Les cryptowares deviendront-ils le facteur majeur de pertes de données en 2016

Une nouvelle campagne du cryptoware Locky  s’est propagée à la fin du mois d’avril. Voici quelques informations utiles à ce sujet et nos préconisations sur la nécessité d’assurer des sauvegardes pérennes.

Nos données sont précieuses, mais concernant une entreprise, elles sont vitales. On estime en effet que :

  • 98% des utilisateurs perdent accidentellement des données représentant de 1 heure à plusieurs semaines de travail.
  • 80% des entreprises non protégées déposent le bilan après un crash informatique.
  • 50% des entreprises ayant subi une perte complète de données ferment dans l’année.

Les spécificités de la nouvelle campagne Locky

Elle touche principalement les entreprises par le biais de fausses factures ou documents à destination des services administratifs mais pourrait aussi s’adresser au grand public :

Dans tous les cas la pièce jointe est le déclencheur de la charge malveillante. Celle-ci prend la forme d’un fichier compressé au format .zip ou .rar contenant un script.

En cas d’exécution de ce script par l’utilisateur, la charge malveillante téléchargera et démarrera le cryptoware en toute discrétion. Cette nouvelle génération est techniquement très proche de la première vague d’attaques de ce début d’année.

A son lancement elle supprimera les sauvegardes Windows du Volume Shadow Copy et fera une énumération des périphériques de stockages existants (locaux & amovibles & réseaux) :

Elle sera à même capable de rechercher et de monter des lecteurs réseaux qui ne seraient pas mappés à cet instant :

Les répertoires des différents périphériques sont ensuite parcourus :

Ce malware recherche sur tous les périphériques, afin de les chiffrer, les fichiers avec les extensions suivantes :

Vous noterez dans cette liste :

  • Des fichiers de travail Microsoft Office.
  • Les photos & vidéos & musiques.
  • Les fichiers de bases de données et PHP & JS (pouvant mettre à mal pour exemple une application métier & serveur web)
  • Les sources d'un programmeur Perl, C, C++, C#, Java, PHP, JS.
  • Les machines virtuelles.

La spécificité de ce type de cryptoware est donc de ne chiffrer que les types de fichiers considérés comme importants pour la cible victime (personne ou entreprise). Il est important de noter que les fichiers des supports amovibles (clef USB, disques, téléphones….) et réseaux peuvent être impactés.

Une fois le chiffrement terminé, le message de rançon sera affiché via un fichier texte et en fond d'écran :

On remarquera que les fichiers chiffrés sont renommés sous forme de hash avec l'extension .locky rendant impossible leurs identifications.

Les cryptowares représentent un fléau qui s'accélère et Locky est l'un des plus dangereux.
Les hackers sont maintenant expérimentés dans la gestion de ce type de campagne d’infection et cette activité est sans doute extrêmement lucrative pour eux.

Les processus inhérents à ces attaques sont maintenant maitrisés par les attaquants sur l’intégralité de la chaine :

  • ils possèdent les outils pour créer de nouvelles générations
  • ils disposent des canaux de diffusion
  • ils maitrisent les plateformes de paiements.

Les cryptowares de ce type, malgré une vigilance accrue sur poste, peuvent être véhiculés par une connexion sur les unités réseaux partagées. Une des remédiation possibles à ce type de menace est la restauration des données présentes dans les sauvegardes.

Les sauvegardes au secours des nouvelles menaces

Les cryptowares peuvent être catégorisés comme une situation de désastre informatique, tout comme une panne matériel, vol, inondation, incendie etc.. Cryptowares et sauvegardes sont des sujets liés. La sauvegarde est le meilleur espoir et recours autonome et maitrisable destiné à minimiser la perte de données, les impacts et les coûts.

Même si certains cryptowares possèdent des failles permettant parfois le déchiffrement des données, il a été trop souvent constaté que les attaquants s’améliorent dans le domaine de l’implémentation des algorithmes de chiffrements complexifiant ou empêchant cette possibilité.

Sans précaution et préparation de stratégies de sauvegardes et d’un plan de restauration, les risques peuvent se cumuler (temps humains, corruptions de données, pertes d’éléments non sauvegardés, etc..). Les techniques de sauvegarde doivent répondre à des procédés et processus adaptés normalisés.

Le support et les conditions de conservations sont des facteurs importants :

  • les périphériques à mémoire flash comme les clés USB et SSD sont annoncés pour une fiabilité de 5 ans en moyenne,
  • il en est de même pour les disques classiques magnétiques qui ont une durée de vie moyenne de 5 ans,
  • le Cloud est une solution intéressante, mais, en fonction du choix du prestataire de service, cela peut poser des questions de sécurité et de confidentialité des données ou même offrir quelques surprises en termes de durée de vie, prenons l’exemple des mésaventures de Megaupload & Mega.

En conclusion

Il faut veiller à ce que les supports de sauvegarde soient stockés dans des endroits sûrs non exposés aux champs magnétiques, variations de température et d’humidité importants. Enfin, si une externalisation des sauvegardes auprès d’un prestataire de service ou d’une solution spécialisée est choisie, il est recommandé de planifier des tests de restauration des données sauvegardées. La croissance prévue et observée des cryptowares cette année 2016, nous rappellent donc la nécessité de maitriser la sauvegarde, la conservation et la restauration des données.

Pour aller plus loin

Pour tout savoir sur les tendances 2016 de la cyberdéfense en 120 secondes
Orange Cyberdefense protège vos essentiels
Cryptowares et ransomwares : quelques évolutions

Laboratoire d'Epidémiologie & Signal Intelligence

.