Dans la famille des « Ransomware », je voudrais (faire disparaître) le fils, …. et le cousin

2
21

image gplexpert

Les présentations sont désormais faites depuis longtemps. Des vagues successives de ransomwares se propagent, depuis plusieurs mois, dans les réseaux informatiques. Tous les 10 jours environ, une nouvelle vague s’abat sur les côtes de nos Système d’Information. Chaque vague se propage par de nouveaux moyens puis se décline en multiples versions afin de rester le plus longtemps possible sous le radar des antivirus. Les cibles aussi varient, tantôt les particuliers, puis les professionnels, une fois les serveurs puis les postes clients.

Cette méthode offensive est très connue des « Guerilla ». On la désigne par le terme de « Harcèlement ».
Celle-ci consiste à frapper vite, à prendre ce qu’il est possible de prendre puis à se replier avant de frapper de nouveau ailleurs, de manière toujours aussi imprévisible que possible.

Commençons par la présentation du cousin, dit CTB-LOCKER « Nouvelle variante »

Toujours aussi néfaste, cette nouvelle variante de CTB-LOCKER ne s’en prend, cette fois, qu’aux serveurs … WEB.

Dans cette configuration, les assaillants ne visent plus que des serveurs hébergeant des sites. Ils commencent par identifier des failles de sécurité qui vont leur permettent de déposer, sur le serveur cible, le malware qui, par la suite, cryptera l’ensemble des données présentes. Un CMS (tel Drupal, WordPress, Joomla, Magento, …) non maintenu à jour, une version de serveur dépassé, une faille dans le système d’upload de fichier, … tout est bon pour eux.

Une fois l’attaque lancée, comme toujours les fichiers accessibles sont cryptés, mais en pus le site est « defaced », ce que l’on pourrait traduire par « défacé » ou « défiguré ». En effet, la page d’accueil du ou des sites hébergés sur le serveur est remplacée par une page expliquant que le site est piraté, que les fichiers sont cryptés et qu’une rançon est, une fois de plus, exigée.

Dans ce cas de figure, les attaquants ajoutent une pression de taille sur les entreprises qui ne peuvent cacher, même quelques heures, le fait qu’elles subissent une attaque informatique qui pourrait faire fuir les clients.

L’impact psychologique sur un patient d’un établissement de santé dont le site web affiche un message demandant une rançon est ultra violent. Laisser ce message visible publiquement quelques heures et le mouvement de panique est assuré.

Rencontrons à présent le fils, nommé Jigsaw

Le petit dernier, de cette famille qui n’en finit pas de s’agrandir, propose une approche différente mais tout aussi agressive.

Celui-ci est expert en pression psychologique. Pour le moment, il s’attaque au poste client. Une fois installé, il crypte les fichiers puis demande une rançon, toujours payable via le système de Bitcoin comme tous les autres membres de sa famille.

Mais c’est à ce stade là qu’il se différencie des autres « Ransomware ».
Celui-ci menace de détruire définitivement quelques fichiers si la rançon n’est pas réglée en moins d’une heure. Puis, il détruira davantage de fichiers une fois la seconde heure écoulée.
Si au bout de 72 heures la rançon n’est toujours pas réglée alors il détruira l’intégralité des fichiers.

L’écran affiche un compte à rebours et dès la première heure les menaces sont mises à exécution.

Les utilisateurs sont également avertis qu’en cas de tentative d’intervention, le « malware » effectuera différentes actions destructives. Ainsi, le simple redémarrage de l’ordinateur infecté déclenchera la destruction massive des fichiers.

Renforcement des SIH

Alors que les ransomwares dont nous vous parlions les semaines précédentes sont toujours en activité, ces deux nouveaux venus ajoutent une pression supplémentaire sur les systèmes d’information.

De nouveau, les postes clients sont visés tandis que les sites web subissent une attaque ayant pour objectif de semer un vent de panique auprès du grand public.

Bien qu’un Plan de Reprise d’Activité comprenant une politique de sauvegardes se révèle indispensable, cela ne suffira pas à faire face à toutes les nuisances engendrées par ces attaques.
En effet, si les sauvegardes permettent de restaurer un poste informatique ou un serveur web rapidement, une attaque menée contre le site web d’un établissement de santé entraîne instantanément un grave problème d’image de marque et donc de fiabilité des services proposés.
Des actions préventives telles que la réalisation d’un audit de sécurité, comprenant notamment des tests d’intrusion externes et internes, permettront d’évaluer les vulnérabilités du SI, et le cas échéant de mettre en place les correctifs nécessaires afin d’anticiper l’injection de CTB-LOCKER sur le site internet des établissements de santé.

GPLExpertGPLExpert peut vous accompagner également sur tous ces points. N’hésitez pas à prendre contact avec nous ici ou à venir nous rencontrer au salon HIT du 24 au 26 mai 2016 à Paris-Expo sur le stand G10.

2 Commentaires

Laisser un commentaire