SecurityInsider
Le blog des experts sécurité Solucom

Mon entreprise est infectée par un ransomware : comment réagir ?



Cryptolocker, PowerLocker, Cryptowall, Torrentlocker, CoinVault, … : les ransomwares sont particulièrement fréquents ces dernières années. Ces « rançongiciels » prennent en otage les données en les chiffrant et en proposant à la victime de déchiffrer les fichiers, moyennant une rançon.

Dans le contexte de l’entreprise, ces malwares chiffrent non seulement les données des postes de travail, mais également les fichiers sur les partages réseau, ce qui impacte l’ensemble de l’entreprise.
L’identification des postes de travail à l’origine de cette attaque peut être difficile car tout poste de l’entreprise peut potentiellement avoir des permissions sur le partage réseau pour chiffrer ses fichiers.

L’objectif de ce focus est de fournir des pistes permettant d’identifier le poste de travail à l’origine de ce chiffrement pour bloquer l’infection.

Comment identifier le poste de travail infecté par le rançongiciel ?

Lorsqu’un poste compromis chiffre les fichiers d’un partage réseau, il est possible d’identifier ce poste grâce aux techniques suivantes :
  • Étude des volumétries réseau
    Afin de chiffrer les fichiers sur un partage réseau, le poste de travail infecté doit télécharger les fichiers initiaux, les chiffrer et uploader les fichiers chiffrés à leur place. Des fortes volumétries réseau (download et upload) entre un poste de travail et un serveur de fichiers peuvent donc indiquer qu’un poste de travail est infecté par un ransomware.
  •  Étude des statistiques d’accès aux partages réseau
    Un ransomware accède à l’ensemble des fichiers des partages réseau afin de pouvoir les chiffrer. En cas d’un grand nombre d’accès à des ressources sur des partages réseau depuis un seul poste de travail, il est probable que ce poste soit à l’origine de l’infection.
    Cette étude des accès aux partages réseau peut être faite grâce à des outils spécifiques de statistiques d’accès aux partages réseau ou grâce aux logs des partages pour détecter de nombreux accès en lecture et écriture depuis une seule source.
  • Croisement des droits d’accès sur les partages réseau
    Un partage réseau peut comporter des droits d’accès différents sur les répertoires. Deux utilisateurs du SI n’ont généralement pas accès aux mêmes ressources sur les partages réseau. En partant de ce principe, en croisant les droits d’accès sur les répertoires où des fichiers ont été chiffrés et les droits d’accès sur les répertoires où les fichiers n’ont pas été modifiés, il est possible de restreindre le nombre de postes potentiellement infectés. Il est en outre possible grâce aux logs du serveur de fichiers d’identifier de nombreuses tentatives d’accès à des répertoires pour lesquels un utilisateur n’aurait pas les permissions.
  • Recherche de fichiers chiffrés sur des profils itinérants dans un domaine Active Directory
    Si des profils itinérants sont configurés dans le domaine Active Directory, les fichiers de ce profil sont sauvegardés sur un serveur centralisé. Si des fichiers chiffrés sont présents sur un des postes dont les fichiers sont enregistrés sur le serveur centralisé, il est possible d’identifier le poste de travail compromis.
  • Communication en cours d’incident
    En cas de contamination par un ransomware, le poste de travail infecté est généralement chiffré en premier. Le collaborateur utilisant ce poste de travail rencontrera des difficultés d’utilisation et ne pourra plus accéder à certains de ses fichiers. Ainsi, en cas d’incident détecté, il est possible de communiquer à l’ensemble de l’entreprise que les utilisateurs rencontrant des difficultés sur leur poste sont invités à prendre contact avec le service informatique.

Comment réagir une fois la source de l’infection identifiée ?

Une fois les postes infectés identifiés, les actions suivantes peuvent être menées :
  • Déconnecter du réseau le poste de travail infecté
    Dès que le poste est identifié, il convient de le déconnecter du réseau. La déconnexion du réseau l’empêche de continuer toute activité de chiffrement des serveurs de fichiers.
  • Surveiller les accès réseau après déconnexion du poste de travail
    Les rançongiciels peuvent se propager via des campagnes de spam, ciblées ou non ; il est possible que plusieurs postes de travail soient infectés. Il est donc nécessaire de surveiller l’activité réseau après déconnexion du poste de travail pour s’assurer qu’il n’y a pas d’autre poste de travail infecté et les déconnecter le cas échéant.
  • Déconnecter les serveurs de fichiers du réseau
    En parallèle de l’identification du poste de travail infecté, il est possible de déconnecter les serveurs de fichiers. En particulier, cette méthode permet d’identifier si ce ne sont pas les serveurs de fichiers eux-mêmes qui sont infectés.
  •  Reconnecter le poste de travail assaini et restaurer des sauvegardes sur les serveurs de fichiers
    Une fois le poste de travail assaini (suppression du malware, réinstallation, etc.), il est possible de le reconnecter au réseau. Il convient également de restaurer des sauvegardes sur le serveur de fichiers afin de restaurer les documents qu’il contient dans leur état d’origine.

À ce stade, l’attaque est désormais terminée et l’activité du SI peut revenir à la normale.

Comment empêcher une future attaque ?

Afin d’éviter ou limiter les risques liés à une attaque par ransomware, il convient avant tout de s’assurer du bon fonctionnement de sa sécurité opérationnelle : présence d’un logiciel antivirus à jour sur l’ensemble du parc, bon fonctionnement des infrastructures de filtrage web et email.
De même, il est essentiel de réaliser des sauvegardes régulières des fichiers, et de tester le bon fonctionnement de la restauration ! De cette manière, en cas d’attaque par un ransomware, il sera possible de restaurer les documents du serveur à une version antérieure.
Il est également  nécessaire de sensibiliser les utilisateurs à ce type d’attaque et à la marche à suivre en cas de suspicion d’infection. Cette marche à suivre peut inclure la déconnexion du poste de travail en cas de détection de dysfonctionnement du poste et la remontée d’alerte au service informatique ou au SOC/CERT.

Il existe de plus des méthodes de détection d’attaque spécifiques aux rançongiciels :
  • Mettre un fichier témoin sur l’ensemble des partages réseaux existants et le surveiller
    Ce fichier témoin ne doit être modifié par personne. S’il est modifié, il s’agit probablement d’une modification automatisée d’un ransomware. Il convient donc de surveiller son contenu régulièrement et de lever une alerte dès qu’il est modifié.
  • Définir et monter un partage réseau témoin sur l’ensemble des postes de travail
    Tout accès en écriture sur ce partage réseau doit lever une alerte.
    Les lettres de lecteur « A », « Z » et « M » peuvent être mises sur ce lecteur de réseau afin d’identifier un ransomware commençant le chiffrement sur les lecteurs réseau dans l’ordre alphabétique, anti-alphabétique, ou encore à partir de la lettre « M » (lettre utilisée en premier dans la plupart des ransomware).

Un exemple d’implémentation de ce type de mesures est Honeyfile ,qui permet de surveiller certains fichiers et, dès que ceux-ci sont modifiés ou supprimés, d’éteindre le poste de travail d’un utilisateur ou d’empêcher tout accès au disque dur de l’utilisateur par un logiciel.


Brèves sécurité de la semaine du 30 mars 2015


[Brève] Tous les navigateurs mis à genoux lors du Pwn2Own 2015

Aucun navigateur ou logiciel n'a été épargné par les hackers.
Jung Hoon Leen a gagné 225 000$ en venant à bout de Google Chrome, Internet Explorer 11 et Safari. Au bilan plusieurs failles ont été découvertes : Google Chrome (1 faille),  Safari (2 failles), Firefox (3 failles), Adobe Flash (3 failles), Adobe Reader (3 failles), Internet Explorer (4 failles) et 5 failles pour Windows 8.1.
Sources :


[Brève] Sécurité des systèmes industriels : vulnérabilités découvertes dans des produits Schneider Electric

Des vulnérabilités "faciles à exploiter" ont été patchées sur deux des composants du constructeur Schneider Electric. Ces composants sont notamment utilisés dans l'industrie pour la gestion d'énergie. Ces failles critiques permettaient d'exécuter du code sur les composants.
Sources :


[Brève] Patch de sécurité pour Cisco, des vulnérabilités permettaient de prendre le contrôle de Cisco IOS

Cisco a corrigé plusieurs vulnérabilités sur son OS pouvant causer un déni de service, voire compromettre des routeurs.
Sources :


[Brève] Les utilisateurs d'Amazon exposés aux vols de leurs données pendant deux jours, avant la correction d'une faille XSS

Un hacker brésilien a publié la faille XSS sur le site xssposed.com.
Sources :


[Brève] Piratez une voiture avec 60$, c’est simple !

Erik Evenchik a présenté, lors de la conférence Black Hat Asia, son invention nommée CANtact. Ce périphérique qu'il souhaite vendre une soixantaine de dollars permet de se connecter aux systèmes embarqués des voitures avec le port OBD2 et de rechercher des vulnérabilités.
Sources :


[Brève] Voler des données sur une machine isolée du réseau par émission de chaleur, c'est possible

Après la consommation électrique, les ondes électromagnétiques, le son, des chercheurs israéliens ont montré qu'il était possible de mener une attaque par canal caché qui repose sur l’émission thermique.
Sources :

 [Brève] Nouvelle attaque sur l'algorithme de chiffrement RC4

L’exploitabilité de la faille est très limitée, mais contribue à militer pour l’abandon de RC4.
Sources :


[Brève] Une ville suédoise réclame 40.000£ pour réparer les dommages du piratage de son site par un adolescent

Plus de 600 mots de passe avait été volés par l’adolescent.
Sources :


[Brève] Nombreuses vulnérabilités corrigées sur le projet Open Source pfSense

Des failles de type XSS et XRSF ont été identifiées sur l'interface Web du firewall pfSense.
Sources :

Cyprien OGER et Romain MEILLERAIS


Aucun commentaire:

Enregistrer un commentaire