211service.com
Deux façons d'arrêter Ransomware dans son élan
Les ransomwares sont devenus une menace qui frappe aussi bien les entreprises que les particuliers, mais les chercheurs ont fourni des preuves alléchantes que nous pourrions bientôt être en mesure de les arrêter avant qu'ils ne causent des dommages.
La catégorie de logiciels malveillants qui connaît la croissance la plus rapide est celle des ransomwares cryptographiques, des logiciels qui infectent un ordinateur par les mêmes moyens que les autres logiciels malveillants, puis brouillent discrètement les fichiers des utilisateurs, les rendant illisibles. Au moment où les victimes découvrent le problème, le logiciel malveillant leur explique qu'elles doivent payer une redevance pour la clé de cryptage qui rendra leurs fichiers à nouveau utilisables.
Deux équipes de recherche ont avancé de nouvelles façons de détecter les rançongiciels avant qu'ils ne causent de réels dégâts. Les fabricants de logiciels antivirus sont en retard sur la détection de ransomwares spécifiques, mais ils disent que cela arrive.
Avec un cryptage fort facilement disponible pour les créateurs de logiciels malveillants, il n'y a aucun moyen dans la plupart des cas pour les utilisateurs dont les fichiers ont été cryptés de récupérer les originaux à moins qu'ils n'aient une archive antérieure à l'infection ou qu'ils ne paient les frais. Les rançongiciels reposent sur l'honneur des voleurs, et la plupart du temps, le paiement des frais libère la clé de cryptage nécessaire. Prévenir une infection ou l'arrêter dans son élan est la seule autre issue.
Selon un rapport Symantec récent , les attaquants font des millions de tentatives pour infecter les utilisateurs chaque jour et des dizaines de milliers de systèmes sont pris en otage chaque mois. Alors que les rapports sur les frais élevés peuvent dominer les nouvelles, comme un hôpital dont les fichiers ont été retenus en otage jusqu'à ce qu'il ait payé 17 000 $ pour les déverrouiller, les distributeurs de rançongiciels recherchent généralement un coup rapide que la plupart des consommateurs paieront à contrecœur. Les frais moyens requis pour déverrouiller les fichiers ont plus que doublé, passant de 294 $ fin 2015 à 679 $ en juin 2016, selon Symantec.
Les chercheurs ont récemment présenté deux articles qui offrent une détection efficace des actions uniques utilisées par les ransomwares pour prendre en otage les fichiers des utilisateurs. Les fabricants d'antivirus disent que même si ces approches peuvent fonctionner en laboratoire, il est plus difficile de les reproduire dans des conditions réelles en raison de l'adaptation rapide des créateurs de logiciels malveillants. Cependant, des changements sont à venir qui devraient réduire la valeur économique du déploiement de ransomwares.
Des chercheurs de la Northeastern University ont créé un système de numérisation hors ligne , baptisé Unveil, qui lance un malware suspecté dans un environnement virtuel protégé, comme un cerveau dans une boîte, pour surveiller son comportement de manière contrôlée, puis évalue rapidement s'il s'agissait ou non d'un ransomware. Un groupe distinct de chercheurs de l'Université de Floride et de l'Université Villanova créé un système de surveillance en temps réel appelé CryptoDrop qui pourrait arrêter les ransomwares presque immédiatement.
Les deux projets ont surveillé le comportement fondamental du ransomware : lire les données de nombreux documents, puis remplacer ces fichiers (en les supprimant ou en les écrasant) par de nouveaux contenus qui ne sont pas seulement entièrement différents, mais également clairement cryptés. Amin Kharraz de l'équipe Unveil affirme que le comportement de bas niveau de tous les ransomwares correspond à un modèle qui peut être identifié.
Unveil pourrait également vérifier si un écran de type rançon est apparu pendant l'exécution du logiciel, car ces messages demandant de l'argent sont assez différents de ce que la plupart des systèmes d'exploitation et des logiciels affichent normalement.
Vincent Weafer, vice-président de McAfee Labs d'Intel Security, trouve le travail intéressant, mais il n'est pas convaincu qu'il soit pleinement efficace dans une utilisation réelle. 'Si 90 % des défenseurs utilisent les mêmes caractéristiques, les méchants essaieront de modifier et d'obscurcir.'
Par exemple, si un outil examine si un fichier est passé d'un format texte brut à un format crypté, les attaquants peuvent crypter uniquement des parties d'un fichier pour le rendre illisible et irrécupérable, sans signaler au logiciel qu'il a suffisamment changé. Ou si des modifications rapides apportées à un grand nombre de fichiers déclenchent une alerte, les ransomwares peuvent s'en aller lentement et patiemment. Les auteurs des deux articles, dans des entretiens séparés, affirment que le comportement de base des ransomwares ne peut être que légèrement déguisé, mais pas efficacement caché.
Les chercheurs d'Unveil ont testé un large échantillon de logiciels malveillants collectés dans la nature et ont estimé un taux de précision de près de 97 % dans l'identification d'un sous-ensemble d'environ 14 000 variantes de ransomwares ; ils ont même découvert une nouvelle famille que les entreprises anti-malware ne connaissaient pas. Les auteurs de CryptoDrop ont testé 492 exemples connus (tirés de 14 grandes familles de ransomwares) et ont reconnu 100 % en temps réel avec une perte médiane de 10 fichiers avant que l'activité ne soit reconnue et arrêtée.
Les deux groupes d'universitaires ont trouvé un terrain fertile pour l'exploration, mais Weafer de McAfee Labs et Sean Sullivan, conseiller en sécurité chez F-Secure Labs, préviennent que tester un ensemble de fichiers fictifs et un sous-ensemble de logiciels malveillants ne correspond pas au désordre de le vrai monde. Les deux mettent l'accent sur la détection à un stade précoce par un logiciel qui examine l'activité des applications. Ils disent également que les ransomwares ne sont pas différents des autres infections qui se propagent sans distinction en frappant les systèmes d'exploitation plus anciens, les systèmes non corrigés et ceux exécutant Flash et Java.
Il est également vrai que les ransomwares attirent davantage l'attention parce qu'ils sont 'dans votre visage', comme le dit Weafer, alors que la plupart des logiciels malveillants se cachent et peuvent mener des activités sans rapport avec l'utilisateur dont la machine a été compromise.
Bien que le travail spécifique de ces deux équipes universitaires ne se retrouve pas directement dans les logiciels anti-malware, Weafer affirme que d'ici la fin de l'année, de nouvelles approches pour bloquer les ransomwares commenceront à être intégrées dans l'industrie des logiciels de sécurité. La mise en place de contrôles plus stricts avant le lancement d'une application, comme la vérification d'une base de données centrale pour savoir si l'application a déjà été exécutée sur n'importe quel ordinateur n'importe où dans le monde, fait partie des stratégies que les entreprises sont prêtes à discuter.
'Les menaces très médiatisées ne durent pas éternellement', déclare Weafer. Les ransomwares disparaîtront et seront remplacés par la prochaine menace.