Ransomware : un vaccin utile, mais au pouvoir limité contre la double extorsion
Baptisé Raccine par son créateur, l’expert Florian Roth, ce logiciel bloque les ransomwares qui essaient d’effacer les snapshots de Windows. L’approche est assurément prometteuse, mais ce n’est hélas pas un remède miracle.
Un vaccin contre les rançongiciels ? C’est l’idée qui trottait dans la tête de Florian Roth, le directeur technique de Nextron Systems, outre-Rhin, important contributeur de la communauté de la sécurité de l’information, avec notamment une série complète de recommandations pour se protéger des attaques de ransomware.
L’idée part d’un constat : bon nombre de ransomwares suppriment les instantanés de sauvegarde réalisés en tâche de fond par Windows, afin de rendre plus difficile la restauration et, dans le même temps, plus attractive l’offre d’outil de déchiffrement moyennant paiement. Partant de là, pourquoi ne pas chercher à repérer les processus lançant cette suppression pour y mettre un terme ainsi qu’à leurs processus parents ? L’approche, qui vise principalement à permettre une restauration rapide, n’a pas manqué de susciter l’enthousiasme d’un analyste de G-Data, notamment.
Dans la pratique, le composant logiciel développé par Florian Roth et proposé en open source sur GitHub, est déclaré comme un débogueur pour les exécutables vssadmin.exe et wmic.exe : de quoi assurer la détection des activités malicieuses visant les instantanés de sauvegarde (snapshots) de Windows. Car les invocations de ces exécutables sont interceptées et passées à l’outil de Florian Roth, Raccine. À charge pour lui d’examiner les arguments utilisés pour l’invocation de ces commandes et de bloquer les combinaisons malicieuses.
L’outil fonctionne assurément. Son créateur le montre notamment contre un échantillon de Ragnar Locker, dans une sandbox. Mais il convient de souligner certaines réserves. Ainsi, si les assaillants ont réussi à dérober des données avant de faire détoner leur ransomware, bloquer ce dernier n’empêchera pas les cybertruands de tenter d’extorquer des fonds à leur victime. Et cela vaut encore pour ceux qui ajoutent le déni de service distribué (DDoS) à la menace de divulgation de données, comme les opérateurs de SunCrypt l’ont récemment fait.
Mais l’approche retenue pour Raccine ne s’arrête toutefois pas aux rançongiciels eux-mêmes. Contacté par la rédaction, Florian Roth précise ainsi : « selon le vecteur d’infection, Raccine pourrait également arrêter le dropper et interrompre la chaîne d’infection ». De quoi potentiellement bloquer certaines attaques avant même le vol de données.