Link

Sécurité informatique : pas de répit avec les ransomwares

VENDREDI 01 AVRIL 2016

Mots-clés :
  • # Informatique
  • # Sécurité
Sécurité informatique : pas de répit avec les ransomwares - CCI de Lyon

Les nouvelles attaques informatiques aux "virus rançons" n'épargnent pas les entreprises. Les conseils pour y échapper.

QU'EST-CE-QU'UN "VIRUS RANÇON" ?

Un ransomware (appelé également rançongiciel, crypto-virus ou virus rançon) est un logiciel malveillant pouvant entraîner soit le blocage d'un ordinateur, soit le chiffrement de données qu'il renferme, ou encore, la récupération des informations sensibles. Il ordonne ensuite le paiement d'une rançon (souvent en monnaie virtuelle, bitcoin) pour en restaurer l'accès. 

Les derniers en date :

PETYA

Petya est un ransomware qui chiffre l’ensemble du disque dur. Les cibles identifiées actuellement sont les entreprises : de faux emails de candidature menant vers des liens de téléchargement Dropbox sont utilisés.

Le G DATA Security Labs a détecté les premiers fichiers jeudi 24 mars en Allemagne.

La campagne actuellement en cours vise les entreprises. Dans un email au service des ressources humaines, il y a une référence à un CV se trouvant dans Dropbox. Le fichier stocké dans le partage Dropbox est un exécutable. Dès son exécution, l’ordinateur plante avec un écran bleu et redémarre. Mais avant cela, le MBR est manipulé afin que Petya prenne le contrôle sur le processus d’amorçage. Le système démarre à nouveau avec un message MS-Dos qui annonce une vérification CheckDisk. A défaut d’être vérifié, le système est chiffré et plus aucun accès n’est possible.

Le message est clair : le disque est chiffré et la victime doit payer une rançon en se connectant à une adresse disponible sur le réseau anonyme TOR. Sur la page concernée, il est affirmé que le disque dur est chiffré avec un algorithme fort. Après 7 jours, le prix de la rançon est doublé. Il n’y a pour le moment aucune certitude sur le fait que les données soient irrécupérables. Les experts du G DATA SecurityLabs travaillent à l’analyse de ce nouveau type de ransomware.

G DATA recommande aux entreprises et particuliers de redoubler de vigilance quant aux emails reçus. Dans les entreprises, le blocage des partages en ligne de type Dropbox est à étudier, ces systèmes permettant de passer à travers les filtrages des passerelles emails.

Nouveau (18/04/2016) : En utilisant un algorithme, il s’avère désormais possible de casser la clé de chiffrement interdisant l’accès aux données et de restaurer le Master Boot Record (MBR), la partition de démarrage qui permet à l’ordinateur d’initier le lancement de son système d’exploitation.

LOCKY ET CRYSIS

(Crysis venant du fait que ce dernier modifie les extensions des documents chiffrés en ".Crysis").
Il cible les entreprises et semble être installé par des attaques "bruteforce RDP". Si le groupe à l'origine de ce ransomware est le même que pour les autres attaques, il y a probablement peu de chances de récupérer les documents chiffrés, même après paiement de la somme exigée.
Comme dans les cas précédents, le fond d'écran est modifié avec les instructions de paiement adresse de contact dalailama2015@protonmail.ch par exemple.

CTB LOKER

La nouvelle version du virus « CTB Locker » réussit à passer outre les firewalls et antivirus les plus sophistiqués,si ceux-ci sont mal configurés.
« CTB Locker » se propage essentiellement via des courriels d'apparence anodine, personnalisés au maximum (notamment grâce à des informations recueillies par le biais des techniques dites de social engineering) en vue de ne pas éveiller les soupçons des utilisateurs ciblés. Un document, identifié comme étant une facture, une plainte de client, un bon de commande, …, comportant l'extension « .cab » (format de fichier Microsoft compressé) contient l’exécutable malveillant, lequel s'installe une fois le document ouvert puis crypte les données à l'insu de l'utilisateur. Peu de temps après, une fenêtre « pop -p » apparaît et informe le salarié de l'attaque dont il vient d'être victime et de la nécessité de payer une rançon avant l'échéance d'un compte à rebours affiché à l'écran pour obtenir un retour à la normale.
Payer se révèle souvent sans aucun effet car une fois la rançon réglée, le cybercriminel disparaît sans transmettre la clé de déchiffrement nécessaire au déblocage.

PREMIÈRE TENTATIVE RÉUSSIE DE RANSOMWARE SUR MAC

Ke.Ranger ou KeyRanger est  un malware transmis avec la version 2.9 du logiciel BitTorrent Transmission, est une bombe à retardement dont les premiers effets devraient se faire ressentir à compter du 07 mars 2016. 
Et ces effets risquent d'être dévastateurs, si on ne met pas à jour immédiatement l'application en version 2.91, proposée depuis aujourd'hui par l'éditeur.

Trois jours après son installation, le malware va chiffrer les données de l'utilisateur puis lui réclamer une rançon s'il veut recouvrer ses données. C'est donc très grave pour ceux qui n'appliqueront pas la mise à jour de Transmission, ou qui n'effectueront pas les modalités pour supprimer le malware.
Une fois ce délai de grâce de 3 jours achevé, KeRanger contacte un serveur via une connexion anonymisée Tor. Il lance la procédure de chiffrement de certains dossiers et documents contenus dans le disque dur. Une fois l'opération terminée, KeRanger réclame un paiement en Bitcoin d'une valeur équivalente à 400 $ pour déverrouiller les fichiers chiffrés.
Les utilisateurs ayant installé la version 2.9 de Transmission vendredi sont donc susceptibles, dès aujourd'hui, d'être les victimes de Ke.Ranger. 
Apple aurait réagi en supprimant le certificat du développeur permettant d'installer le malware.

Les ransomwares sont de plus en plus courants sur Windows, et jusqu'à présent le Mac était épargné. Ce n'est désormais plus le cas.

DES RÈGLES DE BON SENS : 

La première règle élémentaire de sécurité est la suivante : "On réfléchit, puis on clique et non pas l'inverse"
Seule une vigilance de tous les instants peut éviter les désagréments causés par un ransomware.

La seconde règle de sécurité à appliquer par tous (particuliers, administrations et entreprises privées) est de réaliser des sauvegardes très régulières et d'en vérifier la viabilité. En cas de problème, cette action est la seule à permettre un retour à la normale (plus ou moins rapide) après avoir subi une atteinte de ce type.

COMMENT SE PROTÉGER CONTRE LE VIRUS RANÇON ?

  • Sensibiliser régulièrement les salariés et ce quel que soit le niveau de responsabilité exercé. Tout personnel connecté au réseau de l'entreprise est susceptible d'être rendu destinataire de mails piégés pouvant infecter au mieux son ordinateur et au pire l'intégralité du système d'information de l'entreprise.
  • Installer et mettre à jour régulièrement antivirus et firewall.
  • Bloquer les extensions .cab dans les applications messagerie
  • Effectuer une veille régulière qui permettra d'anticiper et de s'adapter aux nouvelles menaces.

QUE FAIRE EN CAS DE PROBLÈME ?

  • Prendre en photo tous les écrans (mail frauduleux et ses pièces-jointes) ou réamliser des copies d'écran et noter toutes les actions réalisées ainsi que les heures.
  • Isoler les serveurs et lancer un scan antivirus,
  • Identifier l'adresse IP émettrice du mail,
  • Supprimer le profil utilisateur problématique sur les serveurs,
  • Supprimer l'ensemble des fichiers cryptés,
  • Restaurer l'ensemble des dossiers et fichiers depuis des sauvegardes ou des points de restauration système réalisés antérieurement à l'attaque,
  • Communiquer immédiatement sur l'attaque auprès de tous les utilisateurs,
  • Analyser en vue de comprendre les raisons pour lesquelles le mail n'a pas été filtré par les systèmes sécurité.

Procéder avec minutie au risque de perdre vos fichiers.

  • Dans tous les cas, déposer rapidement plainte auprès du service de police ou de gendarmerie territorialement compétent en cas de problème avéré ou de simple tentative.

Source : Gendarmerie Nationale, Division des opérations à l'EM RGRA.