L’évolution du ransomware — et les outils pour y faire face

19 Juin 2018

Les ransomwares qui ont fait les gros titres l’année dernière sont la conséquence de ce que nous pouvons décrire comme un bond en avant. Les cybercriminels sérieux ont transformé la simple menace du cryptage de fichiers en un outil plutôt complexe. De plus, tout montre que cette tendance va se poursuivre.

Avant 2017

Autrefois, les victimes de ransomware étaient principalement des passants occasionnels. Les cybercriminels lançaient des spams partout en espérant trouver au moins un utilisateur qui aurait des fichiers importants dans son ordinateur, et qui ouvrirait la pièce jointe malveillante.

La situation a changé en 2016. Les listes aléatoires des spammeurs ont été de plus en plus remplacées par les adresses des employés d’une entreprise qui avaient été trouvées en ligne, et spécifiquement collectées. Les coupables avaient clairement compris qu’il était beaucoup plus rentable d’attaquer les entreprises. Par conséquent, le contenu des messages changeait également. Au lieu de se faire passer pour une correspondance personnelle, les messages semblaient désormais avoir été envoyés par des collaborateurs, des clients et les services fiscaux.

2017

La situation a de nouveau changé en 2017 ; radicalement cette fois. Deux épidémies à grande échelle ont affecté des millions de personnes et ont montré que le ransomware pouvait avoir différents objectifs autres que l’extorsion. Le premier est le tristement célèbre ransomware WannaCry qui fût un pionnier technologique. Ce ransomware a exploité une vulnérabilité dans l’implémentation du protocole SMB sous Windows. Il s’agissait d’une vulnérabilité qui avait déjà été réparée, mais de nombreuses entreprises n’avaient pas pris le temps d’installer le patch. Cependant, cela n’était qu’une partie du problème.

WannaCry n’a pas eu de succès comme ransomware. Même s’il a infecté des centaines de milliers d’appareils, WannaCry ne rapportait que de modestes bénéfices à ses créateurs. Certains chercheurs ont commencé à se demander si l’objectif final était l’argent, ou s’il s’agissait plutôt d’un sabotage ou de la destruction de données.

La menace suivante a effacé tous les doutes. ExPetr ne pouvait pas récupérer les données cryptées. Il s’agissait d’un wiper déguisé en ransomware. De plus, il utilisait une nouvelle supercherie. En utilisant une attaque de la chaîne d’approvisionnement, les créateurs ont réussi à mettre en péril une partie du logiciel ukrainien de comptabilité MEDoc, et ont exposé au risque d’infection les entreprises ayant une activité en Ukraine.

2018

Les événements qui se sont déjà produits cette année ont montré que le ransomware continue d’évoluer. Nos experts ont récemment étudié une menace assez nouvelle : la dernière modification du ransomware SynAck. Ils ont découvert qu’il contenait des mécanismes complexes pour contrer les technologies de protection, ce qui montre qu’il s’agissait d’une attaque ciblée. Les contre-mesures incluent :

  • L’application d’une méthode de duplication du processus, connue comme le Processus Doppelgänging, qui essaie de faire passer un processus malveillant pour légitime ;
  • L’assombrissement du code exécutable avant la compilation ;
  • Une vérification pour s’assurer qu’il n’est pas surveillé dans un environnement contrôlé ;
  • Des processus et services d’arrêt pour garantir l’accès aux fichiers importants ;
  • Le nettoyage des registres d’événement pour gêner les analyses postérieures à l’incident.

Il n’a aucune raison de croire que le ransomware a fini d’évoluer. Ses créateurs vont continuer de chercher comment l’améliorer.

Comment arrêter l’évolution du ransomware

La seule façon de mettre un terme au développement du ransomware est de rendre ses attaques inefficaces. Pour ce faire, il faut disposer des dernières technologies de pointe. Nos clients ont longtemps été sains et saufs. Toutes nos solutions destinées aux points de terminaison d’entreprises disposent de sous-systèmes qui nous permettent de combattre effectivement le ransomware.

Même si vous n’utilisez pas les solutions de Kaspersky Lab destinées aux entreprises, il n’y a aucune raison pour laisser vos données sans protection. Kaspersky Anti-Ransomware Tool, notre solution spécifique à ce problème, augmente les mécanismes de sécurité de la plupart des fournisseurs tiers. Cet outil utilise les dernières technologies de détection comportementale pour révéler le ransomware, et il profite pleinement de nos outils hébergés dans le Cloud. Il évolue également pour relever le défi des menaces modernes. Nous venons juste de sortir la troisième version.

Cette dernière version de Kaspersky Anti-Ransomware Tool peut être déployée depuis la ligne de commande, ce qui facilite une mise en place automatique dans les réseaux de l’entreprise. Comme si cela n’était pas suffisant, cette solution est entièrement gratuite. Enregistrez-vous, téléchargez le fichier et installez l’application en cliquant ici.