TR-41 - Crypto Ransomware - Défenses proactives et de réponse sur incident

Résumé

Le Crypto Ransomware (logiciel de rançon cryptographique) est une menace croissante contre les utilisateurs Internet et également ceux qui utilisent les réseaux d’entreprise. Les attaquants infectent un système afin de chiffrer tous les fichiers disponibles localement et à distance de l’utilisateur. Lorsque les fichiers sont chiffrés (très souvent avec des techniques de chiffrement de pointe), les attaquants tentent d’extorquer les utilisateurs via une rançon pour récupérer les fichiers chiffrés. Ces attaques peuvent être dévastatrices, en particulier dans les réseaux d’entreprise où les serveurs de fichiers (NAS, serveurs CIFS) sont largement utilisés.

Recommandations

Même si vous n’êtes pas victime de cette attaque, des mesures proactives peuvent être prises afin de limiter tout impact lié à une infection avec un Crypto Ransomware.

Mesures proactives

  • La meilleure défense contre le Crypto Ransomware passe par des sauvegardes fonctionnelles. Si vous êtes en mesure de récupérer facilement votre sauvegarde, vous réduisez à néant le principal objectif de l’attaquant.
  • Les sauvegardes doivent être faites hors ligne (non connectées au réseau ou au système). Un Crypto Ransomware essaie de chiffrer des fichiers locaux sur le disque local, les supports amovibles, mais aussi sur les fichiers de partage connectés. La sauvegarde doit être faite hors ligne afin d’éviter leur chiffrement par les attaquants.
  • La période de rétention des sauvegardes doit être revue. Il ne faut pas oublier qu’un Crypto Ransomware peut tourner en arrière-plan pendant plusieurs jours avant d’être détecté. Plus la période de rétention est longue, plus les chances de récupération sont élevées.
  • Ne pas oublier que les serveurs de sauvegarde sont exposés et peuvent également être une cible pour l’attaquant.
  • Activer l’audit de connection sur les serveurs de fichiers afin de traquer les systèmes potentiellement infectés chiffrant des fichiers sur le système de partage via le réseau.
  • Créer des scripts de surveillance afin de garder une trace des systèmes qui modifient un grand nombre de fichiers dans un court laps de temps. Cette surveillance peut être utilisée pour détecter de manière proactive tout système infecté.
  • Les vecteurs d’infections les plus courants pour un Crypto Ransomware sont:
    • Exécution de pièces jointes malveillantes envoyées par e-mails.
    • Les e-mails contenant des URLs (liens), redirigeant vers des documents malveillants.
    • Exploitation de navigateurs Web vulnérables ou d’un composant externe (p.ex. Flash)
  • Revoir la politique de sécurité de vos passerelles de messagerie et web, et veillez à ce que le logging soit actif et correct (si vous avez besoin de retrouver les utilisateurs infectés au cours de la réponse sur incident).
  • Les passerelles de messagerie et web doivent bloquer ou mettre en quarantaine tous les e-mails et documents contenant des fichiers exécutables, les formats des récipients et les fichiers potentiellement porteurs de contenu actif. A titre d’exemple, veuillez trouver une liste de fichiers joints qui doivent être mis en quarantaine ou au moins être examinés par votre passerelle de filtrage:
    • Formats de récipients: “.zip”, “.rar”, “.ace”, “.gz”, “.tar”, “.7z”, “.z”, “.bz2”, “.xz”, “.iso”
    • Fichiers qui contiennent potentiellement du contenu actif: “.pdf”, “.doc”, “.rtf”, “.ppt”, “.xls”, “.odt”
    • Applications: “.exe”, “.pif”, “.application”, “.gadget”, “.msi”, “.msp”, “.com”, “.scr”, “.hta”, “.cpl”, “.msc”, “.jar”
  • Veillez à ce que les règles de mise à jour soient appliquées pour les navigateurs Web, y compris les extensions et plug-ins.
  • Examinez votre politique de «Bring Your Own Device» (BYOD) pour limiter l’impact des machines préalablement infectées avec du Crypto Ransomware contre les infrastructures de l’entreprise.

La réponse sur incident du Crypto Ransomware

  • Dans le cas d’une détection, nous vous recommandons de débrancher les systèmes infectés du réseau (ne pas oublier les connexions sans fil).
  • Si vous souhaitez effectuer une analyse forensic, une acquisition de la mémoire doit être effectuée (si le système n’a pas été stoppé) avant l’acquisition du disque. Vérifier le « TR-22 - Recommendations for Readiness to Handle Computer Security Incidents » pour la procédure opérationnelle et technique.
    • Dans quelques rares cas, il est possible de récupérer certains fichiers (ex : des « shadow copies » dans Windows, la récupération via une analyse forensic ou une faiblesse dans le chiffrement utilisé par certains crypto ransomare). Vous ne devriez pas compter sur une telle possibilité mais plutôt vous assurer que toutes les mesures proactives (comme décrites ci-dessus) sont bien en place.
  • En cas d’infection, CIRCL recommande de réinstaller le système d’exploitation à partir d’une source d’installation propre et de restaurer les sauvegardes. Ne pas oublier de revoir la sauvegarde restaurée pour s’assurer qu’il n’y a pas d’infection restante. Ne jamais essayer de contacter l’attaquant et ne pas payer la rançon. Payer une rançon signifie que vous soutenez le modèle financier des cyber criminels.
  • Si possible, conservez une copie des disques originaux chiffrés. Il existe une faible possibilité que les clés soient révelées dans le futur comme cela fut le cas pour TeslaCrypt.

Indicateurs

CIRCL offre la possibilité à une organisation privée de se connecter à la plateforme CIRCL MISP où les indicateurs de malware, y compris le Crypto Ransomware, sont partagés. N’hésitez pas à nous contacter.

Références

Classification de ce document

TLP:WHITE

Les informations peuvent être distribuées sans restriction, soumises à des contrôles de droits d’auteur.

Révision

  • Version 1.1 19 mai, 2016. (TLP:WHITE)
  • Version 1.0 1er décembre, 2015. Version initiale (TLP:WHITE)