Chaque semaine, un nouveau ransomware apparaît et peut paralyser l’activité d’une entreprise en moins d’une journée. Similaire aux virus dans leur fonctionnement, la finalité d’extorsion de fonds des ransomware les rend plus nuisibles. Pour s’en protéger, quelques règles doivent être appliquées.

La mécanique est classique. Un cabinet d’avocat, un matin, une pièce jointe, la personne l’ouvre. Rien ne se passe. En fin de matinée, un utilisateur se plaint au service support de ne pas avoir accès à ses fichiers. Le support identifie la source du dysfonctionnement, un cryptolocker baptisé Locky. L’entreprise se retrouve gelée par défaut d’informatique. Le service informatique tente de débloquer les serveurs totalement paralysés par un chiffrement de chacun des fichiers et de relancer l’activité. Reste à appeler le CERT pour tenter de découvrir l’origine de l’infection.

 

Le bitcoin comme facilitateur 

Cette histoire, racontée par Luc Roudé d’Intrinsec est réelle et trouve un écho quasiment chaque semaine dans une entreprise ou chez un particulier. En cause, les désormais fameux ransomware, sorte de pseudo virus destiné à chiffrer les informations de l’entreprise ou du particulier. Chiffrement qui sera levé contre une « rançon » versée en Bitcoins à une adresse temporaire. « Les attaques se multiplient et sont facilitées avec l’avènement du Bitcoin » explique Luc Roudé. La facilité d’usage et le manque de traçabilité de cette monnaie virtuelle ont accéléré le développement de ce nouveau type d’attaque. Si la plupart du temps, les sommes demandées sont “faibles” et la procédure de paiement rôdée, d’autres fois les attaques sont plus dangereuses comme celle subie par un hôpital de Los Angeles, en février dernier, contraint de verser 17 000 dollars pour débloquer son informatique. »

Une évolution rapide des ransomwares

D’un point de vue technique, tous les ransomware se ressemblent, mais aucun d’eux n’est similaire. Ils évoluent très vite et connaissent de nombreuses variations pour passer au travers des mailles de l’antivirus.  Avec 30 nouvelles familles en 2015 et déjà 15 depuis le début de l’année 2016, les attaques et programmes se multiplient, tout comme les points de contagion. Le plus classique étant une pièce jointe, souvent un CV ou une facture issus d’un émetteur a priori digne de confiance et envoyé sur un courriel fonctionnel de type contact@entreprise.fr ou rh@entreprise.fr. Une fois ouverte, la modification du document active une « macro » qui exécute le programme de chiffrement. Outre les pièces jointes, ces cryptolockers peuvent aussi être transmis via un site web institutionnel ou considéré comme fiable. « Un autre vecteur important est ce que l’on appelle le “drive by download”.  Un utilisateur va sur un site d’information qui a été attaqué – directement ou via sa régie de publicité. Là, c’est le site en lui-même qui diffusera le virus », détaille Luc Roudé. Récemment, le site Pathé.fr a ainsi été victime de ce type de virus.

 

capture d'une demande de rançon

Lors d’une demande de rançon, la procédure de paiement est expliquée pas à pas.

 

Identifier le patient zéro

Une fois activé, il faut en moyenne entre un et trois jours pour éradiquer le fléau. L’objectif est de trouver le patient zéro. Voir où est passé le ransomware pour s’exécuter d’un point de vue logique. La plupart du temps c’est un mail qui se trouve à l’origine de la contagion. Ensuite il faut chercher qui en est à l’origine, qui est concerné, à savoir si la pièce jointe est ouverte ou non et par qui. Dans un cas standard, il faut quelques heures pour identifier la source. Le travail consiste à analyser le programme malfaisant, à traquer les adresses IP contaminées et surtout à communiquer vers l’équipe de supervision des systèmes pour vérifier qu’il n’y a pas eu de transfert de mail pour empêcher une surinfection généralisée à la structure et aux tiers.

 

Préventions : des sauvegardes hors-ligne et une sensibilisation de l’organisation

Parer ce type d’attaque commence bien sûr par une infrastructure de sauvegardes avec des process associés. Les sauvegardes doivent impérativement être hors ligne et testées régulièrement. Une évidence, mais toujours nécessaire à rappeler. Les cas où l’activation de la sauvegarde nécessite une partie du SI, lui-même bloqué n’est pas rare. Sur le versant de la réponse, le scénario est similaire à un plan de continuité de service avec une remise en route du SI via les sauvegardes.

Pour contrer les virus, hormis l’interdiction d’activer les macros, il est inutile de révolutionner le plan de sécurité. Les ransomware ne cherchent pas à exploiter des vulnérabilités où à se répliquer, le chiffrement des dossiers sur les volumes est efficace en soi. Reste que le chiffrement en lui-même peut poser un vrai problème comme l’explique Luc Roudé, «  Sur toutes les familles de ransomware, quelques-uns sont mal conçus. Ce qui permet de récupérer les fichiers sans verser la rançon. Mais il s’agit de cas marginaux car dans la plupart du temps, il est impossible de les contrer. Ils utilisent AES pour chiffrer les fichiers et une clé RSA pour protéger le chiffrement. En moyenne, moins de 10 % des volumes de ransomware  sont déchiffrables. »

 

Un versant organisationnel  prépondérant

Plus la réponse est rapide, plus on limite les dégâts, explique Jean-Raphaël Frydman, consultant sécurité chez Intrinsec. La remontée d’information est un point important. L’utilisateur est la meilleure sonde de l’entreprise. En revanche il faut transmettre aux collaborateurs les bons réflexes et mener des campagnes de sensibilisation. Lorsque nous réalisons des exercices de phishing qui consistent à envoyer aux utilisateurs de faux mails en provenance du service informatique ou des ressources humaines par exemple, nous constatons une véritable évolution du comportement de l’utilisateur qui devient progressivement en mesure de détecter des messages malveillants de plus en plus ciblés.

Cette prise de conscience fournit également un levier facilitant la conduite du changement. En effet,  bloquer les pièces jointes peut avoir un impact organisationnel et être mal perçu si la mise en place de ce type de mesure contraignante ne répond pas à un risque compris par tous. Enfin, la gestion des incidents nécessite de prévenir le support et éventuellement de solliciter un prestataire de services extérieur qui maîtrise de bout en bout la gestion de ce type d’attaque. « Une entreprise victime d’un logiciel malveillant peut se retrouver en situation de crise. Les pertes d’exploitation peuvent atteindre plusieurs centaines de milliers d’euros et mettre l’entreprise en danger. En parallèle de la gestion de crise, il n’est pas aberrant de porter plainte pour faire état du problème, même si les procédures ont aujourd’hui des chances virtuellement nulles d’aboutir. »

 

Source et informations

Le cas de l’hopital de Los Angeles

La fiche de sensibilisation et de bonnes pratiques proposées par le Centre de Réponse aux Incidents d’Intrinsec

La croissance des ransomwares mesurées par Symantec