tout le monde a un email…. même des personnes très peu compétentes en informatique, ou pire, négligente.
Malgré toutes ces précautions, j’attends le jour ou un virus va passer. C’est inévitable, il y a trop de faille 0 days et d’argent à gagner.
Merci pour vos informations qui contribue à la veille technologique.