Le problème des ransomwares se développe à grande vitesse. Ces derniers sont de plus en plus utilisés par les hackers car ceux-ci ont besoin de plus en plus d’argent et cela de plus en plus souvent. Si ceux-ci ne bloquent souvent que certains postes, l’ampleur du phénomène et sa récurrence pourrait en faire une menace plus importante que prévue.

Un ransomware cryptographique est un outil malveillant chiffrant une partie des donnés d’un poste de travail. Pour cela, les hackers utilisent des mécanismes de clés publiques et clés privées (générées et téléchargées au moment de l’installation du ransomware). La clé privées étant en possession du hacker, ce dernier exigera de la victime attaquée le paiement d’une rançon, généralement en Bitcoin, afin de disposer de cette clé privée.

Le ransomware cryptographique le plus connu s’appelait CryptoLocker. Il a été éradiqué suite à la dissolution du botnet Gameover Zeus en 2014. Mais un petit nouveau arrive sous le nom de Cryptowall (version 3.0). Il est très proche de CryptoLocker mais surtout apporte de nouveaux mécanisme de non-détection par les outils de protection.

Ce matin, jeudi 28 janvier 2016, le record de rançon a été battu avec le ransomware "7ev3n" pour la modique somme de 13 bitcoins soit presque 5000$.

 

Il est quasiment impossible pour une victime - particulier ou entreprise - de récupérer ses données une fois le ransomware installé - hormis payer et récupérer la clé privée. Toutefois, le paiement de la rançon ne garantit en aucun cas que les criminels fourniront à la victime la clé qui lui permettra de retrouver ses données. Il est donc très important de se protéger contre ce type d’outil malveillant.

1. Pour cela, il faut en tout premier lieu, former et sensibiliser les utilisateurs au bonnes pratiques : 
- Ne jamais ouvrir un document venant d’un émetteur inconnu 
- Vérifier l’émetteur et son adresse. Il est très facile de se faire passer pour quelqu’un lors de l’envoi d’un email. 
- Faire des sauvegardes régulières de ses données

2. Ensuite, il est très important de disposer d’outils de protection à jour : 
- Antivirus à jour 
- Système d’exploitation à jour 
- Navigateur internet à jour. Enormément d’entreprises sont encore dans des versions d’Internet Explorer non corrigées et disposant de failles de sécurité exploitées par les malwares.

3. Dernier point, pour que le ransomware puisse récupérer ses binaires et les clés de chiffrement, il devra accéder à Internet pour joindre son serveur. Il est donc important de disposer d’outil de filtrage internet à jour (liste de domains, d’URL et d’IP frauduleuses). Très souvent, les ransomware passent par le réseau Tor pour accéder à leur serveurs. Des outils de filtrages tels que les Passerelles Internet et les pare-feu permettent de contrôler l’accès à ce type de réseaux.

F5 Networks dispose d’une solution de Passerelle Internet nommée Secure Web Gateway, disposant du moteur d’analyse et de catégorisation de Websense. Cette passerelle permet de contrôler l’accès aux sites distants pour chaque utilisateur et dispose d’outils d’analyse temps réels permettant de s’assurer qu’aucun appareil n’aille se connecter sur un réseau ou un site frauduleux. De plus, la Secure Web Gateway permet de contrôler le flux retour en cas de téléchargement d’un malware venant d’un site classé comme frauduleux.