Livre papier, livre numérique: deux outils au service de ...
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
8
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017 AVIS D’EXPERT RANSOMWARE : LE CHANTAGE QUI VOUS FAIT DÉCHANTER 1 DES BLOQUEURS AUX CHIFFREURS Selon l’enquête de l’ISACA parue en janvier 2016, une entreprise sur cinq dans le monde aurait déjà connu un incident impliquant un ransomware. Ces chevaux de Troie empêchent les organisations d’accéder à leurs données pour mieux les faire chanter. Mais faut-il pour autant payer ? Si le principe du ransomware n’a pas changé, la méthode a quant à elle évoluée : les chiffreurs ont supplanté les bloqueurs. 1. LES BLOQUEURS ET VIRUS GENDARMERIE La première génération de ransomware bloquait l’accès au système d’exploitation ou au navigateur de l’internaute pour lui demander une rançon. Avant l’arrivée du bitcoin, les victimes payaient par SMS ou effectuaient le transfert d’argent sur un porte-monnaie électronique. Beaucoup de ransomware de cette première vague utilisaient les logos d’autorités policières, parfois ceux du FBI ou de la CIA, d’où le nom de rançongiciel ou Virus Gendarmerie. Les bloqueurs ne sont plus légion sur les ordinateurs car il est désormais devenu facile de les supprimer en déconnectant le disque dur et en le branchant sur une autre machine pour effacer les fichiers contaminés. Ils font en revanche leur grand retour sur les terminaux mobiles en bloquant les applications. Le stockage de l’appareil étant majoritairement interne et non amovible sur ce type de terminal, difficile d’utiliser le même subterfuge.
Transcript of Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE : LE CHANTAGE QUI
VOUS FAIT DÉCHANTER
1
DES BLOQUEURS AUX CHIFFREURS
Selon l’enquête de l’ISACA parue en janvier 2016, une entreprise sur cinq dans le monde aurait déjà connu un incident impliquant un ransomware. Ces chevaux de Troie empêchent les organisations d’accéder à leurs données pour mieux les faire chanter. Mais faut-il pour autant payer ?
Si le principe du ransomware n’a pas changé, la méthode a quant à elle évoluée : les chiffreurs ont supplanté
les bloqueurs.
1. LES BLOQUEURS ET VIRUS GENDARMERIE
La première génération de ransomware bloquait l’accès
au système d’exploitation ou au navigateur de l’internaute
pour lui demander une rançon. Avant l’arrivée du bitcoin,
les victimes payaient par SMS ou effectuaient le transfert
d’argent sur un porte-monnaie électronique.
Beaucoup de ransomware de cette première vague
utilisaient les logos d’autorités policières, parfois ceux du
FBI ou de la CIA, d’où le nom de rançongiciel ou Virus Gendarmerie.
Les bloqueurs ne sont plus légion sur les ordinateurs
car il est désormais devenu facile de les supprimer en
déconnectant le disque dur et en le branchant sur une
autre machine pour effacer les fichiers contaminés.
Ils font en revanche leur grand retour sur les terminaux
mobiles en bloquant les applications. Le stockage de
l’appareil étant majoritairement interne et non amovible
sur ce type de terminal, difficile d’utiliser le même
subterfuge.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE : LE CHANTAGE QUI
VOUS FAIT DÉCHANTER
2
2. LES CHIFFREURS OU CRYPTOVIRUS
Les cryptovirus procèdent quant à eux au chiffrement des
données des appareils et des fichiers partagés s’ils sont
reliés à un lecteur réseau. Une clé de déchiffrement est
nécessaire pour les récupérer. Celle-ci, souvent unique,
est générée pour chaque appareil infecté. Les internautes
touchés sont invités par une boîte de dialogue à payer
la rançon par bitcoin dans un certain laps de temps.
Ces cryptovirus s’introduisent de différentes manières :
Attaque par phishing ou hameçonnage : l’infection se fait par l’ouverture d’une pièce jointe
compromise ou par le clic vers un site malveillant
utilisant un kit d’exploit. L’idée est de tromper
l’utilisateur sur la légitimité de l’email ou du site.
Attaque de type «watering hole» : une visite
sur un site légitime, mais compromis, contamine
l’appareil utilisé.
Attaque par exploitation de failles de sécurité : les logiciels non mis à jour sont des
passerelles de plus en plus empruntées.
La sophistication de ces malware s’est généralisée
avec des méthodes de chiffrement qui rendent la
plupart du temps le déchiffrement impossible :
La combinaison des méthodes RSA
(chiffrement asymétrique) / AES (chiffrement
symétrique) qui permet une grande vitesse de
chiffrement de données, jusqu’à 256 bits à l’aide de
l’algorithme AES, et qui chiffre ensuite la clé AES avec
l’algorithme RSA.
Les algorithmes à courbes elliptiques, qui
procèdent à un chiffrement encore plus complexe et
tout aussi rapide.
Les internautes touchés sont invités par une boîte de dialogue
à payer la rançon par bitcoin dans un certain laps de temps.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE : LE CHANTAGE QUI
VOUS FAIT DÉCHANTER
3
LES DIFFÉRENTES FAMILLES DE RANSOMWARE
1. LES GÉNÉRALISTES
CTB Locker : Apparu en 2014, ce cryptoware ne vise plus
seulement les ordinateurs, mais également les sites web
depuis février 2016 en chiffrant l’ensemble des fichiers de
leurs répertoires avec sa variante basée sur PHP. Les cyber
pirates utilisent également la blockchain pour stocker les
clés de déchiffrement.
CryptoWall : Ce ransomware infiltre les systèmes
d’exploitation via des emails et de faux téléchargements,
comme les lecteurs vidéo ou de fausses mises à jour
de flash. La version 4 se diffuse notamment avec le kit
d’exploit Nuclear.
Locky et ses variantes Odin et Zepto : Locky est l’un
des ransomware les plus agressifs de cette année 2016 :
120 000 frappes par jour au mois de juillet dernier ! Il
prend une nouvelle tournure en ajoutant l’extension .odin
et l’extension .zepto à vos fichiers pour les chiffrer.
Reveton : Trojan:W32/Reveton se fait passer pour
une autorité policière en demandant une amende à
l’internaute pour restaurer l’accès à ses données.
Cerber : Apparu cette année, il sème déjà la terreur :
209 millions de dollars auprès de 80 000 victimes dans
176 pays ! Il est diffusé notamment par l’exploit kit
Magnitude qui s‘est lui-même développé cette année.
La particularité de Cerber est qu’il vous parle pour
communiquer ses exigences.
Il existe aujourd’hui près de 200 variantes de ransomware en activité. Ces derniers visent tout autant les postes de travail, les appareils mobiles ainsi que les serveurs. Aucun environnement n’est épargné qu’il s’agisse de Windows, Mac ou Linux.
2. LES SPÉCIALISTES
KeRanger : Depuis cette année, les MAC ne sont plus
exempts de la menace ransomware. KeRanger est un
cheval de Troie qui infecte les appareils sous OS X via le
client BitTorrent Transmission, ouvrant ainsi la voie à une
nouvelle famille de ransomware.
SamSam : SamSam est un ransomware tout ce qu’il y a
de plus classique. Néanmoins celui-ci se distingue en
exploitant les vulnérabilités ouvertes dans les serveurs
utilisant Jboss.
FairWare : Plutôt que de procéder à un chiffrement
sophistiqué, FairWare s’en prend aux serveurs Linux en
supprimant les fichiers du système affecté. Ce qui ne
l’empêche pas de demander une rançon pour restituer
les données.
Locky est l’un des ransomware les plus agressifs de
cette année 2016.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE : LE CHANTAGE QUI
VOUS FAIT DÉCHANTER
4
UN BUSINESS ORGANISÉ ET LUCRATIF
La recrudescence des cryptovirus de ces dernières années s’explique par l’effondrement du prix de la revente des données, dont le cours est passé de 25 € en 2011 à 6 € l’unité en 2016, par l’explosion d’un marché organisé de kits d’exploit et de ransomware-as-a-service... et par la motivation des entreprises prêtes à payer le prix fort. L’industrie rapporterait 100 000 000 d’euros par an.
Pourquoi dérober les données pour les revendre puisqu’il est bien plus intéressant de les prendre en otage ?
1. UN MARCHÉ DES RANSOMWARE-AS-A-SERVICE EN EXPANSION
Depuis 2015, le développement du marché des
ransomware-as-a service rend la traque aux cyber pirates
de plus en plus complexe.
Après avoir testé leur malware dans différents pays,
les auteurs ne mènent plus eux-mêmes les attaques mais
mettent à disposition les ressources clé-en-main sur
le réseau TOR.
Des cyber pirates moins expérimentés peuvent ainsi
s’approprier ces outils et devenir des affiliés moyennant
une commission sur les sommes récoltées en bitcoin,
40% dans le cas de Cerber.
Ce système de paiement utilisant la technologie
blockchain rend confidentielle toute transaction
financière.
Et pour complexifier un peu plus la traçabilité de
ce business, il existe parfois un maillon supplémentaire :
des revendeurs qui prendront également leur commission
au passage.
Le créateur n’a donc plus qu’à mettre à jour ses exploit,
les versions de ses malware et le service de support client.
Le développement du marché des ransomware-as-a service
rend la traque aux pirates de plus en plus complexe.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE : LE CHANTAGE QUI
VOUS FAIT DÉCHANTER
5
LES 4 PHASES DE LA CHAÎNE DE CONTAMINATION
2. UN BUSINESS PARADOXAL BASÉ SUR LA CONFIANCE
Les données des entreprises sont vitales : propriété
intellectuelle, informations clients, actifs de marque,
rapports financiers... et les cyber pirates le savent. Ils savent
que vous êtes prêts à vous exécuter pour récupérer votre
précieux capital.
Mais aussi étrange que cela puisse paraître, les cyber pirates
ont bien compris que pour que les victimes payent, il faut
que celles-ci soient assurées de récupérer leurs données
une fois la somme versée. Les cyber pirates mettent donc
en place de véritables supports clients avec des systèmes
de déchiffrement de confiance. Cette tendance n’est
néanmoins pas systématique.
Ces derniers sont même enclins aux gestes commerciaux :
réduction du montant et prolongation du délai de paiement.
Le lab F-Secure a testé l’expérience utilisateur avec 5
cryptovirus : Cerber, Cryptomix, Jigsaw, Shade et Torrent. Dans 75% des cas en moyenne, les cyber pirates
ont accepté de faire un discount de 29%. Et les délais de
paiement, eux-aussi, ne sont pas gravés dans le marbre.
Il a également évalué la qualité du service de ces plateformes :
ergonomie, langues disponibles... Et contrairement à ce
que l’on pourrait penser, ce ne sont pas forcément ceux qui
paraissent les plus professionnels qui sont forcément les plus
conciliants.
Le constat est donc sans appel : ces supports placent la
victime en situation de client, leur faisant presque perdre de
vue que c’est le pirate qui l’a contraint à le devenir !
CERBER
CRYPTOMIX
JIGSAW
SHADE
TORRENT LOCKER
env. 530 $
env. 1900 $
150 $
499 $
400 $
5 jours
3 jours
1 jour
Pas de deadline spécifiée
5 jours
ÉVOLUTION DES FAMILLES
Rançon initiale DeadlineFamilles Rançon initiale Demande
la plus basse Remise en %
CERBER 530 $ 530 $ 0 %
CRYPTOMIX 1900 $ 635 $ 67 %
JIGSAW 150 $ 125 $ 17 %
SHADE 400 $ 280 $ 30 %
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE : LE CHANTAGE QUI
VOUS FAIT DÉCHANTER
6
2. TOUTES LES ORGANISATIONS SONT CONCERNÉES
Si ce sont les particuliers qui sont majoritairement visés avec des rançons qui se situent en moyenne autour des
600 euros, elles peuvent atteindre plusieurs milliers d’euros quand une organisation est directement ciblée. Les cyber
pirates qui ont frappé les distributeurs de transports à San Francisco le 26 novembre 2016, ont demandé une rançon de
73 000 dollars.
Mais quel que soit le montant de la rançon, les coûts
indirects liés à ces incidents peuvent se montrer très
impactants :
Pertes liées à l’arrêt de l’activité ;
Temps dépensé à se débarrasser de l’infection,
à restaurer les sauvegardes ;
Dommages sur l’image de l’entreprise ;
Problèmes d’ordre administratif ou légal.
Dans un contexte où la protection des données à caractère
personnel est renforcée, avec le règlement européen
(RGPD) qui peut sanctionner les entreprises à hauteur de
20 millions d’euros ou 4% de son chiffre d’affaires global,
mieux vaut ne pas jouer avec le feu !
Au-delà des risques financiers, il existe également des
risques humains lorsque les hôpitaux sont pris pour cible
et que leur système d’information se trouve bloqué.
Les médias ont beaucoup parlé en 2016 de grands hôpitaux
américains victimes de chantages informatiques, tels que
le Hollywood Medical Presbyterian et le Kansas Heart
Hospital, mais les hôpitaux français ne sont pas épargnés.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE : LE CHANTAGE QUI
VOUS FAIT DÉCHANTER
7
QUE FAIRE POUR SE PROTÉGER À 360° ?
Renseignez-vous sur le type d’infection :
le déchiffrement est-il reconnu ?
Ne perdez pas de vue que vous traitez avec des
malfaiteurs, aussi ne communiquez pas d’informations
qui pourraient aggraver votre situation.
Enfin, ne faites pas confiance aux liens ou pièces
jointes provenant du pirate : vous pourriez
télécharger un malware supplémentaire.
Malgré la supposée garantie de retrouver vos données, nous ne vous recommandons pas de payer la rançon : si vous le faites, cela incite les cyber pirates à continuer.
Mais nous comprenons que cet argument ne résout pas votre problème... Si vos données en valent la peine et que le
paiement de la rançon est pour vous la solution la plus économique, voici ce que nous vous recommandons de faire :
PRÉDIRE :
Identifiez les logiciels vulnérables qui peuvent
servir de point d’entrée sur les appareils, les
données et le réseau local.
Identifiez les paramètres qui peuvent être
configurés pour optimiser la sécurité de ces
derniers.
Evaluez les comportements de vos salariés, leur
sensibilité à la sécurité ainsi que les vecteurs
d’attaque.
PRÉVENIR :
Faites des sauvegardes régulières et assurez-vous
de pouvoir les restaurer intégralement ;
Appliquez les patchs correctifs : certains malware
exploitent les failles de sécurité ;
Utilisez une protection robuste et multi-couches ;
Eduquez vos salariés aux bonnes pratiques
en matière de sécurité et sensibilisez-les aux
menaces.
Sinon, voici ce qu’il est préférable de faire en amont d’une attaque et en réponse si les barrières de défense
n’ont pas été suffisantes.
WE SEE THINGS OTHERS DON’T - fr.business.f-secure.com - 02/01/2017
AVIS D’EXPERT
RANSOMWARE : LE CHANTAGE QUI
VOUS FAIT DÉCHANTER
8
DÉTECTER :
Utilisez une solution de sécurité sophistiquée
procédant à une analyse heuristique afin de
détecter les comportements suspects sur
n’importe quel appareil du réseau local ;
Identifiez les ressources (appareils, réseau
partagé) connectées à un appareil contaminé
pour mesurer l’exposition potentielle ;
Identifiez les modifications engendrées par la
menace sur l’appareil contaminé.
RÉPONDRE :
Déconnectez immédiatement l’appareil d’Internet, du réseau de l’entreprise et si
possible, du réseau électrique pour empêcher la
communication entre le malware et son serveur
et la propagation du chiffrement ;
Arrêtez votre matériel, il se peut que le
ransomware soit programmé pour provoquer
davantage de dommages en cas de déconnexion ;
Scannez tous les appareils connectés, le
réseau partagé, le cloud pour récolter toutes les
traces de la menace.
Procédez à de l’analyse forensique et communiquez-nous le résultat de vos
investigations : comment la menace a pu
s’installer et se propager ?
Les ransomware ne sont pas les malware les plus répandus mais sont ceux qui peuvent avoir le plus de conséquences négatives sur votre organisation. Aussi, protégez-vous et ne cédez pas aux cyber pirates qui pourraient ne pas respecter leur pacte.
