L’année dernière, le montant d’un seul de rançon suite à une attaque de ransomware a franchi la barre d’un million de dollars. Au cours de l’année, les cybercriminels se sont concentrés de plus en plus sur les attaques ciblées contre les entreprises et les organisations, plutôt que de se focaliser sur les utilisateurs individuels.
Les attaques WannaCry et Petya ont généré des ondes de choc qui ont affecté les professionnels de la cybersécurité et les dirigeants d’entreprises. Bien que ces deux attaques aient entraîné d’importantes perturbations dans les activités commerciales — qui se sont traduites par une perte de revenus et, dans certains cas, par la chute des cours de leurs actions — les instigateurs à l’origine de ces attaques n’ont pu rapporter que très peu d’argent. Dans de nombreux cas, l’année dernière, le coût de la réparation des dommages générés par les attaques de ransomware était toutefois bien plus élevé que celui des autres stratagèmes d’extorsion.
Selon Cybersecurity Ventures, le coût des dommages causés par les ransomwares est estimé à plus de 5 milliards de dollars. Dans l’ensemble, les attaques par ransomware ont augmenté de 250 % par rapport à l’année précédente. Lors du troisième trimestre de l’année dernière, une attaque était lancée toutes les 40 secondes.
En moyenne, les entreprises ont dû payer environ 1 400$ pour obtenir les clés de déchiffrement des attaquants afin de récupérer leurs données. Bien que toutes les attaques ne soient pas payantes pour les criminels, beaucoup le sont. Voici pourquoi l’industrie des ransomwares ne cesse de croître.
Attaque contre l’hôpital de l’Indiana en janvier 2018
Il n’a pas fallu longtemps pour que les ransomwares fassent la une des journaux en 2018. Hancock Health, un hôpital situé à Greenfield, en Indiana, a signalé la semaine dernière qu’il avait été victime d’une attaque par ransomware, laquelle a été découverte le vendredi 11 janvier. Le malware malicieux était identifié comme étant la souche SamSam.
Contrairement à la plupart des variantes de ransomwares qui utilisent des techniques d’ingénierie sociale telles que le phishing et les pièces jointes malveillantes, SamSam cible les serveurs non corrigés en analysant Internet pour rechercher de connexions RDP ouvertes. Les attaquants utilisent ensuite les tactiques de force brute sur ces connexions RDP afin de rechercher les fichiers critiques.
Pour le cas de Hancock Health, le compte administratif d’un tiers fournisseur sur le portail d’accès à distance de l’hôpital a été compromis.
En effet, les organisations de soins de santé sont une cible populaire pour la souche SamSam. Les cybercriminels, qui semblaient opérer en Europe de l’Est, ont réclamé une rançon de quatre bitcoins, d’une valeur d’environ 55 000 $ au moment de l’attaque. En outre, les médecins ont dû recourir à des crayons et du papier pour pouvoir continuer à travailler.
Les administrateurs de l’hôpital ont examiné les options qui s’offraient à eux face à la menace. Bien que celle-ci ait été de nature aléatoire, elle est survenue à un mauvais moment pour l’hôpital.
Steve Long, PDG de Hancock Health, a déclaré : « Nous étions dans une situation très précaire au moment de l’attaque. Avec la tempête de verglas et de neige à portée de main, associée à l’une des pires saisons de grippe de tous les temps, nous voulions récupérer nos systèmes le plus rapidement possible pour éviter d’allonger le fardeau et de détourner les patients vers d’autres hôpitaux. »
En fin de compte, bien que les administrateurs aient eu la possibilité de récupérer toutes les données à partir de sauvegardes, ils ont choisi de payer la rançon 48 heures après l’attaque, car le coût de la récupération dépassait les demandes des attaquants. Une fois le paiement effectué, la clé a été libérée et toutes les opérations étaient à nouveau opérationnelles dès lundi matin.
La communauté informatique, en général, est contre le paiement de rançons.
Une enquête menée auprès de la communauté Spiceworks, un réseau en ligne de professionnels de l’informatique, a révélé que les répondants étaient quasi unanimes à ce sujet. Cette opinion était même partagée par les membres dont les réseaux avaient été infectés. Ces victimes ont indiqué que la plupart des données étaient récupérables à partir de sauvegardes. Ceci, malgré le fait qu’elles aient subi des pertes de données à cause des sauvegardes non surveillées ou échouées, ou d’une perte de données entre 1 et 24 heures après leur dernier cycle de sauvegarde.
On peut donc supposer que l’organisation a le choix de payer la rançon ou non. Mais si elle ne dispose pas de données sauvegardées et non affectées, elle n’aura pas d’autre choix que le paiement de la rançon.
Autres entreprises victimes des attaques par le ransomware SamSam
Hancock Health n’a pas été la seule victime de SamSam ce mois-ci. Des attaques ont également été signalées contre un autre hôpital de l’Indiana — une municipalité du Nouveau-Mexique — et contre la célèbre société de systèmes de dossiers de santé électroniques Allscripts.
Rob Mayes, le City Manager de la ville de Farmington – qui a été touchée par l’attaque – a déclaré que le FBI leur avait conseillé de ne pas payer la rançon de 35 000$. Grâce à leur plan efficace en matière de continuité de la sauvegarde des données, la ville a pu les récupérer et reprendre ses activités.
Allscripts a rapporté qu’ils n’ont pas payé la rançon demandée par les pirates. Le compte Bitcoin ayant été utilisé pour le paiement de Hancock Health a reçu un afflux de 26 bitcoins depuis le 25 décembre de l’année dernière. Cela représente une valeur d’environ 300 000$.
En se référant aux nombres de cas constatés en janvier, on pourrait supposer que 2018 sera une année record en termes d’attaques par ransomwares.
Il y a beaucoup de choses que vous pouvez faites pour atténuer les dommages causés par de telles attaques, et même les prévenir.
Voici quelques conseils qui empêcheront les ransomwares de détruire votre réseau et de verrouiller vos données :
Utiliser le meilleur filtre antispam que vous puissiez obtenir pour protéger les utilisateurs contre les liens et les pièces jointes de phishing comportant un code malveillant,
Mettre en œuvre des couches de filtrage de contenu pour empêcher les utilisateurs et les sessions automatisées avec des sites Web qui servent de centres de téléchargement,
Installer un système de protection antivirus et antimalware réputés sur les périphériques d’extrémité,
Utiliser l’approche de secours 3-2-1,
Déployer un antivirus de passerelle qui analyse toutes les sessions Internet actives et supprime les paquets de code infectés par des malwares,
Désactiver le protocole de bureau à distance sur tous les ordinateurs qui sont directement exposés à Internet,
Désactiver les fichiers s’exécutant depuis les dossiers AppData ou LocalAppData,
Former les utilisateurs afin de les éduquer à devenir plus vigilants et proactifs,
Protéger les informations d’identification privilégiées sur les systèmes d’extrémités.
Les ransomwares constituent actuellement un moyen efficace pour les cybercriminels d’attaquer les organisations. Ces derniers sont en train de passer des campagnes de spam malveillant vers des attaques plus ciblées.
Vous êtes un professionnel du service informatique et vous voulez vous assurer que les données et les appareils sensibles de votre organisation sont protégés ? Contactez l’un de nos spécialistes ou envoyez-nous un e-mail à l’adresse info@titanhq.fr pour toute question.
Le ransomware Locky est de retour. Ces dernières attaques de Locky tirent parti d’une technique d’infection utilisée dans les campagnes de malwares Dridex.
Tout a été calme sur le Front de l’Ouest. Les attaques de ransomwares Locky ne représentant plus qu’une infime fraction par rapport à celles observées en 2016. Au premier trimestre de 2017, elles ont pratiquement cessé et Cerber était devenu la plus grande menace en matière de ransomware.
Mais c’est sur le point de changer, car Locky est de retour. Son mécanisme de livraison a changé, et le crypto-ransomware est maintenant encore plus difficile à détecter.
La dernière campagne a été détectée par Cisco Talos et PhishMe. L’équipe Talos a identifié une campagne d’environ 35 000 spams répartis en quelques heures seulement. Les chercheurs suggèrent que les e-mails ont été envoyés à l’aide du botnet Necurs, qui était jusqu’à récemment utilisé pour l’envoi de spams liés aux stocks.
Nouvelle méthode d’infection utilisée dans les dernières attaques du ransomware Locky
La dernière campagne Locky utilise une méthode d’infection différente. Les campagnes précédentes ont utilisé des macros Word malveillantes attachées aux spams. Si la pièce jointe est ouverte, les utilisateurs finaux sont invités à activer les macros pour visualiser le contenu du document. L’activation des macros permet l’exécution d’un script qui télécharge la charge utile. Pour la dernière campagne, les spams ont été utilisés pour livrer des fichiers PDF.
Le changement de méthode d’infection s’explique facilement. Au cours des derniers mois, les macros Word ont été largement utilisées pour infecter les utilisateurs finaux avec des ransomwares. Le danger que représentent les macros Word a été largement rapporté et les entreprises ont mis en garde leur personnel contre les documents Word malveillants contenant ces macros.
Si un utilisateur final arrive à ouvrir une pièce jointe à un e-mail qui lui demande d’activer les macros, il est alors plus susceptible de fermer le document et déclencher l’alarme. Pour augmenter la probabilité que l’utilisateur final prenne les mesures souhaitées, les auteurs ont apporté un changement. Les macros sont toujours impliquées, mais plus tard dans le processus d’infection.
Les e-mails contiennent peu de texte et ils informent le destinataire que le fichier PDF contient une image ou un document numérisé, un bon de commande ou un reçu. Les fichiers PDF, quant à eux, sont plus fiables et sont plus susceptibles d’être ouverts. En ouvrant le fichier PDF, l’utilisateur sera invité à autoriser le lecteur PDF à télécharger un fichier supplémentaire. Pourtant, le deuxième fichier est un document Word contenant une macro que l’utilisateur final sera invité à activer.
Le reste du processus d’infection se déroule de la même manière que les précédentes attaques de Locky. En activant les macros, une charge utile Dridex sera téléchargée pour télécharger ensuite Locky. Locky procédera au chiffrement d’une large gamme similaire de types de fichiers sur l’ordinateur infecté, les périphériques de stockage connectés et les lecteurs réseau mappés.
La rançon exigée est de 1 bitcoin. C’est beaucoup plus que la rançon exigée par Locky lorsqu’il a vu le jour il y a un peu plus d’un an.
Ce qui a changé un peu pour cette campagne est que l’utilisateur doit installer le navigateur Tor pour pouvoir visiter le site de paiement. Ce changement serait dû au blocage des services proxy Tor.
L’ajout d’une étape supplémentaire dans le processus d’infection devrait entraîner d’autres infections. De nombreux utilisateurs qui n’ouvriraient pas une pièce jointe Word peuvent se faire avoir en ouvrant le PDF.
Les entreprises devraient tirer la sonnette d’alarme et envoyer des e-mails d’avertissement au personnel pour les avertir de cette nouvelle campagne et leur conseiller de se méfier des fichiers PDF dans leurs e-mails.
Il existe de nombreuses solutions de cybersécurité que les fournisseurs de services (ESN ou SSII) peuvent ajouter à la pile de services qu’ils proposent à leurs clients. L’enjeu est que, s’ils sont incapables d’offrir une gamme complète de solutions de cybersécurité, cela peut s’avérer coûteux, car la demande de services est considérable.
Si les ESN n’arrivent pas à fournir ces services, leurs clients risquent de se tourner effectivement vers l’un de leurs concurrents. Par ailleurs, les fournisseurs de services offrent des solutions de cybersécurité préventive depuis de nombreuses années. Mais la concurrence dans ce domaine s’intensifie.
Les entreprises spécialisées en technologie de l’information (TI) — qui se concentraient auparavant sur la résolution de problèmes informatiques ou sur la prestation de services d’enquête concernant les atteintes à la protection des données — ont réalisé qu’il y avait beaucoup d’argent à gagner en fournissant des services de cybersécurité complets pour prévenir les problèmes. Un nombre croissant d’entreprises de l’IT ont maintenant pu tirer parti des atteintes à la protection des données et de la demande de solutions préventives de la part des PME, en offrant actuellement ces services.
Afin de capitaliser sur les opportunités de vente et de s’assurer que leurs clients ne cherchent pas ailleurs, les fournisseurs de services doivent s’assurer qu’ils offrent une gamme complète de solutions de cybersécurité. Des solutions qui protègeront leurs clients contre les nombreuses attaques cybercriminels de nos jours.
Heureusement, le passage des solutions matérielles aux services basés dans le cloud facilite la tâche des ESN. Non seulement elles sont moins chères pour les clients, mais elles sont aussi plus faciles à fournir et à gérer pour les ESN. Auparavant, le fait d’offrir des solutions pour prévenir les cyberattaques était peu pratique et celles-ci étaient peu rentables. Mais ce n’est plus le cas aujourd’hui.
Il existe de nombreuses solutions potentielles de cybersécurité pour les ESN. Mais le domaine en particulier où les fournisseurs de services mobiles peuvent tirer parti est celui des solutions de prévention des attaques de phishing.
Le phishing, c’est-à-dire l’obtention d’informations sensibles auprès des employés, est l’un des principaux moyens par lesquels les cybercriminels ont accès aux réseaux et aux données sensibles.
Les entreprises dépensent beaucoup d’argent en matière de sécurité réseau pour prévenir les attaques directes. Pourtant, les cybercriminels savent très bien que même des défenses de sécurité qui coûtent plusieurs millions de dollars peuvent être violées. Et sachez que la manière la plus simple pour les pirates d’accéder au réseau se fait à travers les employés.
Désormais, il est beaucoup plus facile pour les pirates de tromper un employé en lui demandant de télécharger des malwares, des ransomwares ; ou de révéler ses informations de connexion ou ses identifiants de connexion dans le but de rechercher des failles de sécurité ou d’utiliser des attaques par force brute. Il leur suffit qu’un e-mail de phishing parvienne à la boîte de réception de l’employé.
Les entreprises de formation antiphishing — offrant aux employés une formation de sensibilisation à la sécurité et qui leur apprennent à identifier les e-mails de phishing — savent très bien que la formation seule est inefficace. La raison est que certains d’entre eux ont du mal à mettre la formation en pratique.
Même si une formation de sensibilisation à la sécurité est offerte, les employés continueront d’ouvrir les pièces jointes aux e-mails provenant des étrangers et de cliquer sur les liens qui leur sont envoyés par messagerie électronique. De plus, les cybercriminels sont de plus en plus doués pour créer des e-mails qui permettent de cliquer sur des liens et d’ouvrir des pièces jointes contenant des malwares.
Nous avons déjà vu cette année (lors de la dernière saison fiscale) à quel point les e-mails de phishing peuvent être efficaces. L’an dernier, au moins 145 entreprises aux États-Unis ont envoyé par e-mail des formulaires W-2 de leurs employés à des fraudeurs. Cette année, il semble que la situation pourrait encore s’aggraver.
Un pourcentage élevé d’infections par des malwares se produit à la suite de spams infectés, soit par des pièces jointes à des e-mails (téléchargeurs), soit par des liens qui pointent vers des sites malveillants où des malwares qui sont téléchargés de façon discrète. Il en va de même pour de nombreuses infections de ransomwares.
Compte tenu du risque élevé d’attaque de phishing ou d’installation de malwares et de ransomwares qui volent des informations, les entreprises sont heureuses de payer pour des solutions gérées qui peuvent bloquer les e-mails de phishing, empêcher la livraison d’e-mails infectés et empêcher les employés de consulter des liens malveillants.
Les ESN peuvent tirer profit de ces services, puisqu’il existe des solutions basées dans le cloud et qui offrent le niveau de protection requis. L’ajout de ces solutions à la pile de services des ESN est facile. Les solutions basées sur le cloud et qui permettent aux entreprises de se protéger contre les infections de phishing, de malware ou de ransomware ne nécessitent aucun matériel ni visite sur les lieux. De plus, elles ne requièrent que très peu de frais de gestion.
TitanHQ peut fournir des solutions basées dans le cloud. Celles-ci peuvent être facilement incluses dans les piles de services des ESN. Les solutions de protection de la messagerie et de site Web de TitanHQ — SpamTitan et WebTitan — sont efficaces pour bloquer un large éventail de menaces par messagerie électronique et via le Web.
SpamTitan bloque plus de 99,97 % des spams. Il a un faible taux de faux positifs et bloque 100 % des malwares connus. Les boîtes de réception sont protégées contre le spam et les malwares. Un composant antiphishing empêche également les e-mails de phishing d’être envoyés aux utilisateurs finaux.
WebTitan offre une excellente protection contre les menaces sur le Web, protège les employés et les réseaux contre les téléchargements malveillants et les ransomwares et bloque les liens vers des sites Web malveillants.
Ces solutions peuvent être exécutées dans le cloud public ou privé et être fournies en marque blanche. De plus, les frais généraux de gestion sont minimes, ce qui permet aux ESN de générer de marges généreuses.
Si vous êtes un fournisseur de services et que vous souhaitez augmenter la gamme de services de cybersécurité que vous proposez à vos clients, appelez TitanHQ dès aujourd’hui et découvrez nos solutions de cybersécurité pour les ESN.
Avec nos solutions de cybersécurité pour les ESN, vous pouvez améliorer votre portefeuille de cybersécurité, offrir une valeur ajoutée à vos clients et améliorer votre résultat net.
Une nouvelle version améliorée du malware AZORult a été identifiée. La dernière version de ce programme de vol d’informations et de téléchargement de malware a déjà été utilisée dans des attaques et a été distribuée via le kit d’exploitation RIG.
Le malware AZORult est principalement un voleur d’informations utilisé pour obtenir des noms d’utilisateur et des mots de passe, des numéros de carte de crédit et d’autres informations telles que l’historique des navigateurs. Des fonctionnalités de vol de portefeuille cryptomonnaie ont été ajoutées aux nouvelles versions du malware.
AZORult a été identifié pour la première fois en 2016 par des chercheurs de Proofpoint.
Depuis, il a été utilisé dans un grand nombre d’attaques via des kits d’exploitations et de campagnes de phishing par e-mails. Celles-ci utilisaient des liens vers des sites malveillants ou, plus généralement, des fichiers Word malveillants contenant des programmes de téléchargement de malwares.
En 2016, la variante du malware était initialement installée à côté du cheval de Troie bancaire Chthonic. Mais lors des campagnes suivantes, AZORult était déployé en tant que charge utile principale du malware. Cette année, plusieurs acteurs de la menace ont associé ce voleur d’informations à une charge utile secondaire de ransomware.
D’autres campagnes ont été détectées et utilisaient Hermes et Aurora ransomware comme charges utiles secondaires. Dans les deux cas, l’objectif initial était de voler les identifiants de connexion pour perquisitionner des comptes bancaires et des portefeuilles de cryptomonnaie. Lorsque toutes les informations utiles ont été obtenues, le ransomware a été activé et un paiement de rançon a été demandé pour déchiffrer les fichiers.
Une nouvelle version de l’AZORult a été publiée en juillet 2018 : la version 3.2. Celle-ci contenait des améliorations significatives concernant à la fois son rôle de voleur et de téléchargeur d’informations.
Dernièrement, les chercheurs de Proofpoint ont encore identifié une nouvelle variante : la version 3.3. Celle-ci a déjà été ajoutée au kit d’exploitation RIG et a été publiée peu de temps après la fuite en ligne du code source de la version précédente.
La nouvelle variante utilise une méthode de chiffrement différente. Elle a amélioré la fonctionnalité de vol de cryptomonnaie pour permettre le vol de portefeuilles BitcoinGold, ElectrumG, BTCPrivate (Electrum-BTCP), Bitcore et Exodus Eden. Il s’agit d’une version mise à jour et améliorée, avec un nouveau chargeur et un taux de détection inférieur par les antivirus.
Le kit d’exploitation RIG a recours à tous les types d’attaques qui tirent parti des vulnérabilités connues d’Internet Explorer et de Flash Player et qui utilisent JavaScript et VBScripts pour télécharger AZORult.
Si vos systèmes d’exploitation et vos logiciels sont entièrement patchés et mis à jour, vous serez protégé contre ces téléchargements de kits d’exploitation, car les vulnérabilités exploitées par RIG ne sont pas nouvelles. Cependant, de nombreuses entreprises tardent à appliquer des correctifs, lesquels nécessitent des tests approfondis.
Il est donc vivement conseillé de déployer une solution de filtrage Web telle que WebTitan afin de fournir une protection supplémentaire contre les téléchargements de malwares par le kit d’exploitation. WebTitan empêche les utilisateurs finaux de visiter des sites Web malveillants, tels que ceux qui hébergent des kits d’exploitation.
La dernière version du malware AZORult a été mise en vente pour la première fois le 4 octobre. Il est fort probable que d’autres cybercriminels achèteront ce malware et le distribueront via des emails de phishing, comme ce fut le cas avec les versions précédentes. Vous feriez donc mieux de mettre en place un filtre antispam avancé et de veiller à ce que les utilisateurs finaux soient formés à la reconnaissance des messages potentiellement malveillants.
Le malware Xbash est l’une des nombreuses nouvelles menaces de logiciels malveillants qui ont été détectées au cours des dernières semaines et qui intègrent les propriétés de cryptage de fichiers des ransomwares avec la fonctionnalité de minage de cryptomonnaires de certains logiciels malveillants.
Cette année, plusieurs sociétés de cybersécurité et de renseignements sur les menaces ont signalé que les attaques de rançon ont plafonné ou sont en déclin. Les attaques de ransomwares sont toujours rentables, bien qu’il soit possible de gagner plus d’argent grâce au minage de cryptomonnaies.
Le récent rapport d’Europol sur les menaces liées à la criminalité organisée sur Internet, publié récemment, note que le détournement par cryptage est une nouvelle tendance de la cybercriminalité et constitue désormais une source de revenus régulière et à faible risque pour les cybercriminels, mais que « les logiciels rançon restent la principale menace des logiciels malveillants ». Europol note dans son rapport que le nombre d’attaques aléatoires par courrier électronique non sollicité a diminué, alors que les cybercriminels se concentrent sur les entreprises où les profits sont les plus importants. Ces attaques sont très ciblées.
Une autre tendance émergente offre aux cybercriminels le meilleur des deux mondes – l’utilisation de logiciels malveillants polyvalents qui ont les propriétés à la fois des ransomwares et des mineurs de cryptomonnaie. Ces variantes très polyvalentes de malwares offrent aux cybercriminels la possibilité d’obtenir des paiements de rançon ainsi que la possibilité de miner de la cryptomonnaie. Si le logiciel malveillant est installé sur un système qui n’est pas parfaitement adapté à l’extraction de cryptomonnaie, la fonction ransomware est activée et vice versa.
Le malware Xbash est l’une de ces menaces, bien qu’avec une mise en garde majeure. Le malware Xbash n’a pas la capacité de restaurer les fichiers. A cet égard, il est plus proche de NotPetya que de Cerber. Comme c’était le cas avec NotPetya, les logiciels malveillants Xbash se déguisent en rançon et demandent un paiement pour restaurer les fichiers – Actuellement 0.2 BTC ($127). Le paiement de la rançon n’entraînera pas la fourniture de clés pour déverrouiller les fichiers chiffrés, car les fichiers ne sont pas vraiment chiffrés. Le malware supprime simplement les bases de données MySQL, PostgreSQL et MongoDB. Cette fonction est activée si le malware est installé sur un système Linux. S’il est installé sur des périphériques Windows, la fonction de cryptojacking est activée.
Xbash a également la capacité de se propager lui-même. Une fois installé sur un système Windows, il se répandra sur le réseau en exploitant les vulnérabilités des services Hadoop, ActiveMQ et Redis.
Les logiciels malveillants Xbash sont écrits en Python et compilés dans un format exécutable portable (PE) en utilisant PyInstaller. Le logiciel malveillant exécutera sa routine de chiffrement/suppression de fichiers sur les systèmes Linux et utilisera JavaScript ou VBScript pour télécharger et exécuter un coinminer sur les systèmes Windows. L’Unité42 de Palo Alto Networks a attribué le malware à un groupe de menaces connu sous le nom d’Iron Group, qui a déjà été associé à des attaques par rançon de logiciels.
Actuellement, l’infection se produit par l’exploitation de vulnérabilités non corrigées et des attaques par force brute sur des systèmes dont les mots de passe et les services non protégés sont faibles. La protection contre cette menace nécessite l’utilisation de mots de passe forts et uniques sans défaut, de correctifs rapides et de solutions de sécurité des terminaux. Bloquer l’accès à des hôtes inconnus sur Internet empêchera la communication avec son C2 s’il est installé, et il est naturellement essentiel que de multiples sauvegardes soient effectuées régulièrement pour assurer que la récupération des fichiers est possible.
Kaspersky Lab a déterminé que le nombre de ces outils d’accès à distance polyvalents a doublé au cours des 18 derniers mois et que leur popularité devrait continuer à augmenter. Ce type de logiciel malveillant polyvalent pourrait bien s’avérer être le logiciel malveillant de choix pour les acteurs de menaces avancées au cours des 12 prochains mois.
Une nouvelle version de GandCrab ransomware (GandCrab v5) a été publiée. GandCrab est une menace de rançon populaire qui est offerte aux affiliés dans le cadre du modèle de distribution de rançon-as-a-service. Les affiliés reçoivent une part des bénéfices de toute rançon payée par les individus qu’ils réussissent à infecter.
GandCrab est sorti pour la première fois en janvier 2018 et est rapidement devenu l’une des variantes de logiciels de rançon les plus utilisées. En juillet, il a été nommé la principale menace en matière de rançon et est régulièrement mis à jour par les auteurs.
Plusieurs modifications ont été apportées à GandCrab v5, y compris le passage à une extension aléatoire à 5 caractères pour les fichiers cryptés. Le ransomware utilise également une note de rançon HTML plutôt que de déposer un fichier .txt sur le bureau.
Bitdefender a publié des décrypteurs gratuits pour les premières versions du ransomware, bien que les auteurs aient pris des mesures pour améliorer la sécurité de la version 2.0. Depuis la sortie de la version 2.0, aucun décrypteur gratuit n’a été développé pour GandCrab Ransomware.
La récupération d’une infection GandCrab v5 ne sera possible qu’en payant la rançon – environ 800 $ dans la cryptomonnaie Dash – ou en restaurant les fichiers des sauvegardes. Les victimes ne disposent que d’un temps limité pour payer la rançon avant que le prix de décryptage ne double. Il est donc essentiel de créer des sauvegardes de toutes les données et de vérifier ces fichiers de sauvegarde pour s’assurer qu’ils peuvent être restaurés en cas de sinistre.
Étant donné que cette variante de ransomware est offerte dans le cadre du modèle de ransomware en tant que service, différents vecteurs sont utilisés pour distribuer le ransomware par différents acteurs de la menace. Les versions précédentes du ransomware ont été distribuées par courrier électronique non sollicité et au moyen de kits d’exploitation tels que RIG et GrandSoft. GandCrab v5 a également été confirmé comme étant distribué via le nouveau kit d’exploitation Fallout.
Le trafic est dirigé vers le kit d’exploitation à l’aide de publicité malveillante – des publicités malveillantes qui redirigent les utilisateurs vers les kits d’exploitation et autres sites web malveillants. Ces publicités malveillantes sont placées sur des réseaux publicitaires de tiers qui sont utilisés par de nombreux sites web populaires pour générer un revenu supplémentaire.
Tout utilisateur qui clique sur l’un des liens malveillants dans les publicités est redirigé vers le kit d’exploitation Fallout. Le kit d’exploitation Fallout contient des exploits pour plusieurs anciennes vulnérabilités et quelques failles relativement récentes. Tout utilisateur disposant d’un système vulnérable verra GandCrab ransomware téléchargé en silence sur son appareil. Les fichiers locaux seront cryptés ainsi que les fichiers de tous les partages réseau, et pas seulement les lecteurs mappés.
Chaque fois qu’une nouvelle vulnérabilité zero-day est découverte, il ne faut pas longtemps pour qu’un exploit soit incorporé dans un malware. La publication du code de validation de principe pour une vulnérabilité ALPC d’un planificateur de tâches n’a pas fait exception. En quelques jours, l’exploit avait déjà été adopté par des cybercriminels et incorporé dans des logiciels malveillants.
L’exploit de la vulnérabilité ALPC du planificateur de tâches permet d’exécuter des fichiers exécutables sur un système vulnérable avec des privilèges système et a été incorporé dans GandCrab v5. cet exploit est censé être utilisé pour effectuer des tâches au niveau système telles que la suppression des copies Windows Shadow Volume pour rendre la récupération des fichiers chiffrés plus difficile pour les victimes sans payer la rançon.
Microsoft a maintenant publié un correctif pour corriger la faille dans le cadre de sa série de mises à jour de septembre Patch Tuesday, mais de nombreuses entreprises n’ont pas encore appliqué le correctif.
L’étape la plus importante à franchir pour s’assurer qu’il est possible de se rétablir d’une attaque de logiciel en échange d’une rançon est de s’assurer que des sauvegardes sont créées. Sans une sauvegarde viable, le seul moyen de récupérer les fichiers est de payer la rançon.
Dans ce cas, les victimes peuvent décrypter gratuitement un fichier pour confirmer l’existence de clés de décryptage viables. Cependant, toutes les variantes de logiciels de rançon ne permettent pas la récupération des fichiers.
La prévention des infections par rançon nécessite des solutions logicielles qui bloquent les principaux vecteurs d’attaque. Les solutions de filtrage des spams telles que SpamTitan empêchent les messages malveillants d’être envoyés dans les boîtes de réception.
Les filtres web tels que WebTitan empêchent les utilisateurs finaux de visiter des sites malveillants connus pour héberger des kits d’exploitation. Les services de bureau à distance sont souvent exploités pour accéder au système, il est donc important qu’ils soient désactivés s’ils ne sont pas nécessaires, et s’ils le sont, ils ne devraient être accessibles que par l’intermédiaire des VPN.
Les correctifs doivent être appliqués rapidement pour empêcher l’exploitation des vulnérabilités et des solutions antimalware avancées doivent être déployées pour détecter et mettre en quarantaine les logiciels de rançon avant que les fichiers ne soient cryptés.
