kaptn - Fotolia
Contre les ransomwares, le duo analyse comportementale et snapshots
Les éditeurs ne manquent pas créativité pour protéger contre la menace persistante que représentent les rançongiciels. Plusieurs misent aujourd’hui sur une approche duale combinant prévention et réparation.
Le très médiatisé rançongiciel WannaCry ressemble, de l’avis de nombreux experts, à un échec retentissant pour ses auteurs. Symantec relevait ainsi récemment qu’une erreur de code les empêche de suivre la plupart des paiements, privant au passage leurs victimes d’une chance de recouvrer leurs données.
@symantec Bitcoin fix was too little, too late; attackers can't track most payments & likelihood of victims having files restored still low. #WannaCry
— Security Response (@threatintel) May 17, 2017
Une menace durable
L’architecte Kevin Beaumont faisait quant à lui référence, ce mercredi 17 mai, à un échantillon se propageant rapidement, dépourvu de kill switch salvateur, mais échouant à délivrer sa charge utile… Interrogés à l’occasion de la conférence CPX, qui se déroule actuellement à Milan, plusieurs experts de Check Point soulignaient l’amateurisme des auteurs de WannaCry. Et Orli Gan, responsable de l’offre de prévention contre les menaces de l’équipementier, ne manquait pas de parler d’échec.
Pour autant, un peu plus tôt, dans une présentation ironisant sur la cybercriminalité, en reprenant le discours marketing d’une entreprise conventionnelle, elle soulignait tant l’importance du phénomène des rançongiciels que sa gravité.
Si le #ransomeware était un produit... quel succès ! (sauf pour #WannaCry) #CPX17 pic.twitter.com/P5Xy30vDjj
— Valery Marchive (@ValeryMarchive) May 17, 2017
Et à juste titre. Alors que la tempête WannaCry initiale est passée, un autre ransomware a fait son apparition, utilisant la même faille du protocole SMBv1 pour assurer sa propagation. Baptisé Uiwix, ce nouveau rançongiciel aurait pu s’avérer considérablement plus dangereux en l’absence, là encore, de kill switch, mais il ne se réplique pas comme en est capable un ver tel que WannaCry.
Au-delà des signatures
Face à la menace, si l’application régulière des correctifs s’avère un élément de prévention clé, les éditeurs sont nombreux à adopter des approches éloignées des simples signatures. Beaucoup misent sur l’analyse comportementale, à l’instar de Cybereason, qui propose un outil gratuit depuis le début de l’année, mais également de Bitdefender, Trend Micro, Cylance, entre autres. Et ce n’est pas tout.
Plusieurs acteurs du secteur misent désormais sur une approche duale : d’un côté, il s’agit de détecter les comportements suspects pour y mettre un terme aussi vite que possible ; de l’autre, il s’agit de s’appuyer sur de rapides micro-sauvegardes, des instantanés ou snapshots, pour permettre la récupération des fichiers éventuellement chiffrés avant l’interception du processus malveillant.
SentinelOne s’est rapidement engagé dans cette direction, dès la fin 2015, allant jusqu’à proposer une garantie contractuelle. Sophos a adopté la même approche avec Intercept X, ainsi que Carvir Cyber Security, ou encore Kaspersky. Check Point Software a présenté sa solution en la matière au mois de février. Et Acronis a intégré des mécanismes de protection comparables à la dernière version de son outil de sauvegarde True Image.
Bien sûr, des acteurs du monde du stockage comme CommVault, QNap, NetApp, Synology ou Horizon DataSys, avec RollBack Rx, ne manquent pas de mettre en avant les capacités de sauvegarde par instantanés de leurs produits pour protéger contre les dégâts causés par les rançongiciels. Mais on peut être tenté de ne les voir que comme un complément des solutions adoptant une approche duale, pour offrir une protection plus étendue.