lolloj - Fotolia
Rançongiciels : des évolutions inquiétantes, mais des imperfections
La course à la sophistication engagée pourrait conduire à l’émergence de logiciel malveillants redoutablement ravageurs. Pour l’heure, leurs imperfections aident à s’en protéger. Mais pour combien de temps encore ?
Les équipes de Talos, la division renseignement sur les menaces de Cisco, viennent de publier une étude complète sur les rançongiciels. Dans celle-ci, les chercheurs se penchent sur l’historique de ces logiciels malveillants, ainsi que sur les grandes vagues actuelles, au premier rangs desquelles Locky.
Surtout, ils consacrent une part importante de leur étude au futur des ransomware. Ce travail de futurologie, qui présente des attaquants avancés utilisant outils modulaires, se veut pragmatique, s’appuyant ce que proposent déjà les suites de test d’intrusion ouverts disponibles aujourd’hui sur le marché.
Les chercheurs imaginent ainsi des rançongiciels cherchant à chiffrer le dossier personnel de l’utilisateur, mais également des dossiers et des fichiers définis à façon, marquant les terminaux déjà affectés, supportant des moyens de communication variés, et encore la capacité de définir au cas par cas le montant de la rançon demandée.
Les logiciels malveillants ainsi imaginés peuvent se propager via les fonctions d’exécution automatique associés aux périphériques amovibles, mais aussi exploiter les vulnérabilités de certaines infrastructures d’authentification, « comme Kerberos présent dans de nombreux réseaux corporates ». De quoi accéder à d’autres systèmes.
Le scénario imaginé peut paraître classique, mais pourrait s’avérer désastreux pour de nombreuses organisations. Dans celui-ci, l’attaquant parvient à s’immiscer sur le réseau interne. A charge pour lui de s’y déplacer et d’identifier des cibles de forte valeur. Pour ces déplacements, les attaquants pourraient utiliser des fonctionnalités d’administration à distance présentes nativement dans les systèmes compromis. De quoi restreindre le risque de détection.
Parmi les cibles des attaquants, les équipes de Talos imaginent le contrôleur de domaine Active Directory. Un simple point de départ. Les véritables objectifs pourraient n’être rien moins que les systèmes de sauvegarde et de reprise d’activité, ou encore des systèmes critiques comme les bases de données, les serveurs de fichiers, les entrepôts de code source, voire les systèmes de gestion des ressources humaines et de la paie, entre autre. Au-delà, les serveurs de messagerie – de voix sur IP, de travail collaboratif, etc. – pourraient également constituer une cible afin d’étendre la propagation. Sans compter les systèmes chargés de pousser des paquets logiciels comme les mises à jour : « même si notre logiciel malveillant aurait certainement des capacités d’auto-propagation, nous utiliserions ces plateformes de distribution d’applications pour lui assurer une diffusion exponentielle, rendant l’attaque plus difficile à contenir ».
Par prudence, le ransomware serait doté de capacités de limitation de l’utilisation des ressources des hôtes infectés afin de garantir une certaine discrétion. En définitive, les chercheurs de Talos imaginent que leur rançongiciel fictif est capable d’infecter plus de 800 serveurs et 3200 postes de travail en l’espace d’une petite heure… Et d’avoir alors déjà compromis « la vaste majorité des données » et même l’environnement de reprise d’activité, la faute à une « faible segmentation ».
Les équipes de Talos se penchent ensuite largement sur les stratégies de défense envisageables, avec leurs volets technique autant qu’humain.
Si la fiction dépasse encore la réalité, ce pourrait bien n’être que pour un temps. Le rançongiciel Jigsaw menace désormais de détruire les fichiers chiffrés graduellement, d’heure en heure, jusqu’au paiement de la rançon. Par chance, il n’est pas exempt de failles et peut être combattu de manière relativement aisée.
Il en va d’ailleurs de même pour Petya, un autre rançongiciel récent. Mais il apparaît toutefois clair que la course à la sophistication s’accélère en matière de ransomware. Et selon PhishMe, tout cela ne serait qu’un début.