Go to Top

Le ransomware, va-t-il venir ou va-t-il partir ?

De plus en plus dangereux

Tandis qu’au cours des années 2010 de plus en plus d’attaques ciblées ont été rapportées avec des virus permettant de pratiquer un chantage, la propagation de Locky par email, en particulier pendant le mois de février 2016, représente une accentuation de la menace sans précédent.

En avril 2016, le bureau fédéral allemand pour la sécurité des informations (BSI) a mené une étude auprès de 592 entreprises participantes. Parmi celles-ci, 32 % – un tiers – ont été frappées par une attaque de ransomware. Dans 82 % des cas, l’email a été la passerelle permettant à l’attaque de réussir ! Dans 21 cas, ceci a entraîné la perte de données importantes, lesquelles n’ont par ailleurs pas pu être restaurées.

Au cours des mois qui ont suivi, toujours en 2016, d’autres vagues d’attaques par ransomware ont été observées, lesquelles ont été aussi dangereuses que Locky et sont également parvenues à atteindre un niveau important de propagation.

D’un autre côté, le nombre de simples emails de spam a affiché une légère diminution depuis le début de l’année 2015. Mais tandis qu’un trop grand nombre d’emails de spam dans la boite de réception est juste ennuyeux, un email contenant un ransomware envoyé avec succès représente un risque majeur qui peut menacer l’existence de l’entreprise. Dans l’étude BSI citée, 4 entreprises ont indiqué que l’attaque par ransomware avait mis en péril leur existence.

Qu’est-ce qui rend le ransomware aussi dangereux ?

Comparé aux spams et aux malwares habituels, le ransomware se caractérise par une architecture et une fonctionnalité beaucoup plus sophistiquées. Le contrôle des vagues d’attaques est tellement granulaire que les vagues individuelles ne durent que quelques heures avant que l’élément de contrôle modifie la structure du code et attaque de nouvelles adresses à partir d’autres réseaux de zombies, également appelés réseaux de bots. Ainsi, le ransomware et le malware le plus récent changent d’apparence en permanence, les valeurs de hachage diffèrent, ou les domaines sont enregistrés uniquement après que l’email ait été envoyé et ne peuvent être vérifiés à ce moment. Toutefois, leur point commun est que le code malveillant ne se trouve en général pas dans l’email, mais il est chargé via un code de script en pièce jointe, ou dans un lien affiché dans l’email. Au moyen d’une ingénierie sociale habile, ou de textes attractifs ou curieux, les utilisateurs sont tentés de cliquer sur le lien ou d’ouvrir la pièce jointe.

C’est pourquoi une gestion intelligente des emails est d’une importance toute particulière de nos jours. Si les mesures de protection adéquates ne sont pas prises dans votre entreprise, vous avez environ 30 % de chances de voir s’afficher sur votre écran un message tel que l’exemple ci-dessous.

Ne prenez pas la sécurité des emails à la légère !

De nombreux fournisseurs de technologie placent de grands espoirs dans ce que l’on appelle les sandbox, lesquelles se présentent toutefois avec des configurations matérielles requises élevées, que le client doit au final payer également dans le cadre des offres de cloud. Ceci s’accompagne d’autre part d’un retard important dans l’envoi des emails, ce qui n’est tout simplement pas d’actualité à l’ère du cloud. Pour éviter ces inconvénients, des compromis doivent être faits, et le « seuil de suspicion » doit être surélevé, à partir duquel une analyse supplémentaire est effectuée par la technologie de sandbox, afin qu’un moins grand nombre de pièces jointes ne doivent être testées.

Sachant qu’en ce moment les technologies de sandbox ne peuvent pas entièrement exécuter le code à cause de dépendances vis-à-vis des données, la technologie entraîne un taux élevé de faux-positifs lorsque le seuil de détection est défini à un niveau trop bas, c’est-à-dire trop sensible. D’autre part, toutes les variantes de malware plus récentes peuvent à présent reconnaître lorsqu’elles sont exécutées dans un environnement de type sandbox, ou par exemple si certains éléments du système d’exploitation ne sont pas visibles, si des manipulations du temps sont effectuées, ou si les hameçons de la sandbox sont tout simplement mal camouflés. Et en outre, les résultats d’une sandbox sont toujours soumis à une certaine probabilité.

Une protection efficace avec des méthodes intelligentes

Si le code malveillant est principalement dissimulé dans les pièces jointes, puis-je simplement bloquer la réception des pièces jointes ? Avec cette mesure radicale, le problème serait naturellement résolu. Toutefois, dans la vraie vie, ajouter simplement des pièces jointes n’est pas exécutoire, sachant que de nombreuses informations utiles aux activités des entreprises doivent être échangées en extensions de fichiers – interdire les fichiers Word ou Excel n’est donc pas envisageable. Il est nécessaire de décider si une installation doit être faite avec des critères intelligents, tels que selon la « confiance » vis-à-vis de l’expéditeur, la fonction du destinataire, le contenu du message, et bien d’autres. Une autre possibilité serait qu’une pièce jointe suspecte soit « parquée » dans une file pour être libérée par l’administrateur et automatiquement délivrée par l’administrateur, manuellement ou après un certain délai après avoir été revérifiée. Les fonctionnalités de prévisualisation, qui permettent d’afficher le contenu au destinataire, de façon comparable à une image aux rayons X, sans avoir besoin de délivrer le fichier d’origine, sont une possibilité intéressante également.

Les normes pour vérifier la réputation de l’expéditeur, telles que SPF, DKIM, et DMARC, vous permettent de déterminer si un email provenant du domaine yourcompany.com a véritablement été envoyé par un serveur de ce domaine, et est donc un autre filtre très efficace pour reconnaître et rejeter les messages.

Chiffrez vos emails avant que des crypto-verrouilleurs ne chiffrent vos données !

Vous pouvez obtenir une sécurité supplémentaire dès maintenant en signant électroniquement et en chiffrant l’ensemble des transactions liés à l’entreprise. Si les employés d’entreprises sont habitués à recevoir des factures ou autres documents importants qui vous sont envoyés par email en pièces jointes chiffrées, ils seront automatiquement plus prudents avec les pièces jointes provenant de messages non signés ou non chiffrés. De puissantes passerelles de sécurité des emails peuvent maintenant gérer automatiquement les certificats personnels et les clés publiques qui sont requis.

Chaque ransomware a besoin d’un complice au sein de l’entreprise

Même si la sécurité des emails dans les entreprises et la protection contre les ransomware peut être améliorée de façon importante grâce aux conseils ci-dessus, il n’est pas possible de parvenir à une sécurité 100 % fiable si d’autres mesures pour les attaques sont prises ou si de nouvelles vulnérabilités sont exploitées par les malfaiteurs.

Par conséquent, toute mise à niveau technique doit en permanence être accompagnée d’instructions et d’informations aux utilisateurs. Pour que cela demeure efficace, ceci doit être répété de façon régulière et conjointement avec des exemples illustrés (rapports médiatiques). Ceci diminue la probabilité pour un agresseur d’être en mesure de trouver l’aide dont il a besoin au sein de l’entreprise qui, par ce clic inconscient, ouvrira une pièce jointe et activera le code malveillant.

Conclusion : Bien que des procédures de secours efficaces soient à présent disponibles pour les données chiffrées par ransomware, celles-ci sont néanmoins complexes et impliquent également le risque qu’aucune récupération ne soit possible pour une nouvelle variante. Par conséquent, il est essentiel de protéger l’email susceptible de jouer le rôle de passerelle. De nombreuses passerelles de sécurité des emails de fabricants internationaux renommés sont à présent, bien sûr, en mesure de détecter et de bloquer les emails infectés par Locky(ou par d’autres ransomware). Toutefois, il a été démontré qu’elles ne fournissaient pas une protection efficace contre les attaques par ransomware émergeant récemment. Ici, les produits tels que NoSpamProxy de chez Net at Work offrent un avantage certain, sachant qu’ils peuvent – grâce à un gestion innovante et intelligente des annexes – empêcher le code malveillant d’atteindre la boîte de réception des utilisateurs finaux et qu’il ne soit activé par ces derniers.

Stefan Cink, Responsable produit, Net at Work GmbH, Paderborn, Allemagne


 

 

 

 

 

 

 


Auteur: Stefan Cink

Capture d’écran: ransomware CryptoLocker

Copyright de l’image : Santeri Viinamäki / flickr – Licence: CC2

Laisser un commentaire