Un rançongiciel distribué via Google Drive
Heimdal Security alerte sur une nouvelle campagne de propagation du ransomware Cryptowall s’appuyant sur Google Drive.
Heimdal Security alerte sur une nouvelle campagne de propagation du ransomware – ou rançongiciel – Cryptowall qui s’appuie sur Google Drive.
Dans un billet de blog, l’éditeur détaille le processus. L’infection commence par la consultation d’une page Web compromise. Là, « plusieurs scripts malicieux forcent l’utilisateur vers une sélection restreinte de domaines utilisés pour la campagne (plus de 80 domaines actifs) ». Ceux-ci utilisent le kit d’exploitation RIG qui tire profit de vulnérabilités dans le JRE d’Oracle, Adobe Reader, Internet Explorer et le lecteur Flash.
Si l’ordinateur de la victime en devenir n’est pas parfaitement à jour, le kit essaie de télécharger la charge utile à partir de plusieurs URL sur Google Drive. Le composant principal de Cryptowall est téléchargé par la suite à partir d’autres pages Web compromises – Heimdal Security en a recensé 45.
La suite est malheureusement bien connue : le rançongiciel se charge de chiffrer « une série de fichiers de données sur le disque dur interne et sur les partages réseau disponibles », en s’appuyant sur l’algorithme RSA et une clé 2048 bits.
Heimdal alerte : « la détection par les antivirus est limitée et cette campagne traverse la plupart des solutions de sécurité du poste client en raison de sa méthode de distribution ».
En mai dernier, Symantec avait signalé un rançongiciel s’inspirant de la série télévisée Breaking Bad. Mais il n’avait alors été observé qu’en Australie. Trois mois plus tôt, une variante de CTB-Locker visait toutefois spécifiquement la France et les pays francophones. Gérôme Billois, responsable de la practice sécurité de Solucom, expliquait alors avoir été sollicité par une dizaine d’entreprises, pour plusieurs milliers de postes concernés : « la campagne ne vise pas de client en particulier, et touche tous les secteurs d’activité ».
Vincent Nguyen, directeur technique du Cert Solucom, soulignait de son côté que, souvent, « l’entreprise peut se trouver affectée via les e-mails personnels de ses collaborateurs ». Gérôme Billois y voyait d’ailleurs un risque important : « si un collaborateur a accès à son compte de messagerie personnel sur son poste de travail, il risque de l’infecter, mais également de compromettre des partages réseau ».
Réaliste, Gérôme Billois soulignait alors que CTB-Locker « n’est qu’un crypto-ransomware de plus, qui ne sera pas le dernier ». Et d’appeler à l’adoption de multiples pratiques de prévention, comme les sauvegardes hors lignes, mais aussi l’isolation des usages professionnels et personnels sur le poste de travail.
A moins que la micro-virtualisation n’apporte sa réponse à ce genre de menace en isolant les processus dans des conteneurs virtuels d’où ils ne voient que ce que l’hyperviseur veut bien leur donner à voir. Une piste utilisée par Bromium et à laquelle s’intéresse Microsoft avec Windows 10.