cryptage intermittent

Chiffrement intermittent : la dernière avancée dans la course aux ransomwares

Version imprimable, PDF et e-mail

Cela fait maintenant plusieurs décennies que pirates et défenseurs s'affrontent sur le terrain des réseaux, dans ce qui est fréquemment décrit comme une « course aux armements ». Cette description des efforts déployés par chaque camp pour obtenir un avantage technologique est probablement l'une des métaphores les plus anciennes du lexique de la sécurité. Mais il faut avouer qu'elle est aussi pertinente aujourd'hui qu'il y a 15 ans, car le rythme de l'innovation ne fait qu'accélérer.

C'est l'un des points clés soulevés par de nouvelles recherches sur les techniques de « chiffrement intermittent » actuellement proposées aux groupes de ransomware. Cette nouveauté suffira-t-elle pour offrir un avantage durable aux contrevenants ? La réponse est non, tant que les fournisseurs de sécurité continueront d'innover en matière de protection, de détection et de réponse.

Qu'est-ce que le chiffrement intermittent ?

La nouvelle technique décrite dans cette recherche vise à atteindre deux objectifs :

  • Chiffrer rapidement les données afin de brouiller tous les fichiers de l'organisation victime avant qu'elle ait l'occasion de détecter et de stopper l'attaque.
  • Contourner les méthodes de détection courantes en diminuant l'intensité des opérations d'Entrée/Sortie des fichiers, autrement dit, la similarité entre une version connue d'un fichier non affecté par un ransomware et une version suspectée d'avoir été modifiée et chiffrée.

Comme les fichiers ne sont que partiellement chiffrés, le premier objectif est atteint, et le ransomware cause des dommages irréversibles dans des délais encore plus courts. Il semble que LockFile était l'une des premières variantes à utiliser cette technique, chiffrant un bloc de 16  octets sur deux. Une étude menée plus tôt cette année sur 10 types de ransomwares discrets a révélé qu'en général, les défenseurs des réseaux ne disposent que de 43 minutes pour conscrire les attaques une fois le chiffrement lancé.

Si le chiffrement intermittent est capable de passer sous les radars de la détection, c'est parce qu'il perturbe les techniques d'analyse statistique utilisées par de nombreux outils de sécurité actuels. Ceux-ci recherchent les opérations d'entrée/sortie des fichiers que le chiffrement partiel permet de minimiser, rendant ainsi plus difficile de distinguer un fichier modifié d'un fichier non affecté par un ransomware.

La mauvaise nouvelle, c'est qu'il s'avère qu'un nombre croissant de variantes utilisent cette technique, notamment Qyick, Agenda, BlackCat (ALPHV), PLAY et Black Basta. Et comme elle est relativement facile à mettre en œuvre, elle pourrait bien devenir la norme chez les acteurs malveillants.

Les violations de données ne sont pas près de cesser

Le chiffrement intermittent n'est pas le seul exemple d'innovation technologique déployée par les auteurs de ransomwares. Un rapport récent a révélé que les pirates exploitaient les vulnérabilités des logiciels VoIP populaires pour accéder aux réseaux d'entreprise. Si l'exploitation des vulnérabilités par les ransomwares n'a rien de nouveau (c'est d'ailleurs l'un des trois principaux vecteurs d'accès initial, avec le phishing et le RDP), elle montre cependant que les contrevenants explorent la surface d'attaque à la recherche de toute faille de sécurité potentielle.

D'autres exemples incluent le ciblage de serveurs de stockage en réseau (NAS), tels que ceux produits par le fabricant taïwanais QNAP. Très populaire chez les PME et le grand public, le fournisseur a récemment déployé un correctif pour ces boîtiers NAS, mais les clients n'ont pas réagi assez rapidement. Les chercheurs ont décompté une récente augmentation de 674 % du nombre d'appareils infectés par le ransomware Deadbolt.

La menace posée par les ransomwares va donc continuer à évoluer de manière inattendue, les pirates cherchant constamment de nouveaux moyens de duper les défenseurs et les outils de sécurité actuels. Parmi les victimes récentes, de grandes organisations telles que le centre médical OakBend, au Texas, Bell Canada et Empress EMS, intervenant en cas d'urgence basé à New York. La menace s'étend également aux États-nations, avec de récentes inculpations et sanctions américaines contre des cybercriminels iraniens supposément liés à Téhéran. Ils sont non seulement accusés d'avoir mené des attaques géopolitiques contre d'autres États-nations, mais aussi des raids aux motivations financières contre des entreprises privées (allant des cabinets comptables aux services publics régionaux en passant par les prestataires de logements).

Reprendre le dessus

Il incombe aux fournisseurs de sécurité de continuer à surveiller ces tendances, d'anticiper l'origine des nouvelles menaces et de mettre à jour leurs produits afin de neutraliser tout avantage développé par les attaquants. Cependant, leurs clients doivent également rester vigilants et proactifs, et multiplier les défenses contre les ransomwares sur ces trois vecteurs d'attaque clés. Pour cela, ils devront mettre en place des contrôles de sécurité conformes aux bonnes pratiques, tels que :

Une approche Zero Trust pourrait également profiter aux PME cherchant à atténuer l'impact des ransomwares. Ses piliers : principe du moindre privilège, la segmentation du réseau, l'authentification multifacteur et la surveillance continue. Certes, les entreprises ne pourront peut-être pas remporter la course aux armements contre les ransomwares, mais les responsables de la sécurité disposent tout de même de nombreux moyens de minimiser les risques informatiques dans leur organisation.

E-book : Protégez-vous des ransomwares en quelques clics

Remonter en haut de page
Tweeter
Partager
Partager