menu
L'expérience de nos cyber-consultants au service de votre organisation

Ransomwares : comment les détecter ?

Actualité publiée par CoESSI le 04/06/2020 | Mise à jour le 26/06/2020 à 17:57
Ransomwares : comment les détecter ?
  • QU'EST-CE QU'UN RANSOMWARE ?

Les ransomwares ou rançongiciels sont une catégorie de programmes malveillants.

Ils sont conçus pour restreindre et empêcher les utilisateurs d’accéder à leurs données (dans leurs ordinateurs, smartphones, cloud...), généralement par le chiffrement des données avec une clé connue uniquement de l'attaquant. 

Le terme ransomware couvre généralement les « Locker Ransomware » et les « Crypto Ransomware ». Le premier bloque l'accès aux fichiers. Quant au deuxième, il chiffre les données des utilisateurs (photos, documents, sauvegardes de jeux, bases de données...).

Dans les deux cas, une rançon est exigée par l’attaquant.

 

   

  • 1 - HISTORIQUE DES RANSOMWARES

Plusieurs références datant de 1989 citent le AIDS Information Trojan ou PC Cyborg comme le premier ransomware connu. Les ransomwares sont réapparus au début de l’année 2005 et continuent à se propager jusqu’à présent. La communauté de recherche a remarqué une augmentation significative de la fréquence des attaques par ransomware en 2015. 

blog-hero2.jpg

La fin de l’année 2019 a été marquée par la diffusion de données d’entreprises victimes ayant refusé de payer la rançon de Maze Ransomware.

La menace des ransomwares va vraisemblablement s’amplifier et devenir plus dangereuse que ces dernières années, en particulier pour les grandes entreprises.

Cela a été prouvé en ce début d’année 2020 par l’apparition d’un nombre d’attaques ciblées connues sous le nom de « Big Game Hunting » qui ne se contentent plus de simplement chiffrer les données mais ils profitent d’exfiltrer un maximum de données pour faire pression sur leurs victimes et les menacent de diffuser leurs données.

  

 2 - LES MODES D'INFECTION

Un ransomware peut infecter une machine par plusieurs techniques. Le phishing reste jusqu’à présent une des méthodes les plus courantes de propagation de ransomware et de malwares. Avec l’exposition de plusieurs millions de terminaux à Internet via le Remote Desktop Protocol (RDP), la compromission d’accès à distance via RDP devient de plus en plus répandue. 

Avec la crise du Covid-19, le nombre d'appareils exposant RDP à Internet sur le port standard (3389) a augmenté de 41,5% au cours du mois de mars 2020. Cette épidémie ravive les cybercriminels, qui profitent de la crise sanitaire pour diffuser des ransomwares dissimulés dans des documents officiels sur le coronavirus.

 

 

  • 3 - LA DÉTECTION DE RANSOMWARE

Il existe plusieurs approches anti-ransomware, comme celles présentées ci-dessous :

- Une protection basée sur l’analyse de fichiers : cette méthode supervise quelques fichiers dans les machines des utilisateurs. Une fois qu’une modification/suppression/mouvement est effectuée sur l’un de ces fichiers, le système déduit une activité de ransomware.

- Une protection au niveau réseau contre certaines familles de ransomwares qui communiquent avec l’extérieur avant le chiffrement de fichiers.

blog-hero2.jpg

- Une détection par l'analyse comportementale des ransomwares

- Une détection par l'apprentissage automatique et l’intelligence artificielle

Les antivirus conventionnels se basent uniquement sur les signatures connues pour la détection des ransomwares. Cette approche est souvent inefficace car un ransomwares d’une même famille peut avoir plusieurs variantes et par conséquent, des signatures différentes (des packers et des méthodes d’obfuscation sont souvent utilisées). Cependant, le comportement général des familles de ransomware reste toujours le même ce qui donne la possibilité de les détecter avec plus d’efficacité en utilisant une approche basée sur leurs comportements. 

Nous citons l’exemple du ransomware nommé FTCODE qui était indétectable par les antivirus conventionnels lors de sa première soumission à VirusTotal (2019-09-30 20:59:31). La figure suivante montre le résultat d’un suivi de ce ransomware par les équipes CoESSI. 

Nous constatons qu’aucun antivirus n’a été capable de détecter ce ransomware lors de sa première soumission et seuls 22 antivirus ont pu le détecter.

 

 

  • 4 - TRAVAUX DE COESSI SUR LES RANSOMWARES

CoESSI poursuit ses efforts de R&D et propose désormais à son catalogue de services des prestations d’analyse forensique (post attaque par ransomware). Ses équipes spécialisées s’intéressent tant aux aspects théoriques que pratiques de ce type d’attaques en couvrant :

-       La phase de préanalyse forensique (récolte d’informations, apprentissage)

-       La phase d’analyse (identification des ransomwares, des sources d’attaques…) 

-       La phase post analyse (recommandations, cartographie de l’attaque…). 

Au sein de notre laboratoire, nous mettons au point des approches innovantes basées sur le Machine Learning en vue d’améliorer les algorithmes déjà existants (réduction des faux-positifs, réduction de la complexité et du temps de réponse). 

expand_less