Intégrateur et expert
en sécurité du système d’information

Comprendre et se protéger contre Cryptowall

6 mars 2015
Comprendre et se protéger contre Cryptowall

Nous avions parlé d’un ransomware (Cryptlocker) il y a déjà un an. En ce début année, une nouvelle vague d’attaques avec une variante (appelée Cryptowall) a touché beaucoup d’entreprises et d’organisations.
Voici une analyse de son fonctionnement ainsi que des recommandations pour s’en protéger.

Qu’est-ce qu’un ransomware ?

Les ransomware comme Cryptolocker ou Cryptlowall n’ont pas pour but de prendre la main sur la cible comme la majorité des maliciels mais ont pour objectif d’extorquer de l’argent en rendant inopérant l’accès aux données de l’utilisateur contre une somme d’argent.
Ces maliciels se propagent de manière classique au travers de fichiers acheminés via des campagnes de phishing ou spear phishing, de téléchargements via des réseaux P2P, de SPAMs avec fichier PDF ou de lien web vers un kit d’exploit.

Une fois exécuté, le maliciel extrait un binaire chiffré. Ce binaire scanne la machine et le réseau afin de détecter les fichiers bureatiques et médias pour enfin les chiffrer à l’aide d’une clé suffisamment robuste (2048 bits) pour rendre impossible le déchiffrement manuel (brute force, reverse ingeneering).

Concernant Cryptowall

Cryptowall communique via les réseaux Tor et I2P avec les serveurs Command and Control rendant la détection plus complexe.
Une fois infecté, vous allez avoir accès au message suivant vous indiquant la marche à suivre pour récupérer vos données.

Cryptowall demande de verser des Bitcoin sur un compte spécifique associé à une adresse email russe.
Bien qu’il ait été constaté qu’un paiement effectué dans les temps permette de déchiffrer les données, nous recommandons de passer en revue les éléments de sécurité et de disposer des sauvegardes à jour de vos données.

Comment s’en protéger le mieux possible ?

Comme expliqué, il va être très difficile de déchiffrer manuellement ces données même pour les sociétés les plus importantes.

  1. Voici une démarche que vous pouvez avoir afin de minimiser les risques de propagation de ce maliciel d’un point de vue technique :
  • Protection du endpoint : bien qu’insuffisant dans le paysage des menaces actuelles, une solution de protection de poste complète et à jour est indispensable. Vous devez ainsi activer l’ensemble des fonctionnalités disponibles sur votre solution (antivirus, IPS, analyse comportementale, analyse des fichiers téléchargés depuis le web, réputation...)
  • Bloquer les malwares potentiels avant l’arrivée sur le poste de travail : Afin d’éviter un maximum de déboires aux utilisateurs et potentiellement à votre équipe IT, il vous faut des solutions permettant d’analyser et bloquer les fichiers suspects. Cela peut passer par différentes solutions :
    - Analyse des fichiers au niveau du pare-feu via une transmission et une exécution en mode sandbox
    - Analyse des fichiers au niveau de la messagerie avec suppression des éléments dynamiques (macros). Certaines solutions peuvent supprimer ces éléments et transmettre des fichiers ne contenant plus de composants exécutables
  • Protection au niveau des points de connexion : les ransomware ayant un fonctionnement avec des serveurs command and control ont besoin d’une connexion internet pour être pleinement fonctionnels. Il est donc nécessaire de bien configurer votre solution de filtrage d’URLs afin de bloquer les domaines et adresses IP réputés dangereux ainsi que les réseaux chiffrés comme TOR ou I2P.
  • Maintien des endpoints à jour : il est nécessaire de réduire le périmètre d’attaque et d’utilisation des failles de sécurité inhérentes aux systèmes et aux applications. Mettez à jour régulièrement les sytèmes ainsi que les applications les plus vulnérables (PDF, Java, Office...)
  1. Voici quelques démarches complémentaires afin de limiter l’impact :
  • Sensibiliser les utilisateurs : pensez à la prévention pour vos collaborateurs. Éduquez-les sur l’utilisation de la messagerie notamment. Il faut mener des campagnes régulières afin d’éviter des clics trop rapides sur les pièces jointes
  • Conserver des sauvegardes à jour de vos données afin de pouvoir restaurer les fichiers en cas d’infection. Veillez cependant à ce que les sauvegardes ne soient pas attaquables par le malware et que des données viables ne soient pas compromises par une sauvegarde de fichiers chiffrés. Il sera donc important de détecter rapidement toute attaque.

Voici comment nous pouvons vous accompagner

Nous disposons des solutions nécessaires pour l’ensemble des points cités ci-dessus que ce soit à titre préventif ou si vous avez été touché par ce maliciel.

  • Protection des endpoints (via Symantec) : nous implémentons une solution comprenant les modules indispensables notamment avec un moteur d’analyse des fichiers téléchargés et soumis à un système de réputation. Avec une configuration adéquate, les fichiers peu vus sur le web et les kits web d’attaque sont bloqués.
  • Blocage des fichiers avant l’arrivée sur le poste (via Symantec et Palo Alto) : les fichiers sont analysés et exécutés en sandbox afin de voir les impacts sur les postes utilisateurs. Symantec au travers de sa solution antispam Messaging Gateway (ex-Brightmail), permet de supprimer tout élément exécutable d’un fichier (PDF, Word et Excel) et de transmettre uniquement la partie saine aux utilisateurs.
  • Protection des points de connexion (via Palo Alto) : la solution PAN-OS permet de bloquer tout contact avec des sites frauduleux ainsi que toute application suspecte utilisant le réseau Tor ou I2P entre autre.
  • Détecter une attaque par ransomware (via Varonis) : les solutions de Varonis DatAdvantage et DatAlert permettent d’avoir un alerting en temps réel sur une altération de vos données partagées permettant ainsi de détecter rapidement toute attaque et prendre ainsi les mesures nécessaires.
  • Détecter les fichiers touchés (via Varonis) : une fois la menace éradiquée, vous aurez besoin de restaurer les données. A l’aide de DatAdvantage, vous listerez ces fichiers très rapidement.

N’hésitez pas à contacter nos experts sécurité afin d’avoir davantage d’informations. Vous pouvez essayer toutes les solutions dont nous parlons gratuitement.

Suivez-nous