Un nouveau ransomware dénommé Ako est apparue. Ce dernier cible les réseaux commerciaux et est distribué via le spam. Il est proposé aux affiliés selon le modèle « Ransomware as a Service ».
Le but des attaquants est clair : maximiser la probabilité de paiement de la rançon en rendant la récupération des données et des fichiers chiffrés plus difficile et en volant des données avant leur chiffrement pour garantir que l’attaque est toujours rentable même si la rançon n’est pas payée.
Le fait que les pirates possèdent les données de la victime pourrait également la convaincre de payer, comme nous l’avons vu dans les récentes attaques impliquant les ransomwares Maze et Sodinokibi, où les pirates menaçaient de publier des données volées si la rançon n’était pas payée.
Comment fonctionne le ransomware Ako ?
Les développeurs du ransomware Ako semblent opter pour des paiements de rançon importantes, car ils ne ciblent pas les postes de travail individuels, mais l’ensemble d’un réseau.
Le ransomware analyse les réseaux locaux à la recherche d’autres appareils et chiffre les partages réseau. Puis il supprime les clichés instantanés qui sont enregistrés sur le système et les sauvegardes récentes. Il désactive également les anciens points de restauration Windows pour rendre la récupération plus difficile si la victime ne paye pas la rançon.
Les fichiers chiffrés reçoivent une extension de fichier générée de manière aléatoire et conservent leurs noms de fichier d’origine. Le montant de la rançon n’est pas indiqué dans la notification de rançon. Les victimes doivent contacter les attaquants pour savoir combien ils devront payer pour obtenir les clés permettant de déchiffrer leurs fichiers.
De quel type d’email faut-il se méfier ?
L’un des e-mails interceptés, et qui ont été utilisés pour distribuer le ransomware, utilise un fichier zip protégé par mot de passe en tant que pièce jointe. L’e-mail semble être un accord commercial que le destinataire est invité à vérifier.
Le mot de passe pour ouvrir et extraire le fichier est inclus dans le corps du message. Le fichier zip attaché, nommé agreement.zip, contient un fichier exécutable qui installera le ransomware Ako une fois qu’il sera exécuté. Le fichier malveillant est appelé agreement.scr.
Comment récupérer ses données suite à une attaque d’Ako ?
Il n’y a pas de déchiffreur gratuit pour le ransomware Ako. La victime ne pourra pas récupérer leurs données si elle ne paye pas la rançon, sauf si celle-ci dispose des sauvegardes viables, c’est-à-dire des données qui n’ont pas été chiffrées par les pirates.
Il est donc important de s’assurer que les sauvegardes sont effectuées régulièrement et qu’au moins une copie de la sauvegarde est stockée sur un appareil non connecté au réseau pour éviter qu’elle ne soit également chiffrée par le ransomware. Les sauvegardes doivent également être testées pour s’assurer que la récupération de fichiers soit possible en cas d’incident.
Comment se protéger contre le ransomware Ako ?
Étant donné que le ransomware Ako est distribué via le spam, cela donne aux entreprises la possibilité de bloquer une attaque. Une solution de filtrage anti-spam avancée doit être implémentée pour analyser tous les messages entrants à l’aide de divers mécanismes de détection.
La solution doit également permettre d’identifier les menaces de malware et de ransomware. Par ailleurs, il faut utiliser un Sandbox, une fonctionnalité importante qui permettra d’analyser en toute sécurité les pièces jointes des e-mails pour détecter toute activité malveillante. Cette fonctionnalité améliorera les taux de détection des menaces du type « zero day ».
La formation des utilisateurs est aussi importante pour garantir que les employés n’ouvrent aucun fichier potentiellement malveillant qu’ils reçoivent par e-mail. La formation devrait obliger les employés à ne jamais ouvrir les pièces jointes dans les e-mails non sollicités provenant d’expéditeurs inconnus. Comme le montre cette campagne, tout fichier protégé par mot de passe envoyé dans un e-mail non sollicité doit être considéré comme une menace importante. En général, c’est la manière la plus courante que les pirates utilisent pour distribuer des ransomwares et des malwares, tout en évitant la détection par des solutions antivirus et des filtres anti-spam.
Les solutions anti-spam et les logiciels antivirus ne pourront pas détecter directement la menace si des fichiers malveillants sont envoyés dans des archives protégées par mot de passe. Les règles doivent donc être définies pour mettre en quarantaine les fichiers protégés par mot de passe, lesquels ne devraient être libérés qu’après avoir été vérifiés manuellement par un administrateur. Avec SpamTitan, ces règles sont faciles à définir.
Le ransomware Ako est l’une des nombreuses nouvelles menaces de ransomware publiées ces derniers mois. Si on compte les attaques de grande envergure contre des entreprises, comme celle menées contre Travelex, qui voient des demandes massives de rançon émises et qui sont dans la plupart des cas payées, les pirates réalisent des gains importants.
Les développeurs de ransomwares continueront de développer de nouvelles attaques tant que celles-ci resteront rentables, et il est peu probable que les affiliés soient prêts à lancer des campagnes de spam pour obtenir leur part d’argent sur les rançons.
Face à l’augmentation des attaques cybercriminelles, il est essentiel que vous disposiez de défenses solides, capables de détecter et de bloquer les malwares, les ransomwares et les menaces de phishing. C’est un domaine où TitanHQ peut vous aider.
Pour en savoir plus sur la façon dont vous pouvez améliorer vos défenses contre les e-mails malveillants et sur les menaces web, appelez l’équipe TitanHQ dès aujourd’hui.