Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

En ce premier semestre 2016, les ransomwares redoublent d’intensité. Un ransomware (rançongiciel) est un programme informatique ayant pour objectif de créer une demande de rançon via l’obtention d’un moyen de pression, celui ci étant souvent un chiffrement des données, le ransomware promettant alors généralement un déchiffrement suite à un paiement. Certains ransomwares possèdent cependant des faiblesses de conception permettant de récupérer les données chiffrées sans effectuer l’étape du paiement. Nous allons ici vous présenter les principaux rançongiciels observés en 2016.

ransomewares 2016

Timeline des principaux ransomwares depuis 2016

Locky

Locky est certainement le ransomware ayant fait le plus parler de lui en ce début d’année 2016. Ce malware est apparu après les vagues d’infections par le malware banquaire Dridex visant principalement les entreprises, se présentant sous la forme de mails de spam avec pièce jointe. Les premières vagues de Locky se sont présentées avec des droppeurs au format Word (.doc) utilisant des macros. Les vagues suivantes ont quant à elles utilisées un script Javascript obfusqué présent dans une archive Zip. Ce malware utilise du chiffrement asymétrique pour lequel il n’existe à l’heure actuelle aucune methode publique permettant de récupérer les données chiffrées après l’incident sans payer la rançon.

2016_04_Ransomwares_Locky

CTB-Locker

Les premières versions de ce malware se propagaient, comme Locky, principalement via des emails de spam, très souvent sous la forme de pièces jointes au format Zip ou Cab. En 2016, ce ransomware s’attaque principalement aux serveurs Web.

Certaines versions de CTB-Locker effectuent une copie du fichier original avant l’étape du chiffrement. Une fois la copie chiffrée, l’original est alors supprimé, en conséquence le fichier original se situe alors dans un emplacement libre sur le système de stockage et est toujours récupérable à l’aide de certains outils spécialisés.

Davantage d’informations :

2016_04_Ransomwares_CTB-Locker-2015

Petya

Ce malware s’installe dans le master boot record (MBR) et provoque un BSOD afin de permettre à l’ordinateur de redémarrer et de passer à l’étape du chiffrement. C’est à ce moment là qu’une fausse interface de verification de disque (chkdisk) s’affiche au premier plan pendant que les fichiers sont discretement en train d’être chiffrés à l’insu de l’utilisateur. La récupération des données pour le malware Petya est envisageable tout comme pour le malware CTB-Locker, à la différence que Petya utilise un système de chiffrement faible permettant aux données d’être récupérées, notamment dans le cadre d’une réponse à incident (DFIR)

Davantage d’informations :

Remédiation :

2016_04_Ransomwares_Petya

7eV3N

La première version de ce ransomware demandait un montant démesuré comparé aux autres ransomwares (13 BTC ce qui équivaut à environ 5 200 € au moment où l’article est publié). Une seconde version de ce malware est alors parue avec une rançon plus raisonnable de 1BTC (400€) et quelques améliorations. Ce ransomware parcourt tout l’espace de stockage à la recherche de fichiers au format courant (.DOC/.JPG/.PDF etc.), les chiffre puis les renomme en utilisant un motif connu ([0-9]+.R5A (d’après Lawrence Abrams de Bleeping Computer)). Il n’existe pour le moment aucun moyen de récupérer les données chiffrées par ce ransomware. Cependant Lawrence Abrams explique comment s’en débarasser.

2016_04_Ransomwares_Seven_1PowerWare

Comme les vagues de Locky, le dropper de PowerWare utilise généralement les macros de la suite Microsoft Office afin de lancer l’interpreteur de commandes pour executer la charge active qui, contrairement aux autres malwares présentés, dans cet article est développé en PowerShell.

Les clés sont envoyées en HTTP au serveur de l’attaquant sans aucun chiffrement, il est alors envisageable de les récupérer au moment de l’infection par un IDS (exemple de règle suricata) afin de permettre à une équipe de réponse à incidents de déchiffrer les données à l’aide de ce script.

Davantage d’informations :

2016_04_Ransomwares_powerware

Teslacrypt

TeslaCrypt, qui a fait ses débuts en février 2015, visait initialement le secteur du jeux-video (Call Of Duty, Minecraft etc.) et chiffrait les sauvegardes, les profils et d’autres éléments perturbants pour les joueurs. Les développeurs de TeslaCrypt on ensuite élargit le périmètre en s’attaquant à une plus large panoplie de formats de fichiers, tout comme les autres ransomwares.

TeslaCrypt a comme particularité de ressembler dans sa forme et son fonctionnement à CryptoLocker en ayant un développement totalement indépendant. Ce malware se propagait dans ses premières versions grâce à une vulnérabilité présente dans Adobe Flash Player. En 2016 il est plus fréquent de le retrouver dans nos mails comme une bonne partie des ransomwares en vogue en ce moment.

Davantage d’informations :

Il semblerait qu’il existe un remède pour certaines versions de TeslaCrypt :

TeslaCrypt 4.0

TeslaCrypt 4.0

Jigsaw

Ce malware met en scène un scénario semblable au film Saw en mettant la pression à l’utilisateur au travers d’une contrainte de temps pour remettre l’argent et des gages entraînant des pertes de fichiers aléatoires lorsque l’utilisateur tente d’effectuer une action qui irait à l’encontre du bon déroulement de la rançon. En pratique, plusieurs fichiers sont supprimés après chaque heure sans paiement de la rançon. Contrairement aux méthodes d’infection présentées pour les autres ransomwares, il se propage (d’après TendMicro) via des sites d’hébergement gratuit de fichiers en ligne (comme par exemple 1fichier[dot]com ou waldorftrust[.]com).

Davantage d’informations :

2016_04_Ransomwares_Jigsaw

Radamant

Découvert en 2015, Radamant se propage via des sites internet compromis, utilisant un exploit dans Flash Player (CVE-2015-5560). Cependant, depuis 2016, d’après BleepingComputer, la technique de propagation du malware est encore inconnu. Au premier lancement du programme, il se duplique afin de se dissimuler dans le dossier “C:\Windows\directx.exe”. À chaque démarrage du système, il effectue une recherche par extension sur tous les fichiers présents sur le périphérique de stockage à la recherche de nouveaux fichiers a chiffrer comme la majorité des autres ransomwares.

Davantage d’informations :

2016_04_Ransomwares_Radamant

CryptXXX

CryptXXX se propage via l’exploit kit Angler. Frank Ruiz (Fox IT InTELL) et Proofpoint pensent que ce ransomware est contrôlé par le même groupe de personnes que le ransomware « Reveton » qui avait fait ses premières apparitions en 2012 en se faisant passer pour l’ANSSI (Agence Nationale de la Securité des Systèmes d’Information).

Kaspersky a sorti récement un programme permettant de récupérer les données chiffrées par ce ransomware.

Davantage d’informations :

 

Les moyens de prévention

Ces malwares sont très nombreux mais sont finalement tous assez proches. Il existe ainsi plusieurs moyens plus ou moins simples de se protéger contre ces infections, comme par exemple :

  • Faire des sauvegardes régulières des données
  • Sensibiliser les utilisateurs
  • Mettre à jour le système et les logiciels qui le compose (exemple: Antivirus, navigateur web…)
  • Mettre en place du hardenning anti-EK : EMET, sandboxing de navigateur (bromium etc.)
  • Mettre en place des solutions d’analyse avancées de malwares (sandbox etc.)
  • Mettre en place une supervision du réseau (SIEM et SOC associé), en particulier sur les secteurs exposés (personnel administratif, direction, VIP)

 

Les ransomwares arrivent en masse en ce début d’année 2016 et vont surement être de plus en plus présents au fur et à mesure du temps. Afin d’aider ceux qui interviennent sur ce genre d’incidents, certaines initiatives se forment sur la toile, comme par exemple Screen ID Ransomware, qui permet d’identifier un ransomware à partir d’un échantillon de fichier chiffré ou d’une partie de la demande de rançon, ou encore le Google Doc communautaire qui permet de centraliser des informations concernant ces ransomwares.

Enfin il est bon de rappeler que dans ce genre de situation une expertise inforensique peut-être nécessaire afin d’analyser la totalité du parc et de déceler des potentielles infections complémentaires.

 

By | 2019-06-04T14:46:13+00:00 26/04/2016|Technique|