En direct de la cellule « Computer Security Incident Response Team» d’Excellium avec Sebastien KAISER – Analyste Sécurité au sein du Security Operation Center d’Excellium. 

CryptoWall, CTB-Locker et TorrentLocker représentent le Top 3 des familles de ransomwares actifs en ce moment. Ces logiciels ou « rançongiciels » prennent en otage les données en les chiffrant et en proposant à la victime de déchiffrer les fichiers, moyennant une rançon. (A ce sujet voir la note du CIRCL de Février 2015 – « Une nouvelle vague de ransomware cible le Luxembourg »).

Nous reprenons dans le présent article les recommandations issue du Blog Insider de Solucom disponible au lien suivant  http://www.securityinsider-solucom.fr/2015/04/cert-solucom-retour-sur-lactualite-de_1.html

L’identification des postes de travail à l’intérieur de l’entreprise victime de cette attaque peut être difficile car tout poste peut potentiellement avoir des permissions sur le partage réseau pour chiffrer ses fichiers.

L’objectif de ce focus est de fournir des pistes permettant d’identifier le poste de travail à l’origine de ce chiffrement pour bloquer l’infection.

Comment identifier le poste de travail infecté par le ransomware ?

Lorsqu’un poste de travail est compromis, il chiffre les fichiers de partage réseau. Il est possible d’identifier ce poste grâce aux symptômes suivants :

• Analyser les volumes réseau / share réseaux. Pour encrypter les fichiers sur un share réseau, le poste de travail concerné va télécharger les fichiers d’origine, les chiffrer et les déposer à nouveau sur le share. Des volumétries importantes sont alors constatées (download et upload) entre un poste de travail et un serveur de fichiers permettant d’indiquer que le poste est infecté par un ransomware,
•  Détecter des fichiers chiffrés sur des profils de l’Active Directory. Si des profils itinérants sont configurés dans le domaine Active Directory, les fichiers de ce profil sont sauvegardés sur un serveur centralisé. Si des fichiers chiffrés sont présents sur un des postes dont les fichiers sont enregistrés sur le serveur centralisé, il est possible d’identifier le poste de travail compromis,
• Sensibiliser les utilisateurs et le helpdesk sur ce type d’incident. En cas d’infection par un ransomware, le poste de travail infecté est généralement chiffré en premier. Le collaborateur utilisant ce poste de travail rencontrera des difficultés d’utilisation et ne pourra plus accéder à certains de ses fichiers. Ainsi, en cas d’incident détecté, il est possible de communiquer à l’ensemble de l’entreprise que les utilisateurs rencontrant des difficultés sur leur poste sont invités à prendre contact avec le service informatique.

Comment réagir ?

Une fois le ou les postes infectés identifiés, les actions suivantes sont à mener :

• Eviter de répondre à la demande de rançon car il y a peu de chance que la clé de décryption vous soit fournis,
• Isoler du réseau le poste de travail concerné. La déconnexion du réseau l’empêche de continuer toute activité de chiffrement des serveurs de fichiers,
• Bloquer les urls concernées par le ransomware sur le proxy web ou le firewall afin d’éviter l’infection d’autre postes,
• Analyser les accès réseau après déconnexion du poste de travail. Les rançongiciels se propage via des campagnes de spam, ciblées ou non ; il est possible que la campagne ait ciblé différents postes de travail. Il est donc nécessaire de surveiller dans ses logs web qui a cliqué sur le lien relatif au phishing pour s’assurer qu’il n’y a pas d’autres postes de travail infectés et les traiter le cas échéant,
• Déconnecter les serveurs de fichiers du réseau. Il est parfois nécessaire de déconnecter les serveurs de fichiers. Cela permet d’identifier si ce ne sont pas les serveurs de fichiers eux-mêmes qui sont infectés,
• Une fois le poste de travail réinstallé, il est possible de le reconnecter au réseau. Attention ! assainir le poste de travail nécessite aussi de refaire le profil utilisateur sur l’Active Directory car le malware est parfois stocké dans le profil AD),
• Notifier à votre CERT / CSIRT de contact le malware ou le lien Internet utilisé par celui-ci. En effet le CERT / CSIRT (par exemple Excellium ou le CIRCL) procédera au « takedown » du domaine utilisé par le malware afin que les potentielles futures attaques utilisant ce malware soient sans succès.

Maintenant il est important de mener une analyse post-mortem de l’incident. Comment a-t-on réagit ? Pourquoi l’attaque a pu avoir lieu, …

Comment éviter une prochaine attaque ?

Afin d’éviter ou limiter les risques liés à une attaque par ransomware, il convient avant tout de s’assurer de la capacité de son système d’information à réagir à ce type de menace : présence d’un logiciel antivirus à jour sur l’ensemble du parc, fonctionnement efficace des infrastructures de filtrage web et email, sauvegardes régulières des fichiers, et tester le bon fonctionnement de la restauration !

Il est aussi important de sensibiliser les utilisateurs à ce type d’attaque et au mode opératoire à suivre en cas de suspicion d’infection. A ce sujet Excellium a lancé un service de test de phishing : EyeMail. Ce service permet à la fois de tester la capacité de son infrastructure à traiter la menace de phishing avec plus de 400 tests réalisés, mais aussi de sensibiliser les utilisateurs et de mesurer leurs réactions.

Il existe des mesures complémentaires pour améliorer la capacité de détection de ces attaques :

• Par exemple mettre en place un leurre (soit un fichier soit un share réseau démarrant par des lettres ou chiffres afin qu’ils soient consultés le plus tôt) lors d’attaques. L’accès à ce fichier ou ce share générant une alerte vers votre système de monitoring,
• Si vous disposez d’outils comme Varonis, activer l’alerting lorsqu’il y a détection d’extension étranges (encryptées), … Par exemple, lors d’une récente attaque les extensions des fichiers encryptées étaient changées en .aaa