Qu’est-ce que le ransomware CryptoLocker et comment s’en protéger ?
Rançongiciel CryptoLockeront fait le tour du monde en 2013 et 2014 au cours d'une frénésie de cybercriminalité de huit mois
Bien queCryptoLockern’est plus une menace, il laisse derrière lui une traînée de variantes et d’imitateurs, il vaut donc toujours la peine d’être étudié. La cible de CryptoLocker était les fenêtres des ordinateurs.
Le mécanisme de livraison du ransomware CryptoLocker était un cheval de Troie . Cela a été propagé par un botnet appelé Gameover ZeuS . Le ransomware a fait pression sur les victimes pour qu'elles se dépêchent et paient en imposant une limite de temps à la disponibilité de la clé de déchiffrement.
CryptoLocker a été déployé pour la première fois le 5 septembre 2013 et a été fermé en mai 2014. Au cours de sa période d'exploitation, il a attaqué environ 500 000 ordinateurs.
Qu'est-ce qu'un botnet ?
UN réseau de zombies est un groupe d'ordinateurs infectés contrôlés depuis un serveur central via Internet. Le mécanisme actif sur l'ordinateur capturé peut ouvrir une connexion et analyser le serveur distant pour obtenir des instructions – cet hôte est appelé le « commander et contrôler ' (C&C) serveur.
Les ordinateurs du botnet sont appelés « des morts-vivants .» Ils ne sont pas entièrement contrôlés par les pirates et continuent de fonctionner comme d’habitude. Dans la plupart des cas, ces entreprises ne réalisent même pas que leurs appareils fonctionnent pour d’autres personnes.
Le but d’un botnet est de répartir une tâche entre plusieurs ordinateurs. Certains botnets contrôlent des centaines de milliers d'ordinateurs privés, tandis que d'autres contrôlent Appareils IoT , comme les caméras de sécurité. Les mécanismes de défense des logiciels de cybersécurité peuvent lire l'adresse IP d'un attaquant et la bloquer. Ainsi, les pirates ont inventé des botnets dans lesquels chaque ordinateur n’attaque qu’une seule fois une cible.
Généralement, ces légions d'ordinateurs sont utilisées dans Attaques DDoS , où de nombreux ordinateurs effectuent simultanément une demande de connexion à un serveur Web, le submergeant ainsi. Ils sont également utilisés pour les campagnes de spam.
Filtres anti-spam sur la plupart des systèmes de messagerie, ils détournent les e-mails d'une seule adresse IP en masse en envoyant ces envois volumineux depuis de nombreux endroits différents, le botnet esquivant ce blocage.
Gameover ZeuS
Le botnet Gameover ZeuS a été créé et contrôlé par Evgeniy Mikhailovich Bogachev, un hacker russe. Il comprenait plus de 1 million d'ordinateurs zombies . Le système utilisait une architecture Peer-to-Peer pour la communication avec le serveur C&C. Cela a réduit le trafic entrant et sortant du serveur et a rendu le C&C plus difficile à tracer.
Le but principal de Gameover ZeuS était fraude bancaire . La campagne de mailing pour le ransomware CryptoLocker était une tâche secondaire du botnet. Non seulement le serveur C&C émettait des instructions pour envoyer un e-mail standard, mais il générait également faux noms de domaine . Les e-mails n'ont besoin d'une adresse source valide que si l'expéditeur a besoin d'une réponse. Cependant, la structure des attaques de ransomware signifie qu’aucune réponse n’est nécessaire pour que la campagne réussisse.
En juin 2014, une alliance internationale d'organismes chargés de l'application de la loi a fermé les serveurs Gameover ZeuS C&C dans le cadre d'un exercice planifié appelé Opération Tovar .
Comment commence une attaque de ransomware CryptoLocker ?
CryptoLocker avait deux méthodes d'entrée. L'un était avec un spam qui contenait un virus caché dans une pièce jointe. L'autre était via des sites de téléchargement illégaux, qui fournissaient le programme d'installation du virus fourni avec la vidéo dans un fichier Zip ou rendaient la vidéo inutilisable mais avec un fichier texte d'accompagnement demandant au destinataire de télécharger un plug-in codex. Ce plug-in était le programme d'installation du cheval de Troie.
L'e-mail était censé provenir d'une compagnie maritime avec un avis de livraison en pièce jointe. Deux méthodes ont été utilisées pour installer le cheval de Troie sur l'ordinateur cible. L’une consistait à protéger le fichier par mot de passe avec une note dans l’e-mail contenant le mot de passe. L'application du mot de passe a déverrouillé le fichier et libéré le programme d'installation.
Il est difficile de comprendre pourquoi le pirate informatique s’est soucié de cette méthode de saisie du mot de passe, car son autre méthode de pièce jointe était tout aussi efficace. C'était un fichier Zip , qui semblait contenir un PDF. Cependant, il s'agissait d'une fausse extension car lorsque l'utilisateur la décompressait et cliquait sur le fichier pour l'ouvrir, le fichier s'exécutait en tant qu'exécutable et installé le ransomware en le copiant depuis le serveur C&C.
Que fait CryptoLocker ?
CryptoLocker démarre ses routines dès son lancement – il ne le retarde pas. Le système copie le fichier programme dans le %DONNÉES D'APPLICATION% et %LOCALAPPDATA% répertoires. Le programme d’installation ajoute une clé au registre de l’ordinateur pour que le logiciel s’exécute au démarrage. Il lance ensuite le ransomware en deux processus : le second est un module de persistance cela relancera le programme ransomware si son processus est terminé.
Dès que le programme principal s'exécute, il analyse tous les lecteurs accessibles et les répertorie. Il visite ensuite chaque lecteur contenant des fichiers non exécutables, enregistre ses répertoires, puis parcourt la liste en les chiffrant. Le système utilise Cryptage RSA avec une clé de 2048 bits . Le processus de cryptage crée un nouveau fichier. Cependant, le processus commence avec un fichier vierge portant le nom d'origine, puis le supprime. L'écrasement de l'original le rend irrécupérable via la corbeille ou tout autre système de récupération de fichiers.
Une fois qu'un fichier a été crypté, son nom d'origine est enregistré dans un fichier texte et écrit dans le registre en HKEY_CURRENT_USER/SoftwareCryptoLockerFiles .
Le nom du fichier crypté est modifié pour avoir une extension supplémentaire à la fin. Différentes versions de CryptoLocker avaient d'autres conventions de dénomination pour les fichiers cryptés. L'extension ajoutée était soit .chiffré , .cryptlocker , ou une chaîne de sept caractères aléatoires.
Une fois tous les fichiers non exécutables d'un répertoire chiffrés, le programme écrivait un fichier texte appelé DECRYPT_INSTRUCTION.txt ou un fichier HTML appelé DECRYPT_INSTRUCTIONS.html . Cela comprenait une liste des fichiers cryptés. Une variante ultérieure, appelée CBT-Locker, a écrit un fichier répertoriant tous les fichiers cryptés de l'exercice pour tous les répertoires et l'a enregistré dans le répertoire où il a commencé son travail. Ce fichier s'appelait, !Décrypter-Tous-Fichiers-[7 caractères ALÉATOIRES].TXT ou !Décrypter-Tous-Fichiers-[7 caractères ALÉATOIRES].BMP .
Après avoir chiffré tous les fichiers non exécutables dans un répertoire, il passait au suivant jusqu'à ce que tous les fichiers d'un lecteur aient été chiffrés. Il passerait ensuite au lecteur suivant accessible par le compte utilisateur actuel et répéterait le processus. Les activités du ransomware CryptoLocker s'étendraient à tous les lecteurs auxquels le compte d'utilisateur actif pourrait accéder, notamment les lecteurs montés, les lecteurs partagés et les lecteurs cloud.
Le rançongiciel n'a pas pu se reproduire ou vous déplacer sur le réseau. Il n’incluait pas d’utilitaire permettant à tout pirate informatique d’accéder manuellement à l’ordinateur infecté.
Chiffrement à clé publique
Le ransomware CryptoLocker a utilisé un chiffrement à clé publique pour son cryptage. Le chiffrement à clé publique est également appelé cryptage asymétrique . En effet, les processus de cryptage et de déchiffrement n'utilisent pas la même clé. Cela signifie que le processus de décryptage ne consiste pas simplement à inverser directement le cryptage. Plutôt, une formule complémentaire est utilisé pour décoder le texte crypté.
Il est impossible de déterminer la clé de déchiffrement à partir de la clé de cryptage. Par conséquent, tant que le créateur du chiffrement maintient le décryptage comme étant critique privé , peu importe qui connaît la clé de cryptage. Ainsi, la clé de chiffrement est publique, et la clé de décryptage est secrète .
CryptoLocker utilise le système de cryptage à clé publique RSA. RSA est très largement utilisé car intégré à la phase d’authentification du système SSL. SSL utilise le Sécurité de la couche de transport protocole (TLS), centré sur le cryptage RSA.
Dans le cas de CryptoLocker, le virus contacte le serveur C&C, qui envoie la clé publique pour le cryptage. Comme cette clé n’est d’aucune utilité pour décrypter des fichiers, peu importe si des espions interceptent la transmission de la clé. Peu importe également si l’utilisateur connaît la clé de cryptage. Ainsi, la clé est laissée dans les instructions de rançon pour référence qui permet au serveur C&C de localiser la bonne clé de déchiffrement à envoyer une fois le paiement effectué. Lorsqu’il a acquis la clé de cryptage pour la première fois, le ransomware l’a stockée pour référence sur l’ordinateur de la victime dans la clé de registre. HKCUSoftware/CryptoLockerPublicKey .
CryptoLocker maintenait une base de données de toutes les clés de chiffrement qu'il avait déjà utilisées. Cependant, il a cessé de mettre la clé de déchiffrement à la disposition de la victime après 72 heures s'était écoulé à la suite d'une attaque. Cela ajoutait un élément de temps à la rançon, ce qui incitait l'utilisateur à se dépêcher et à payer.
Coquinement, en novembre 2013, les pirates ont mis en place un service apparemment proposé par des consultants en récupération de données proposant de restaurer les fichiers des victimes qui n'avaient pas respecté le délai de 72 heures et n'étaient plus en mesure d'obtenir la clé de décryptage des fichiers. Le service de récupération était facturé à un prix plus élevé que la rançon initiale.
Au cours de l'opération Tovar, des analystes de sécurité travaillant avec les autorités ont capturé une copie de la base de données des clés de chiffrement. L'analyse de la base de données a révélé que le ransomware CryptoLocker avait créé plus de 3 millions de dollars au cours de sa vie. En outre, les analystes ont découvert que le processus ne renvoyait pas toujours la bonne clé de déchiffrement dans 25 pour cent des cas où la victime a payé la rançon. On a calculé que seulement 1,3 pour cent des victimes ont payé la rançon.
Le processus de rançon
Une fois le processus de cryptage terminé, le ransomware a modifié le fond d'écran du bureau de l'ordinateur cible, affichant ainsi les instructions de paiement. Le prix demandé était 400 $ , qui pourrait être payé à hauteur de 400 euros ou l’équivalent Bitcoin. Ceux qui payaient en espèces le faisaient via MoneyPak .
La victime a été prévenue que la clé de déchiffrement ne serait disponible que pendant 72 heures, mais ce délai a été 100 heures dans certaines variantes .
Bloquer les attaques CryptoLocker
Alors que le ransomware CryptoLocker incite les utilisateurs à le télécharger et à l'activer, la défense la plus robuste contre ce système est sensibilisation des utilisateurs . Bien que CryptoLocer n’existe plus, de nombreux imitateurs circulent encore. Il est donc essentiel de s’assurer que les utilisateurs sont conscients des conséquences de leurs actes. Il est également vital de protéger les données sur les systèmes, surtout si vous suivez une norme de confidentialité des données .
Les ordinateurs de bureau exécutant Windows étaient la cible du rançongiciel CryptoLocker. Vous avez besoin détection et réponse des points finaux (EDR) installés sur chaque appareil de votre réseau pour vous protéger contre les attaques de ransomwares comme CryptoLocker. Considérez les deux systèmes de sécurité suivants.
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike combine un EDR sur chaque point de terminaison avec un coordinateur basé sur le cloud. Le module sur site s'appelle Faucon Empêcher .
Les agents de point final fonctionnent de manière indépendante, ce qui signifie qu’ils peuvent maintenir la protection même s’il n’y a pas de connexion à Internet. Le coordinateur cloud reçoit le journal des événements téléchargements à partir de tous les points finaux d'un réseau lorsque les liens sont disponibles. Le système analyse ces données en fonction de renseignement sur les menaces recueillies auprès de tous les clients CrowdStrike. Ce système recherche un comportement anormal et peut ainsi identifier attaques du jour zéro .
Insight comprend réponse capacités. Le service informatique peut isoler un ordinateur du réseau pour empêcher la propagation d'un virus. Il est également capable de bloquer les communications avec des adresses IP suspectes et de suspendre les comptes d'utilisateurs.
Vous pouvez obtenir unEssai gratuit de 15 joursde Falcon Prevent.
CrowdStrike Falcon Insight Commencez un essai GRATUIT de 15 jours
deux. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus est un protecteur de données sensibles spécialement conçu pour les entreprises qui doivent se conformer aux normes HIPAA, PCI DSS et GDPR. La protection que ce service offre aux fichiers en fait également un bon choix pour bloquer les ransomwares. Il comprend des systèmes de découverte et de catégorisation des données, qui identifient informations personnellement identifiables (PII).
Le service surveille e-mails et Périphériques USB pour bloquer les téléchargements et empêcher la divulgation de données. Il dispose également d'un moniteur d'intégrité des fichiers pour se prémunir contre les modifications non autorisées. Le service peut être configuré pour mettre en œuvre automatiquement des actions d'identification de falsification de fichiers.
Le logiciel pour ManageEngine DataSecurity Plus protège les systèmes Windows et s'installe sur Serveur Windows, et il est disponible pour un essai gratuit de 30 jours .