Si ce mot ne vous dit encore rien c'est que vous faites partie des chanceux qui n'ont pas encore subi ce genre d'attaque informatique. Celle-ci, encore peu connue des DSI il y a encore deux ans, fait beaucoup parler d'elle depuis le début de l'année 2016.
La star du moment se nomme Locky, et il se répand particulièrement dans l'hexagone et en Allemagne depuis son apparition en février de cette année. En effet, la France est le second pays le plus touché par ce malware (source Fortinet 8 Mars 2016).
Source : Kaspersky Lab
1. Ransomwares : qu'est-ce que c'est ?
Ce sont des logiciels qui chiffrent les données des victimes et demande une rançon en échange du moyen de déchiffrer, en pariant bien sûr sur "l'honnêteté" des hackers. En effet dans l'histoire des ransomwares, les attaquants n'ont pas toujours fourni les moyens à leur victimes de pouvoir déverrouiller leur données après le paiement de la rançon.
A ce sujet l'ANSSI recommande de ne pas payer celle-ci, à la fois pour ne pas encourager ce genre d'attaque mais également car rien ne garantit que vous retrouverez vos données en parfait état (les hackers peuvent très bien laisser d'autres logiciels espion dans vos systèmes après vous avoir "rendu" la main sur vos données).
La rançon est généralement à payer en Bitcoins, car c'est une monnaie virtuelle très difficile à retracer.
Si les systèmes de propagation se diversifient de plus en plus pour infester les entreprises (il existe aujourd'hui 60 versions connues de Locky), la porte d'entrée est souvent l'ouverture d'une pièce jointe infestée ou d'un programme inconnu. Mais certaines entreprises ont été compromises via des serveurs ou des navigateurs non à jour qui ont permis l'activation de ce malware.
Les ransomwares avancés comme Locky sont en permanence en liaison avec des serveurs de contrôle appelés C&C qui récupèrent les informations de la machine victime et peuvent renvoyer des instructions au malware pour modifier son comportement en temps réel.
Ce sont généralement des serveurs compromis au préalable, ou dans des pays où la législation est très permissive comme la Russie ou la Chine. L'accès au paiement s'effectue sur un site web accessible via le réseau Tor, ce qui permet d'anonymiser et de protéger les auteurs du malware. Enfin, le paiement en lui-même est réalisé en utilisant des cryptomonnaies telles que le Bitcoin, rendant impossible de connaître le destinataire de l'argent envoyé.
Locky n'est cependant pas le ransomware le plus virulent, certains placent une date d'expiration sur la clé de déchiffrement, si la rançon n'est pas payée, il n'existe plus aucun moyen de récupérer les données. D'autres font monter les prix à chaque journée qui passe (comme par exemple Cryptowall).
2. Les risques
Il va sans dire que si vos fichiers sont chiffrés, l'impact sur les activités de votre entreprise est non négligeable : par exemple les fichiers de clients, vos maquettes, etc. Ajoutez à cela que la probabilité d'infection par ce genre d'attaque est très élevé, et que des ransomwares comme Locky suppriment également les versions antérieures de vos fichiers (les VSS) et chiffre les lecteurs réseaux, on se retrouve avec une criticité maximale.
Certains clients se sont retrouvés avec de très nombreux fichiers systèmes chiffrés, bloquant le fonctionnement des serveurs.
Encart technique :
Locky chiffre chaque fichier à l'aide de clés AES-128 uniques générées aléatoirement. Ces clés sont-elles même chiffrées à l'aide d'une paire de clés RSA de 2048 bits et envoyées au serveur de contrôle. Il est donc inutile d'espérer déchiffrer les fichiers par force brute.
3. Comment limiter l'occurrence ou l'impact des attaques actuelles ?
Pour diminuer la probabilité de survenance d'une attaque par Ransomware, plusieurs mesures doivent être mises en œuvre :
- Sensibilisation des utilisateurs et des usages (mais cela ne fonctionnera jamais à 100%)
- Mise à jour des OS et surtout des applications souvent trouées (de type flash, Acrobat reader, java et Silverlight, …)
- Suppression par l'antivirus (ou le pare-feu) des pièces jointes à risque (msi, cab, zip, rar et les fichiers pouvant contenir des macros, …)
- Revue des droits d’accès en limitant l'utilisation des comptes administrateurs à leur strict nécessaire.
Pour limiter l'ampleur des dégâts :
- Disposer d'une fiche réflexe de réaction suite à une attaque, comprenant notamment la déconnexion du PC/serveur infecté
- ET SURTOUT disposer de sauvegardes, de préférence externalisées (ailleurs que sur un lecteur réseau accessible)
Les utilisateurs avancés pourront mettre en place des mesures complémentaires :
- Mettre en place EMET de Microsoft, outil de réduction de la surface d'attaque.
- Utiliser une stratégie de pare-feu avancée avec DPI (Deep Packet Inspection) et sandbox afin de détecter dans un environnement sécurisé.
- Surveiller les clefs de registre spécifiques au ransomwares actifs
4. L'avenir "radieux" des ransomwares
De nouveaux scénarios de menaces se dessinent, comme celui qui est survenu à l’hôpital d’Hollywood (Hollywood Presbyterian Medical Center). Après investigation, les équipes de Trend Micro conjecturent une attaque en deux temps:
- Dans un premier temps, une attaque aurait effectué une compromission des sauvegardes pour les rendre inopérantes.
- Puis ensuite le ransomware est activé. Dans ce cas, la restauration des fichiers n'a pas pu fonctionner et ils ont dû payer la rançon (en fait une petite partie de la rançon initiale).
Depuis plusieurs mois, nous pensons que de nouvelles formes de ransomwares, plus élaborés et plus complexes, risquent de faire leur apparition, intégrant notamment la notion de "temps d'incubation".
Cela signifie qu'une fois la machine infectée, le logiciel espion ne s'active pas immédiatement pour chiffrer les données, mais attend quelques jours afin de s'inclure dans les sauvegardes (par exemple une semaine et de préférence le samedi soir quand les administrateurs système sont absents). Dès que l'entreprise infectée cherche à restaurer l'ensemble des fichiers à un état stable, le virus étant niché dans certains fichiers, il se réactivera sous 24 ou 48h, et ainsi de suite.
La solution : disposer de sauvegardes sur une profondeur de plusieurs semaines. Ce qui est rendu beaucoup plus facile par les technologies de sauvegardes en modèle Cloud.
Sources :
- « La v2 du ransomware est déjà là » http://www.silicon.fr/ulloa-trend-micro-v2-ransomware-142032.html
- « Dissection de Locky » https://blog.malwarebytes.org/intelligence/2016/03/look-into-locky/
- « Statistiques de CryptoWall, TelsaCrypt et Locky » https://blog.fortinet.com/post/cryptowall-teslacrypt-and-locky-a-statistical-perspective
- « Comment créer un vaccin contre le ransomware Locky » https://www.lexsi.com/securityhub/comment-creer-un-vaccin-contre-le-ransomware-locky/