Cryptolocker, PowerLocker, Cryptowall, Torrentlocker, CoinVault, … : les ransomwares sont particulièrement fréquents ces dernières années. Ces « rançongiciels » prennent en otage les données en les chiffrant et en proposant à la victime de déchiffrer les fichiers, moyennant une rançon.
Dans le contexte de l’entreprise, ces malwares chiffrent non seulement les données des postes de travail, mais également les fichiers sur les partages réseau, ce qui impacte l’ensemble de l’entreprise.
L’identification des postes de travail à l’origine de cette attaque peut être difficile car tout poste de l’entreprise peut potentiellement avoir des permissions sur le partage réseau pour chiffrer ses fichiers.
L’objectif de ce focus est de fournir des pistes permettant d’identifier le poste de travail à l’origine de ce chiffrement pour bloquer l’infection.
Comment identifier le poste de travail infecté par le rançongiciel ?
Lorsqu’un poste compromis chiffre les fichiers d’un partage réseau, il est possible d’identifier ce poste grâce aux techniques suivantes :
- Étude des volumétries réseau
Afin de chiffrer les fichiers sur un partage réseau, le poste de travail infecté doit télécharger les fichiers initiaux, les chiffrer et uploader les fichiers chiffrés à leur place. Des fortes volumétries réseau (download et upload) entre un poste de travail et un serveur de fichiers peuvent donc indiquer qu’un poste de travail est infecté par un ransomware. - Étude des statistiques d’accès aux partages réseau
Un ransomware accède à l’ensemble des fichiers des partages réseau afin de pouvoir les chiffrer. En cas d’un grand nombre d’accès à des ressources sur des partages réseau depuis un seul poste de travail, il est probable que ce poste soit à l’origine de l’infection.
Cette étude des accès aux partages réseau peut être faite grâce à des outils spécifiques de statistiques d’accès aux partages réseau ou grâce aux logs des partages pour détecter de nombreux accès en lecture et écriture depuis une seule source. - Croisement des droits d’accès sur les partages réseau
Un partage réseau peut comporter des droits d’accès différents sur les répertoires. Deux utilisateurs du SI n’ont généralement pas accès aux mêmes ressources sur les partages réseau. En partant de ce principe, en croisant les droits d’accès sur les répertoires où des fichiers ont été chiffrés et les droits d’accès sur les répertoires où les fichiers n’ont pas été modifiés, il est possible de restreindre le nombre de postes potentiellement infectés. Il est en outre possible grâce aux logs du serveur de fichiers d’identifier de nombreuses tentatives d’accès à des répertoires pour lesquels un utilisateur n’aurait pas les permissions. - Recherche de fichiers chiffrés sur des profils itinérants dans un domaine Active Directory
Si des profils itinérants sont configurés dans le domaine Active Directory, les fichiers de ce profil sont sauvegardés sur un serveur centralisé. Si des fichiers chiffrés sont présents sur un des postes dont les fichiers sont enregistrés sur le serveur centralisé, il est possible d’identifier le poste de travail compromis. - Communication en cours d’incident
En cas de contamination par un ransomware, le poste de travail infecté est généralement chiffré en premier. Le collaborateur utilisant ce poste de travail rencontrera des difficultés d’utilisation et ne pourra plus accéder à certains de ses fichiers. Ainsi, en cas d’incident détecté, il est possible de communiquer à l’ensemble de l’entreprise que les utilisateurs rencontrant des difficultés sur leur poste sont invités à prendre contact avec le service informatique.
Comment réagir une fois la source de l’infection identifiée ?
Une fois les postes infectés identifiés, les actions suivantes peuvent être menées :
- Déconnecter du réseau le poste de travail infecté
Dès que le poste est identifié, il convient de le déconnecter du réseau. La déconnexion du réseau l’empêche de continuer toute activité de chiffrement des serveurs de fichiers. - Surveiller les accès réseau après déconnexion du poste de travail
Les rançongiciels peuvent se propager via des campagnes de spam, ciblées ou non ; il est possible que plusieurs postes de travail soient infectés. Il est donc nécessaire de surveiller l’activité réseau après déconnexion du poste de travail pour s’assurer qu’il n’y a pas d’autre poste de travail infecté et les déconnecter le cas échéant. - Déconnecter les serveurs de fichiers du réseau
En parallèle de l’identification du poste de travail infecté, il est possible de déconnecter les serveurs de fichiers. En particulier, cette méthode permet d’identifier si ce ne sont pas les serveurs de fichiers eux-mêmes qui sont infectés. - Reconnecter le poste de travail assaini et restaurer des sauvegardes sur les serveurs de fichiers
Une fois le poste de travail assaini (suppression du malware, réinstallation, etc.), il est possible de le reconnecter au réseau. Il convient également de restaurer des sauvegardes sur le serveur de fichiers afin de restaurer les documents qu’il contient dans leur état d’origine.
À ce stade, l’attaque est désormais terminée et l’activité du SI peut revenir à la normale.
Comment empêcher une future attaque ?
Afin d’éviter ou limiter les risques liés à une attaque par ransomware, il convient avant tout de s’assurer du bon fonctionnement de sa sécurité opérationnelle : présence d’un logiciel antivirus à jour sur l’ensemble du parc, bon fonctionnement des infrastructures de filtrage web et email.
De même, il est essentiel de réaliser des sauvegardes régulières des fichiers, et de tester le bon fonctionnement de la restauration ! De cette manière, en cas d’attaque par un ransomware, il sera possible de restaurer les documents du serveur à une version antérieure.
Il est également nécessaire de sensibiliser les utilisateurs à ce type d’attaque et à la marche à suivre en cas de suspicion d’infection. Cette marche à suivre peut inclure la déconnexion du poste de travail en cas de détection de dysfonctionnement du poste et la remontée d’alerte au service informatique ou au SOC/CERT.
Il existe de plus des méthodes de détection d’attaque spécifiques aux rançongiciels :
- Mettre un fichier témoin sur l’ensemble des partages réseaux existants et le surveiller
Ce fichier témoin ne doit être modifié par personne. S’il est modifié, il s’agit probablement d’une modification automatisée d’un ransomware. Il convient donc de surveiller son contenu régulièrement et de lever une alerte dès qu’il est modifié. - Définir et monter un partage réseau témoin sur l’ensemble des postes de travail
Tout accès en écriture sur ce partage réseau doit lever une alerte.
Les lettres de lecteur « A », « Z » et « M » peuvent être mises sur ce lecteur de réseau afin d’identifier un ransomware commençant le chiffrement sur les lecteurs réseau dans l’ordre alphabétique, anti-alphabétique, ou encore à partir de la lettre « M » (lettre utilisée en premier dans la plupart des ransomware).
Un exemple d’implémentation de ce type de mesures est Honeyfile ,qui permet de surveiller certains fichiers et, dès que ceux-ci sont modifiés ou supprimés, d’éteindre le poste de travail d’un utilisateur ou d’empêcher tout accès au disque dur de l’utilisateur par un logiciel.