Anatomie d’une attaque provoquée par un Ransomware

 

Dans ce post, je résume avec l’œil des PME’s une webconférence donnée par Antonio Forzieri, Global Cyber Security Practice Lead  chez Symantec  accompagné de  Gabriele Zanoni EMEA Incident Response Investigator  également membre de Symantec.

 

Un Problème mondial

Les attaques de Ransomwares se rencontrent partout dans le monde et double d’intensité d’année en année.  A titre d’exemple un hôpital aux Etats-Unis a dû payer la somme incroyable de 121 millions de dollars pour récupérer ses données.

Les attaquants visent tant les particuliers que les entreprises et organisations.  Ainsi, en 206, 57 % des attaques atteignent des particuliers contre 43% pour des organisations et entreprises.

Voici la répartition  par pays pour l’année 2016.  Si on compte 28% des attaques ayant eu lieu aux Etats-Unis, on en compte 2 % en Malaisie, aux Pays Bas et en Allemagne, 3 % au Royaume-Unis, 4 % en Italie et au Japon, 9% en Inde, 11% en Australie et 16 % au Canada.

Les malwares s’introduisent dans vos ordinateurs par 3 manières :
1- en visitant des sites compromis (watering hole),
2- via des envois massifs de spam  ( chevaux de Troie)
3- par des pièces jointes à des messages électroniques.

 

Encryptage par envoi d’emails avec pièces jointes.

Ici, l’encryptage est réalisé à l’aide d’une clé privée générée localement et envoyée ensuite aux rançonneurs.   Ce qui veut dire que, si l’envoi de la clé vers les rançonneurs ou en retour vers vous rencontre un problème en cours de route, plus personne ne pourra restituer les données dans leur état initial.

Certains rançonneurs utilisent une clé RSA de 4096 bits. Ce qui rend impossible le retour des données dans leur état initial sans connaître l clé de cryptage.  En effet, on a calculé qu’il faudrait plus de 30 ans à des ordinateurs puissants pour y arriver.

Lors d’une attaque, le malware encrypte également tous les lecteurs réseaux et encrypte ou efface les sauvegardes.  Une connexion cloud active est ici considérée comme réseau.

En bref le malware utilise les droits d’accès de l’utilisateur pour encrypter toutes les données auxquelles l’utilisateur a accès.

Les fichiers encryptés par un crypto-malware ont souvent une extension supplémentaire ajoutée qui est parfois la signature du malware.  Ainsi, un fichier  factures.doc peut devenir facture.doc.locked.

Dans la plupart des cas les noms initiaux des fichiers sont conservés, mais on pourrait s’attendre à ce que les noms des fichiers soient également encryptés et notre fichier exemple factures.doc deviendrait  AB738DC.ZAA.locked.

Un des procédés classiques d’introduction dans un ordinateur consiste à envoyer un email avec un document attaché, qui va nécessiter l’activation des macros.  Le document informera l’utilisateur sur la manière d’activer les macros.

A l’insu de l’utilisateur, la macro démarre un PowerShell ou une session CMD.EXE qui va télécharger un autre script qui va réaliser l’encryptage des fichiers.  Ce procédé est souvent détecté comme un cheval de Troie par les anti-virus.

Un autre procédé consiste à joindre au message envoyé une pièce attachée dont l’extension est .rar ou .lnk qui contient le script malicieux.

Enfin certaines attaques utilisent des scripts écrits en JavaScript comme le ransomware Ransom32.

Fonctionnement détaillé d’une attaque amorcée par envoi d’email:

Etape 1 : Classiquement, l’attaquant envoie un email à un maximum de  personnes dans l’entreprise en espérant qu’au moins une personne activera le malware.

Etape 2 : au moins un des employés lit le mail et active le script malicieux joint.  Un seul employé suffit.

Etape 3 et 4 : Ce script va, à l’insu de l’utilisateur, contacter un serveur quelque part dans l’Internet afin de télécharger un second script ou programme qui sera chargé du cryptage des données auxquelles l’utilisateur a accès au moment de l’attaque.  C’est-à-dire son poste de travail et  les partages sur les serveurs.  Si d’autres postes de travail lui offrent des données en partage, celles-ci seront également encryptés. Les données du cloud seront également cryptées si le service est activé.

Etape 5 : la clé de cryptage est ensuite envoyée vers un autre serveur de l’Internet contrôlé par l’attaquant.

Mais parfois, il n’est même pas nécessaire qu’un utilisateur clique sur un bouton pour démarrer le processus.  I suffit de visiter un site compromis.

 

Attaque via un site compromis.

Etape 1 : l’attaquant utilise une faille de programmation pour insérer un lien caché dans une application légitime.  L’attaquant choisi de préférence des sites connus régulièrement visités pour lesquels les mises à jour ne sont pas installées.

Etapes 2, 3 et 4 : Un employé visite le site compromis et à son insu, un second  browser est démarré pour accéder un serveur de l’Internet contenant les scripts malicieux.  On remarque qu’Adobe Flash Player est souvent utilisé comme véhicule de transport ou d’amorce pour télécharger le malware.

Etape 5 : Dès que le script d’encryptage a été téléchargé, en quelques secondes l’encryptage est terminé et toutes les données accessibles par l’utilisateur sont inutilisables

 

Le point de vue des PME’s

Dans une entreprise d’envergure, disons  plusieurs centaines d’employés, des moyens de surveillance en temps réel peuvent être mis en place et surveillés 24 heures sur 24.

Comme le montre Antonio Forzieri, les programmes de sécurité active de Symantec  peuvent détecter des téléchargements malicieux et prévenir directement les services de supporet de Symantec.

Les particuliers et PME de 4 à 5 employés n’ont pas les budgets pour utiliser de tels outils et le personnel formé nécessaire à son utilisation.  Notre suggestion dans ce cas restera l’utilisation de sauvegardes journalières inaccessibles, sauf exceptions, pendant les heures de travail.

Ce qui limite les dégâts à une journée de travail.  En cas de nécessité, on pourrait envisager des sauvegardes plus rapprochées  sur des supports changés automatiquement toutes les heures.

Comment protéger vos sauvegardes ?  partie 1,  partie 2,  partie 3.

Pour visualiser la présentation originale en anglais, cliquer ici.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *