CryptoLocker : tout ce que vous devez savoir

Cryptolocker

Qu’est-ce qu’un CryptoLocker ?

Le CryptoLocker est un malware désormais bien connu pour les dégâts importants qu’il peut occasionner toute organisation centrée sur les données.
Une fois le code exécuté, il chiffre les fichiers des ordinateurs et des partages réseau et les « tient en otage », exigeant une rançon à tout utilisateur qui tente d’ouvrir le fichier, en échange du déchiffrement du fichier. C’est la raison pour laquelle les CryptoLockers et ses variantes sont désormais connus comme étant des « ransomwares ».

Un malware tel qu’un CryptoLocker peut s’infiltrer dans un réseau protégé par de nombreux vecteurs tels qu’e-mails, sites de partage de fichiers et téléchargements.
De nouvelles variantes sont parvenues à échapper aux technologies d’antivirus et de pare-feu, et l’on peut raisonnablement s’attendre à en voir apparaître de nouvelles qui seront capables de contourner les mesures préventives. Outre le fait de limiter la portée des dommages occasionnés par un hôte infecté en renforçant les contrôles d’accès, la ligne de défense suivante consiste à mettre en place des systèmes de détection et de correction.

Cryptolocker can enter through

Cet article porte exclusivement sur le CryptoLocker. Si vous souhaitez obtenir des informations plus générales sur le ransomware, nous vous invitons à lire notre Guide complet du ransomware, qui vous apportera des informations très détaillées.

Actualisation en septembre 2018 : les attaques de ransomware ont considérablement diminué depuis leur niveau record en 2017. Les CryptoLocker et ses variantes ne sont plus distribués à grande échelle et de nouveaux ransomwares ont pris le relais. Le ransomware a évolué, se détachant de son précédent modèle de distribution de grande ampleur pour devenir aujourd’hui une attaque ciblée. Il n’en reste pas moins une menace pour les entreprises et les organismes de l’État.

Que fait un CryptoLocker ?

Au moment de l’exécution, un CryptoLocker commence à analyser les disques réseau mappés auxquels l’hôte est connecté pour y rechercher des dossiers et documents (voir les types de fichiers concernés). Il renomme et chiffre ensuite ceux qu’il a le droit de modifier, en fonction des autorisations dont dispose l’utilisateur qui exécute le code.

Un CryptoLocker utilise une clé RSA de 2048 bits pour chiffrer les fichiers, puis les renomme en leur ajoutant une extension telle que .encrypted ou .cryptolocker ou .[7 caractères aléatoires], selon la variante. Pour terminer, le malware crée un fichier dans chaque répertoire visé, contenant un lien vers une page Web donnant des instructions de déchiffrement. Elles stipulent que l’utilisateur doit payer une rançon (par exemple en bitcoins). Le fichier d’instruction se nomme généralement DECRYPT_INSTRUCTION.txt ou DECRYPT_INSTRUCTIONS.html.

Au fur et à mesure que de nouvelles variantes seront découvertes, des informations seront ajoutées à la discussion Varonis Connect sur le ransomware.  À titre d’exemple, une variante nommée « CTB-Locker » crée un seul fichier dans le répertoire. Elle commence alors par chiffrer les fichiers, en les nommant !Decrypt-All-Files-[7 caractères ALÉATOIRES].TXT ou !Decrypt-All-Files-[7 caractères ALÉATOIRES].BMP.

Comment lutter contre un CryptoLocker

Plus un compte utilisateur a accès à un nombre élevé de fichiers, plus les dommages potentiels sont importants. Il est donc prudent de restreindre l’accès car cela limitera la portée des éléments susceptibles d’être chiffrés. Outre le fait que cela fournira une ligne de défense contre le malware, cela réduira l’exposition potentielle à d’autres attaques de la part d’acteurs internes et externes.

Même si l’adoption d’un modèle de moindre privilège prend du temps, il est possible de réduire rapidement l’exposition en retirant les groupes d’accès globaux inutiles des listes de contrôle d’accès. Utilisés sur des conteneurs de données (tels que dossiers et sites SharePoint), des groupes tels que « Tous », « Utilisateurs authentifiés » et « Utilisateurs du domaine » peuvent exposer des hiérarchies entières à tous les utilisateurs d’une entreprise. Non seulement ces ensembles de données exposés sont des cibles faciles pour les voleurs et utilisateurs malintentionnés, mais elles sont fortement susceptibles d’être endommagées lors d’une attaque. Sur les serveurs de fichiers, ces dossiers sont connus comme étant des « partages ouverts » si le système de fichiers et les droits de partage sont accessibles par le biais du groupe d’accès global.

Bien qu’il soit plus facile d’utiliser des technologies conçues spécialement pour trouver et éliminer les groupes d’accès globaux, il est possible de localiser les partages ouverts en créant un utilisateur n’appartenant à aucun groupe et d’utiliser les droits d’accès de ce compte pour « procéder à un scan » de l’environnement de partage de fichiers. Par exemple, même des commandes net de base exécutées depuis un shell cmd Windows peuvent servir à lister et tester l’accessibilité des partages :

 

    • net view (énumère les hôtes à proximité)
    • net view \\host (énumère les partages)
    • net use X: \\host\share (mappe un disque sur le partage)
    • dir /s (énumère tous les fichiers accessibles en lecture par l’utilisateur dans le partage)

Ces commandes peuvent facilement être combinées en un script groupé pour identifier les dossiers et fichiers accessibles à un grand nombre de personnes.
Malheureusement, résoudre ce problème sans recourir à l’automatisation peut s’avérer long et risqué et, si vous n’êtes pas vigilant, l’opération peut affecter les activités courantes de l’entreprise.
Si vous découvrez une grande quantité de dossiers accessibles, envisagez d’utiliser une solution automatisée. Les solutions automatisées peuvent aussi vous aider à aller plus loin que la simple élimination de l’accès global, et vous permettre de mettre en place un véritable modèle de moindre privilège tout en éliminant par la même occasion la gestion manuelle inefficace du contrôle d’accès.

Comment détecter un CryptoLocker

CryptoLocker example

Si l’activité d’accès aux fichiers est surveillée sur les serveurs de fichiers concernés, ces comportements génèrent très rapidement un nombre élevé d’événements d’ouverture, modification et création, et ils sont assez faciles à localiser automatiquement. Vous disposez donc d’un précieux outil de détection.
Par exemple, si un seul compte utilisateur modifie 100 fichiers en une minute, il y a fort à parier qu’une opération automatisée est en cours.
Configurez votre solution de surveillance de manière à ce qu’elle émette une alerte lorsque ce type de comportement est observé. Immédiatement fonctionnel, Varonis DatAlert surveille le comportement du système de fichiers pour détecter le ransomware. Aucune configuration supplémentaire n’est requise si Varonis protège vos données.

Faute d’avoir installé une solution automatisée pour surveiller les accès aux fichiers, vous serez peut-être contraint de procéder à un audit natif. Malheureusement, l’audit natif soumet les systèmes surveillés à d’importantes contraintes, et le résultat est difficile à déchiffrer. Au lieu d’essayer de collecter des journaux d’audit natif sur chaque système, donnez la priorité aux domaines particulièrement sensibles et envisagez de mettre en place un honeypot de partage de fichiers.

Un honeypot de partage de fichiers est un partage de fichiers accessible contenant des fichiers en apparence normaux ou ayant de la valeur, mais qui sont faux en réalité. Étant donné qu’aucune activité utilisateur légitime ne devrait, en théorie, être associée à un partage de fichiers servant de honeypot, toute activité observée doit être examinée avec le plus grand soin. Si vous devez vous cantonner aux méthodes manuelles, vous devrez activer l’audit natif pour enregistrer les activités d’accès, et créer un script qui vous avertira lorsque des événements seront écrits dans le journal des événements de sécurité (par exemple, en utilisant dumpel.exe).

Si vous êtes un adepte de PowerShell, nous avons écrit un billet sur la façon de bloquer un CryptoLocker avec PowerShell.

Si votre mécanisme de détection est capable de déclencher une réponse automatisée, comme par exemple désactiver le compte de l’utilisateur, l’attaque est stoppée avant d’avoir pu infliger plus de dommages. Pour faire face au cas d’un utilisateur générant plus de 100 événements de modification, vous devrez par exemple :

  • Avertir le service informatique et les administrateurs de sécurité (indiquez le nom d’utilisateur et la machine concernés)
  • Contrôler le registre de la machine pour y rechercher des clés/valeurs créées par un CryptoLocker :
    • Get-Item HKCU:\Software\CryptoLocker\Files).GetValueNames()
  • Si vous obtenez une valeur, désactivez automatiquement l’utilisateur.

Si l’enregistrement des accès a pu être préservé et peut faire l’objet d’une recherche, il acquiert une valeur inestimable pour récupérer vos données, puisqu’il répertorie de manière exhaustive tous les fichiers, comptes utilisateur et (éventuellement) hôtes concernés. Les clients Varonis peuvent utiliser la sortie du rapport 1a (décrite ici) pour récupérer les fichiers à partir d’une sauvegarde ou d’une Shadow Copy.

Selon la variante de CryptoLocker, le chiffrement peut être réversible au moyen d’un désassembleur en temps réel.

Conseils de sécurité concernant les ransomwares

Ransomware safety tips

  • Mettez à jour votre antivirus et le logiciel de protection de vos terminaux – ces solutions peuvent aider à détecter certains types de ransomware et les empêcher de chiffrer vos fichiers.
  • Évitez de vous faire avoir par les attaques de phishing – les e-mails de phishing constituent le principal vecteur de propagation du ransomware.
  • Conservez des sauvegardes de vos documents – il est bien plus simple et rapide de récupérer vos documents à partir d’une sauvegarde que de les déchiffrer si vous avez été victime d’une attaque de ransomware.
  • Adoptez un modèle de zéro confiance / moindre privilège – le ransomware peut seulement infecter les dossiers dans lesquels un utilisateur peut écrire. Un modèle de moindre privilège limite cet accès à ce qui est absolument nécessaire.
  • Surveillez les activités sur les fichiers et le comportement des utilisateurs pour détecter, signaler et faire face à toute activité de ransomware potentielle.

De nouvelles variantes de ransomware font sans cesse leur apparition – notre équipe d’experts en sécurité vous mâche le travail et met rapidement à jour les signatures de ransomware détectées par Varonis. Voyez par vous-même comment cela fonctionne lors d’une démonstration individuelle gratuite et découvrez comment notre architecture de défense contre le ransomware protège les données d’entreprise des attaques zéro day au-delà du terminal – interceptant ainsi le ransomware que la sécurité classique du périmètre ne voit même pas.