Archives par mot-clé : rançongiciels

FileAudit, un outil qui peut vous sauver des rançongiciels

Selon le Federal Bureau of Investigation, la police fédérale américaine, les  rançongiciels (ransomwares) sont de plus en plus présent. De plus en plus dangereux. Une préoccupation croissante. La société IS Decisions explique comment avec son outil FileAudit, il devient aisé de détecter et protéger un réseau contre cette d’attaque. 

Pour rappel, un ransomware est un outil qui va chiffrer les données d’un serveur, d’un ordinateur. Il apparaît, le plus généralement, via une pièce jointe proposé dans courriel. missive ouverte par un employé négligent. Par l’exploitation d’une faille de sécurité, un code malveillant est lancé, ce qui permet de télécharger et d’installer un programme sur la machine de la victime.

Le programme contactera ensuite un serveur distant appartenant aux attaquants où une paire de clés de chiffrement asymétrique est générée. La clé privée est conservée sur le serveur attaquant tandis que la clé publique est stockée sur l’ordinateur de la victime. Le programme peut alors commencer à chiffrer tous les documents auxquels l’utilisateur a accès en générant une clé de chiffrement symétrique aléatoire pour chaque fichier. Il va ensuite chiffrer le fichier avec cette clé et ajouter à la fin du fichier la clé de chiffrement chiffrée avec la clé asymétrique publique.

Cela se passe de cette façon, le chiffrement direct des données avec une clé asymétrique est 1 000 fois plus lent qu’avec une clé symétrique, mais dans les deux cas, le résultat est identique. Sans la clé privée, il n’est pas possible de déchiffrer les fichiers. Cela signifie que si la victime ne dispose pas d’une sauvegarde de tous les fichiers cryptés, l’attaquant pourra le forcer à payer une rançon pour obtenir la clé privée.

Se protéger, compliqué ?

Cela signifie que si la victime ne dispose pas d’une sauvegarde de tous les fichiers cryptés, l’attaquant pourra le forcer à payer une rançon pour obtenir la clé privée.

Défense en profondeur face aux rançongiciels

Il existe un certain nombre de mesures pratiques pour contrer et se protéger d’un rançongiciel. D’abord, éduquer vos utilisateurs afin qu’ils n’ouvrent pas les pièces jointes étranges des emails ; Interdire les fichiers portant certaines extensions dans les pièces jointes (Ex : fichiers exécutables, type de fichier non nécessaire dans votre entreprise). Assurer que les programmes autorisés à ouvrir des pièces jointes sont à jour, par exemple. si vous utilisez bien les dernières versions de Microsoft Word ou Acrobat Reader.

Les utilisateurs normaux ne doivent pas être en mesure d’exécuter des programmes à partir des emplacements où ils sont autorisés à écrire (par exemple, leurs dossiers de documents). Ils ne devraient pouvoir lancer que des programmes approuvés par l’administrateur. Sous Windows, cela peut être implémenté avec AppLocker.

Un compte administrateur ne doit jamais être utilisé pour effectuer des tâches utilisateur de base telles que lire des emails, surfer sur Internet ou effectuer des tâches bureautiques normales.

Les utilisateurs ne doivent pouvoir modifier que les fichiers nécessaires à leur travail. Les fichiers qu’ils n’ont aucune raison de modifier doivent être limités à un accès «lecture seule» pour eux.

Un logiciel anti-virus à jour doit être exécuté sur votre serveur de messagerie et sur les stations de travail pour détecter les infections et vous protéger contre celles-ci.

Vous devez avoir un moyen de détecter et d’arrêter le cryptage massif de fichiers sur vos serveurs de fichiers. Plus tôt vous détecterez une attaque, plus vite vous pourrez l’arrêter, ce qui signifie moins de pertes de données et moins de travail pour nettoyer le désordre! C’est ici que FileAudit peut vous aider.

Vous devez avoir une sauvegarde de tous vos fichiers dans un endroit sécurisé.

Découvrer la configuration d’un outil tel que FileAudit face à ce type d’attaque informatique.

Le ransomware : une histoire de business criminel

Le ransomware est un modèle économique criminel, et non un problème de malware.

L’Unité 42 publie sa dernière analyse en date sur les ransomware, qui représentent l’une des cybermenaces les plus sérieuses auxquelles sont aujourd’hui confrontées les entreprises aux quatre coins du monde. Véritable modèle économique, le ransomware, ou rançongiciel, se révèle extrêmement efficace pour enrichir les cybercriminels tout en causant un préjudice opérationnel significatif aux entités touchées. Il ne fait pas de distinction entre ses victimes, sévit partout dans le monde et frappe les principaux marchés verticaux. Petites structures, grandes entreprises, particuliers : tous sont des cibles potentielles.

Si les rançongiciels existent, sous diverses formes, depuis plusieurs décennies, les criminels en ont perfectionné les principaux aspects au cours de ces trois dernières années. Résultat : les nouvelles familles de malware se sont multipliées, rendant cette technique particulièrement redoutable, et de nouveaux acteurs prennent aujourd’hui part à ces procédés très lucratifs.

Pour mener à bien une attaque de ce type, un pirate doit se conformer à la procédure suivante :
1.     Prendre le contrôle d’un système ou d’un équipement.
2.     Empêcher le propriétaire de l’équipement contrôlé d’y avoir accès, en partie ou en totalité.
3.     L’avertir que l’accès à son équipement lui sera restitué, moyennant le versement d’une rançon, et lui préciser les modalités de règlement de celle-ci.
4.     Accepter le paiement effectué par le propriétaire de l’équipement.
5.     Restituer au propriétaire un accès intégral à son équipement une fois le paiement perçu.

Si le pirate néglige l’une de ces étapes, il ne parviendra pas à ses fins. Bien que le concept de ransomware existe depuis plusieurs décennies, la technologie et les techniques requises pour s’acquitter de ces cinq étapes à grande échelle étaient encore inaccessibles il y a quelques années. La déferlante d’attaques imputables à l’exploitation de cette procédure a eu des répercussions sur les entreprises du monde entier qui, pour nombre d’entre elles, n’étaient pas préparées à les esquiver.

Multiplication des plates-formes
Les rançongiciels ont d’ores et déjà migré de Windows à Android, et un cas sous Mac OS X a été recensé. Aucun système n’est à l’abri de ce genre d’attaques, et tout équipement susceptible d’être détourné pour faire l’objet d’une demande de rançon sera une cible à l’avenir. Ce phénomène s’affirmera encore avec l’essor de l’Internet des objets (IoT). Si un pirate est en mesure d’infecter un réfrigérateur connecté à Internet, peut-être est-il plus délicat de monnayer cette intrusion. Pourtant, le modèle économique du ransomware peut s’appliquer à ce cas de figure, et plus largement, à partir du moment où le pirate est en mesure de s’acquitter des cinq étapes citées pour mener à bien ce type d’attaque. Une fois le réfrigérateur infecté, le pirate en question pourrait parfaitement désactiver à distance le circuit de refroidissement et ne le réactiver qu’en contrepartie d’un petit pécule versé par la victime.

Rançons très élevées
Dans le cadre d’attaques mono systèmes de type ransomware, des rançons allant de 200 à 500 $ sont exigées, mais les montants peuvent être nettement plus élevés. Si des pirates réalisent avoir compromis un système stockant de précieuses informations, et que l’entité infectée a les moyens de payer, ils reverront à la hausse le montant de leurs exigences. Nous avons d’ores et déjà constaté ce phénomène avec plusieurs attaques ultra-médiatisées dirigées contre des hôpitaux en 2016 : les rançons acquittées dépassaient largement les 10 000 $.

Attaques ciblées avec demande de rançon
Une intrusion ciblée sur un réseau s’avère intéressante pour un pirate à plus d’un titre. La revente ou l’exploitation d’informations dérobées est une technique usuelle, mais qui nécessite souvent une infrastructure « back-end » supplémentaire et des préparatifs pour pouvoir les monnayer. Les attaques ciblées avec ransomware représentent un réel potentiel pour ces pirates susceptibles de ne pas savoir comment autrement monétiser leur intrusion. Une fois le réseau infiltré, rien ne les empêche d’isoler des fichiers très lucratifs, bases de données et systèmes de sauvegarde, puis de crypter simultanément l’ensemble de ces données. De telles attaques, qui font appel au logiciel malveillant SamSa, ont d’ores et déjà été observées et se sont révélées très rentables pour les adversaires les exécutant.

Les attaques sur les périphériques mobiles plus nombreuses et plus pernicieuses

La recrudescence des attaques par le biais de logiciels malveillants fait des utilisateurs de terminaux mobiles des cibles de choix pour le chantage ou d’autres manipulations.

Les terminaux mobiles sont toujours plus ancrés dans nos vies personnelles et professionnelles. Les cybercriminels s’attaquent désormais à nous de façon de plus en plus pernicieuse et personnelle : c’est que révèle le rapport Mobile Malware Report 2015 publié par Blue Coat Systems, Inc., leader des solutions de sécurité pour entreprises. Le cyber chantage (les attaques par le biais de ransomwares sur appareils mobiles) est le principal type d’attaque mobile en 2015, accompagné de l’installation furtive de logiciels espions (spywares) afin d’établir le profil des comportements et des habitudes en ligne des victimes. Le nouveau rapport de Blue Coat décrit les toutes dernières tendances et les vulnérabilités en matière de logiciels malveillants pour terminaux mobiles ; fournit des recommandations permettant aux entreprises de renforcer leurs systèmes de défense et d’éduquer les utilisateurs mobiles ; et offre des prédictions concernant les menaces pesant sur les plateformes mobiles.

« Nous dormons, faisons de l’exercice, travaillons et faisons nos achats à l’aide de terminaux mobiles. Tout cela incite les cybercriminels à guetter l’occasion d’exploiter les données que collectent ces appareils, comme le montrent les types de logiciels malveillants et d’attaques que nous avons constatés », déclare à DataSecurityBreach.fr le Dr Hugh Thompson, directeur technique et vice-président senior de Blue Coat. « Les implications de ces activités pernicieuses s’étendent assurément aux systèmes informatiques des entreprises. En effet, les organisations adoptent rapidement des versions cloud et mobiles des applications d’entreprise, ouvrant ainsi une véritable autoroute aux pirates. Une approche globale et stratégique efficace de gestion des risques doit étendre le périmètre de l’entreprise aux environnements mobiles et cloud (suite à une prise en compte réaliste et précise du problème). Elle doit également déployer des systèmes de sécurité avancés capables de hiérarchiser et d’assurer une résilience contre les menaces complexes, émergentes ou inconnues. »

La pornographie fait son retour en tant que principal vecteur de menaces, après avoir été reléguée en deuxième position l’année dernière. Les trois principaux types de logiciels malveillants du rapport de cette année sont les ransomwares (rançongiciels), les logiciels potentiellement indésirables (PUS) et les logiciels favorisant la fuite d’informations. Le paysage des menaces ciblant les terminaux mobiles est par ailleurs de plus en plus actif.

La pornographie
La pornographie ne fait pas simplement son retour au sommet : elle est plus importante que jamais, représentant désormais 36 % des menaces enregistrées cette année, contre 16,55 % en 2014. Ainsi, 36 % des utilisateurs mobiles dont le trafic est dirigé vers un site malveillant ont cliqué sur un lien issu d’un site pour adultes. Pour remettre ces éléments en perspective : lorsque ce type de sites dominait les autres vecteurs dans le rapport de 2013, leur part de marché n’était alors que de 22,16 %.

Les publicités en ligne
Les publicités en ligne passent de presque 20 % l’année dernière à moins de 5 % cette année. Il s’agit ici aussi bien d’attaques par malvertising que de sites hébergeant des chevaux de Troie ciblant les visiteurs de sites pornographiques. Blue Coat a également suivi et identifié des réseaux de publicité en ligne suspects étant activement impliqués dans la diffusion de logiciels malveillants ou potentiellement indésirables (PUS), dans des escroqueries ou d’autres activités malhonnêtes.

Payez en Bitcoins maintenant ou dites adieu au contenu de votre smartphone : les principaux types de logiciels malveillants en 2015

Les ransomwares (rançongiciels)
La catégorie des ransomwares a connu une croissance fulgurante au cours des douze derniers mois. Bien que certaines variétés tournant sur des terminaux Android ne provoquent que des torts limités au-delà de convaincre leurs victimes à payer le preneur d’otage, beaucoup adoptent des approches sophistiquées typiques des ransomwares répertoriés en environnement Windows. Compte tenu des fonctionnalités de plus en plus puissantes des smartphones modernes, il n’était plus qu’une question de temps avant que des ransomwares cryptographiques plus complexes comme SimpleLocker n’apparaissent sur des appareils mobiles. Ces menaces rendent les fichiers musicaux, les photos, vidéos et autres types de documents illisibles. Les pirates réclament généralement un paiement sous une forme impossible à tracer comme le Bitcoin, et imposent un délai strict avant que les fichiers ne deviennent définitivement inaccessibles pour leur propriétaire.

Les logiciels potentiellement indésirables (PUS)
Généralement, ces programmes se comportent comme des logiciels publicitaires (adware) ou espions (spyware) : ils espionnent les activité en ligne et les données personnelles des utilisateurs, ou affichent des publicités. Les chercheurs de Blue Coat constatent une évolution majeure quant au volume de logiciels de ce type parmi les malwares traditionnels (ce qui vaut également pour les équipements mobiles). Le nombre d’applications mobiles inutiles hébergées sur ces sites et classées dans cette catégorie par les chercheurs augmente ainsi constamment. Ces applications mobiles à l’utilité douteuse parviennent fréquemment à pénétrer des appareils mobiles à l’aide de publicités trompeuses ou d’autres attaques par ingénierie sociale, conçues pour pousser la victime à installer des programmes indésirables.

Les logiciels favorisant la fuite d’informations
La plupart des gens ignorent que leur appareil mobile est potentiellement en train de les observer et de transmettre des informations les concernant 24h/24 et 365 jours par an. Ces fuites d’informations sont généralement mineures : il s’agit entre autres de la version du système d’exploitation de leur smartphone, du fabricant, d’une application ou encore du navigateur utilisé. En revanche, les choses se compliquent en raison du fait qu’il n’existe typiquement aucun outil système intégré permettant aux utilisateurs de voir ou de savoir quelles données font l’objet de ces fuites. Qu’il s’agisse d’un terminal Android ou iOS, ces données sont souvent révélées ouvertement dans la chaîne « User-Agent ». Le marché des appareils mobiles est en plein boom et ne présente aucun signe de ralentissement. Les systèmes de paiement sur mobile vont se développer, et les services tels que le paiement sans contact intégreront des fonctionnalités de sécurité supplémentaires, comme l’identification biométrique ou l’authentification forte.

Le rapport de Blue Coat sur la mobilité et les logiciels malveillants : http://dc.bluecoat.com/20152310_EMEA_Malware-Full-Report