Qu’est-ce que GoldenEye Ransomware et comment s’en protéger ?
Le ransomware GoldenEye a eu une courte vie, n’ayant fonctionné qu’en décembre 2016. De ce fait, ce virus ransomware n’est pas très connu. Cependant, il s'agit d'une version d'un groupe de ransomwares très connu appelé Petia
Le Petya original a fait surface en mars 2016. Il a connu quatre versions successives, et GoldenEye était la dernière d'entre elles. Le système de rançongiciel Petya est originaire de Russie et la version GoldenEye est spécifiquement ciblée Entreprises allemandes .
Quelle est la particularité de GoldenEye ?
Le ransomware GoldenEye est une combinaison de deux stratégies d'attaque. Premièrement, deux virus sont téléchargés ensemble. Ceux-ci sont appelés Micha et Petia . Deuxièmement, comme tous les ransomwares, ces virus chiffrent les données puis exigent un paiement pour obtenir la clé de déchiffrement.
Petya était révolutionnaire à l’époque car il ne crypte pas les fichiers ; il crypte le système de fichiers. Cette stratégie rend le chiffrement incontournable .
Leurs propriétaires ne lancent pas d'attaques Petya et GoldenEye. Au lieu de cela, ces systèmes sont mis à la disposition des autres de manière Ransomware en tant que service format. Ainsi, les nombreuses attaques ciblées ont été commandées par de nombreuses personnes différentes.
Petya a été lancé pour la première fois pour une clientèle limitée dans une version bêta. Cela s'appelait Petya rouge parce que son logo et sa demande de rançon apparaissaient sur un fond rouge. Malheureusement, Petya n’a pas eu autant de succès car il nécessitait des privilèges d’administrateur pour accéder au système d’exploitation et effectuer son cryptage.
Lorsque le système a été lancé en version générale, les développeurs ont amélioré le design et modifié son thème de couleurs, le rendant ainsi plus efficace. Petya vert . Malheureusement, cette version a introduit Mischa, qui fonctionne comme un attaquant de ransomware traditionnel en cryptant les fichiers. Le système Petya tentait maintenant son attaque de bas niveau, et s’il ne parvenait pas à atteindre le niveau Administrateur, il lançait Mischa.
Une version intermédiaire, la version 2.5, corrige les bugs du ransomware. Cela fonctionnait toujours sous le nom de Green Petya. En tant que quatrième version de Petya, version 3.0, GoldenEye était le système perfectionné. GoldenEye lance Mischa et Petya, Mischa courant en premier. Donc, c'est un double cryptage système. Marquant le changement de Green Petya, la livrée de GoldenEye est jaune et noire.
D’où vient le rançongiciel GoldenEye ?
Les créateurs de GoldenEye s'appellent Solutions de cybercriminalité Janus . Il ne s’agit pas d’un grand groupe de hackers parrainé par l’État. Cependant, des indices dans ses conventions d'imagerie, de marque et de dénomination indiquent que le groupe est basé en Russie .
Janus Cybercrime Solutions gérait un compte Twitter sous le nom Secrétaire Janus . Le compte a été actif en 2016 et 2017, mais il n'y a eu aucune publication récente sur le profil.
Que signifie GoldenEye ?
Si vous êtes fan de Bond, vous avez probablement vu le film Oeil doré . C’est l’inspiration du nom du ransomware GoldenEye. Le groupe de hackers lui-même tire également son nom du film.
Dans GoldenEye, une organisation criminelle russe appelée Syndicat Janus profite du chaos lors de l'effondrement de l'Union soviétique en piratant le système de contrôle de deux satellites soviétiques. Ces satellites s'appellent Petya et Mischa. Ensuite, ils lancent une arme à impulsions électromagnétiques appelée GoldenEye.
Le groupe de hackers russes a pris le nom de Janus et a utilisé le nom d'un des satellites, Petia , pour son ransomware. Quand ils ont eu besoin d'un autre nom pour leur deuxième virus, Micha était disponible. Cependant, il n’y avait que deux satellites dans le film, alors lorsque les pirates cherchaient un troisième nom, ils ont eu recours au titre du film.
Le fait que les hackers s’identifient si étroitement à ce syndicat du crime fictif indique qu’ils sont russes.
Successeurs de GoldenEye
La renommée de la série de ransomwares Petya est due aux actions d'autres pirates informatiques après que Janus Cybercrime Solutions a abandonné son service RaaS fin 2016. Plusieurs autres groupes de pirates ont récupéré le code du ransomware GoldenEye et l'ont intégré dans leur ransomware. Petya avait une bonne réputation en raison de sa stratégie révolutionnaire. Donc, il a eu ses imitateurs.
Les copieurs notables du ransomware GoldenEye et du Petya original sont :
- PetrWrap – Un dérivé de Green Petya qui utilise son mécanisme d’intrusion.
- Santana – Un système avec toutes les caractéristiques d’une version de test et d’une copie de GoldenEye.
- Petya+ – Il s’agit d’un imitateur de Petya plutôt que d’une copie. Il verrouille l’écran et demande une rançon, portant le nom Petya, mais n’effectue aucun cryptage.
- PasPetya – Il s’agit de la version la plus destructrice de Petya qui a rendu célèbre toute la série. Le groupe de hackers Sandworm l’a rédigé à la demande du GRU, le service de renseignement militaire russe. Ce ransomware est également connu sous le nom de ÉternelPetya et ExPetr .
Bien qu’aucune des versions de Petya n’ait été utilisée à des fins inoffensives, NotPetya est la source fiable d’accusations concernant le système Petya. Ce ransomware ne fait pas vraiment partie du cycle Petya, contrairement au ransomware GoldenEye.
Le système NotPetya a été identifié comme une arme utilisé par le gouvernement russe en juin 2017 pour affaiblir sérieusement Ukraine et aider les séparatistes du Donbass à prendre le dessus dans leur lutte pour l’indépendance.
Si 80 % de toutes les attaques NotPetya ont eu lieu en Ukraine, des entreprises d’autres pays ont également été touchées. Malgré ses similitudes avec GoldenEye, NotPetya n’est pas en fait un ransomware. Il écrase simplement le Master Boot Record et ne dispose d'aucun mécanisme pour annuler ces dommages. un essuie-glace .
Comment fonctionne le rançongiciel GoldenEye ?
GoldenEye avait une vie très courte . Ses premières attaques ont été lancées le 5 décembre 2016 et sa campagne n’a pas duré plus d’un an. Alors que toutes les versions précédentes de Petya communiquaient en anglais, GoldenEye écrivait aux cibles en anglais. allemand parfait . Il s’agissait d’une édition sur mesure d’un système proposé en tant que système Ransomware-as-a-Service. Étrangement, le groupe Janus devrait choisir de cibler uniquement l’Allemagne. Il est possible que GoldenEye ait été construit sur mesure pour un client majeur de la plateforme Petya RaaS.
La routine d’invasion d’une attaque GoldenEye a commencé par des recherches. Chaque cible était une entreprise annonçant un poste vacant. L'e-mail de ciblage a été envoyé en réponse à une annonce, GoldenEye n'a donc pas été utilisé pour les envois massifs. Les e-mails provenaient toujours de Rolf Drescher . Il s'agissait d'une fouille menée par un cabinet de conseil allemand en cybersécurité Dipl.- Ing. Rolf B. Drescher VDI & Partner qui a proposé les services d'atténuation Petya.
L'e-mail envoyé aux cibles contenait deux pièces jointes : un CV au format PDF et un fichier XLS. Le Fichier XLS contient le programme d'installation de GoldenEye implémenté sous forme de macros, qui se déclencheraient à l'ouverture du fichier.
Les macros ont ouvert une connexion à un serveur distant, téléchargé le code pour Micha , puis je l'ai exécuté. L'installé a ensuite copié et exécuté le bas niveau code Petya . GoldenEye a perfectionné Petya et surmonté le blocage des systèmes en supprimant l'obligation pour le compte utilisateur d'avoir des droits d'administrateur pour accéder au système d'exploitation.
Au démarrage, GoldenEye a planté le PC et l'a redémarré. L'utilisateur a ensuite été montré un faux CHKDSK écran, qui a été écrit en anglais. Cela montrait une barre de progression, apparemment pour montrer l'avancement du contrôle. Cependant, cela a entravé le processus de cryptage.
GoldenEye a exploité une faille dans le système d'exploitation Windows pour écraser le Master Boot Record (MBR), désactiver l'option de démarrage en mode sans échec, puis chiffrer la Master File Table (MFT). Le système GoldenEye utilise RSA et AES chiffrements de chiffrement pour sa phase Mischa et Salsa20 cryptage pour ses processus Petya.
Une fois le processus de cryptage MFT terminé, le PC affiche le logo GoldenEye, un crâne et des os croisés composés de caractères de texte. Le ransomware a ensuite affiché ses instructions de rançon.
Pour se remettre de cette attaque, l'utilisateur a été invité à installer le Navigateur Tor , surfez sur un site Web spécifique et saisissez un identifiant unique. Ce site Web a ensuite donné à la victime des instructions sur la manière de payer la rançon. Bitcoin . Une fois le paiement effectué, l'utilisateur a reçu une clé de décryptage pour le casier MFT et un utilitaire de décryptage pour inverser le cryptage Mischa.
Contrairement à certains systèmes de ransomware, la routine de décryptage a bien fonctionné et les cibles qui ont payé la rançon ont pu se rétablir complètement.
Les meilleurs outils pour se protéger contre le ransomware GoldenEye
La meilleure protection contre le ransomware GoldenEye est de éduquer les utilisateurs contre l’ouverture de pièces jointes ou le suivi de liens dans des e-mails. Vous devez également sauvegarder régulièrement tous les appareils de votre système séparément pour éviter qu'un virus n'infecte les fichiers de sauvegarde de l'ensemble de votre système lors du téléchargement à partir d'un point de terminaison.
Il existe d'excellents outils disponibles pour se protéger contre GoldenEye et toutes les autres attaques de ransomware. En voici trois.
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike est un système de détection et de réponse des points de terminaison qui comprend des modules résidents sur chaque point de terminaison ainsi qu'un module basé sur le cloud. Alors que les modules de point de terminaison assurent une protection constante pour chaque appareil, le service cloud assure la coordination de tous les efforts et fournit la puissance de traitement pour l'ensemble du système.
Cet outil est parfait pour se défendre contre le ransomware GoldenEye et tous les autres logiciels malveillants car CrowdStrike a une équipe de recherche qui détecte rapidement les nouveaux logiciels malveillants et suit leur développement.
L'agent de périphérique est également disponible en tant que service antivirus autonome de nouvelle génération. C'est ce qu'on appelle CrowdStrike Faucon Empêcher . En surveillant toutes les installations de Falcon Prevent, le système Falcon Insight peut suivre rapidement toutes les activités sur l'ensemble du système.
Le service Falcon Insight partage les informations sur les attaques entre tous les clients du système. Cela signifie que dès qu'un client subit une attaque de nouveau malware , toutes les instances des autres clients sont notifiées. Il n’est pas possible de planifier des modèles de logiciels malveillants, tels que les ransomwares, car il y aura toujours de nouvelles variantes. Le travail essentiel consiste à détecter toute activité inhabituelle et à bloquer cet appareil pour empêcher la propagation de l’infection. C'est le ' réponse » fait partie du système Insight.
Vous pouvez obtenir unEssai gratuit de 15 joursde Falcon Prevent.
CrowdStrike Falcon Insight Commencez un essai GRATUIT de 15 jours
deux. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus se concentre sur la surveillance de l’intégrité des fichiers. C'est un excellent système à choisir si vous suivez une norme de sécurité de confidentialité des données, telle que PCI DSS , HIPAA , ou RGPD . C'est également un système très approprié pour la protection contre le ransomware GoldenEye et autres logiciels malveillants qui touchent les fichiers.
Il s'agit d'un logiciel sur site qui se concentre sur la défense de Windows, la cible principale du ransomware GoldenEye. Le logiciel de ce service fonctionne sur Serveur Windows .
Le système DataSecurity Plus suit toute l'activité des fichiers . Vous pouvez choisir la façon dont le système réagit lorsqu'il détecte des modifications de fichiers non autorisées. Il enverra une alerte pour vous informer d'une activité inhabituelle. Néanmoins, vous pouvez également spécifier des réponses automatisées, telles que couper l'appareil du réseau, l'éteindre ou déconnecter l'utilisateur.
ManageEngine DataSecurity Plus est disponible pour un 30 jours d'essai gratuit .
3. BitDefender GravityZone
BitDefender GravityZone offre de nombreux points de protection contre le ransomware GoldenEye et d’autres types de logiciels malveillants. Il s'agit d'un package de sécurité complet qui protège les points finaux et les réseaux et recherche les virus à chaque emplacement.
GravityZone comprend un système de gestion des sauvegardes ainsi que le point final antivirus protection. Cela signifie que les ransomwares sont repérés dès qu'ils sont téléchargés sur un point final, mais si, à l'avenir, un nouveau ransomware parvient à contourner les contrôles antivirus, il sera repéré avant d'être téléchargé sur les serveurs de sauvegarde. Gravity Zone parvient également à restaurer les actions et effectue d'autres contrôles antivirus au cours de cette phase.
Le système GravityZone comprend également gestion de l'intégrité des fichiers , gestion de la configuration, analyse des vulnérabilités et correctifs automatisés. Ce sont tous des outils essentiels pour se prémunir contre les ransomwares. De plus, avec cette suite de services, les utilisateurs bénéficient d'une protection immédiate, durcissement du système , les fonctions de restauration du système et la surveillance des fichiers, qui sont tous des outils dont vous avez besoin pour vous protéger contre le ransomware GoldenEye.
GravityZone fonctionne comme une appliance virtuelle, et il est disponible pour un essai gratuit d'un mois .
