ransomware

Analyse du ransomware WastedLocker

Nos experts font une analyse technique et détaillée du principal suspect de l’attaque de ransomware dont Garmin a été victime.

Kaspersky Team
3 Août 2020

Fin juillet 2020, les sites d’actualités technologiques débordaient d’articles sur Garmin. Plusieurs services de Garmin, dont la synchronisation des dispositifs avec le Cloud et les outils destinés aux pilotes, étaient inutilisables. Le manque d’informations officielles a donné lieu à de nombreuses théories. Quant à nous, nous avons décidé d’attendre d’avoir certaines données concrètes pour évaluer la situation.

Dans son communiqué officiel, Garmin a confirmé avoir été victime d’une cyberattaque qui a interrompu ses services en ligne et chiffré certains systèmes internes. Les informations disponibles au moment où nous rédigeons cet article indiquent que les pirates informatiques ont utilisé la ransomware WastedLocker. Nos experts ont réalisé une analyse technique et détaillée du malware. Voici leurs principales découvertes.

Ransomware WastedLocker

WastedLocker est l’exemple d’un ransomware qui réalise des attaques ciblées, c’est-à-dire un malware paramétré pour s’en prendre à une entreprise en particulier. La demande de rançon se dirige à la victime par son nom et l’extension .garminwasted est ajoutée à tous les fichiers chiffrés.
Le schéma de chiffrement utilisé par les cybercriminels nous permet de tirer la même conclusion. Ils ont utilisé les algorithmes AES et RSA pour chiffrer les fichiers. Les créateurs de ransomware les utilisent souvent ensemble. Pourtant, pour chiffrer les fichiers, ils se sont servis d’une clé publique RSA plutôt que d’une clé générée uniquement pour chaque infection. En d’autres termes, si cette modification de ransomware était utilisée contre plusieurs cibles, le programme de chiffrement des données serait d’usage général puisqu’il devrait aussi y avoir une clé privée.

De plus, le ransomware dispose de fonctions plutôt étranges :
La priorité est donnée au chiffrement des données, ce qui signifie que les cybercriminels peuvent indiquer quel répertoire de fichiers doit être chiffré en premier. Cela maximise les dégâts au cas où les mécanismes de sécurité arrêteraient le chiffrement des données avant qu’il ne soit terminé.
Soutien du chiffrement du fichier des ressources du réseau à distance.
Privilège de contrôle et utilisation du contournement de la DLL pour escalader les privilèges.
Vous trouverez une analyse détaillée du ransomware dans l’article en anglais publié sur Securelist et intitulé WastedLockwer: technical analysis.

Où en est Garmin ?

Selon les dernières déclarations faites par Garmin, les services sont à nouveau opérationnels même si la synchronisation des données peut être lente et encore limitée dans certains cas. C’est compréhensible : les dispositifs qui n’ont pas pu se synchroniser avec le Cloud pendant plusieurs jours contactent tous en même temps les serveurs de l’entreprise, ce qui augmente la charge.
Garmin indique qu’il n’existe aucune preuve laissant croire qu’une personne ait pu accéder de façon illégale aux données client pendant l’incident.

Comment se protéger de ces attaques

Les attaques ciblées de ransomware qui s’en prennent aux entreprises ne vont pas disparaître de sitôt. Cela étant dit, les conseils à suivre pour vous en protéger sont assez simples :

Ayez toujours vos programmes à jour, surtout votre système d’exploitation. La plupart des chevaux de Troie exploitent des vulnérabilités connues.
Utilisez le RDP pour refuser l’accès public aux systèmes de l’entreprise (ou, si besoin, un VPN).
Formez vos employés pour qu’ils aient des connaissances de base en cybersécurité. Dans la plupart des cas, c’est à cause de l’ingénierie sociale que les employés laissent passer un ransomware de type cheval de Troie et que ce dernier infecte le réseau de l’entreprise.
Utilisez des solutions de sécurité de pointe équipées de technologies anti-ransomware avancées. Nos produits détectent WastedLocker et empêchent l’infection.

Record du monde de speedrunning battu en toute sécurité

Nouveau record du monde de speedrunning réalisé avec l’exécution de Kaspersky Internet Se-curity en arrière-plan.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Analyse du ransomware WastedLocker

Ransomware WastedLocker

Où en est Garmin ?

Comment se protéger de ces attaques

CryWiper : un faux rançongiciel

Les attaques du groupe Andariel : DTrack et Maui

Record du monde de speedrunning battu en toute sécurité

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky