Qu'est-ce que le ransomware RSA-4096 et comment s'en protéger ?
Rançongiciel RSAutilise un type spécifique de cryptage pour paralyser les entreprises ciblées. C'est le Chiffre RSA
RSA-4096 est un chiffrement légitime . C'est l'un des meilleurs systèmes de cryptage que vous puissiez utiliser pour protéger vos données lors de la transmission. Mais malheureusement, un système universellement disponible peut être utilisé aussi bien par des mécréants que par des hommes d’affaires honnêtes. Le ransomware RSA-4096 est une attaque de ransomware qui utilise le chiffrement RSA avec une clé de 4096 bits – ce n'est pas le nom d'un package de ransomware spécifique.
Qu’est-ce que le RSA ?
Le nom ' RSA » s'applique à un chiffrement et à l'entreprise qui gère et distribue le système de chiffrement. Cette entreprise s'appelle RSA Sécurité LLC .
Trois personnes ont créé le système de cryptage RSA : Ron Rivest , Adi Shamir , et Léonard Adleman . Le nom du système vient de la première lettre de ces trois noms de famille. Puis travaillant au Massachusetts Institute of Technology (MIT), les trois modèles RSA en 1977. Le produit qu'ils ont créé a obtenu un brevet en 1983. Mais, malheureusement, ce brevet a été accordé au MIT, et non aux trois inventeurs individuels.
Bien qu'ils ne détiennent pas le brevet, les trois hommes ont convenu avec le MIT d'obtenir l'usage exclusif de la technologie qu'ils ont inventée et ont créé la société RSA. L'original brevet du cryptage RSA s'est épuisé en septembre 2000, de sorte que la formule du RSA est devenue publique.
Le cryptage RSA est la fonction de sécurité qui transforme le protocole de transfert hypertexte ( HTTP ) dans le protocole de transfert hypertexte/sécurisé ( HTTPS ). Il est responsable de la protection des transactions Web et est également largement utilisé dans réseau privé virtuel (VPN).
Ainsi, RSA n’est pas un ransomware ; c'est un système de protection pour les transmissions Internet. Cependant, la structure de RSA le rend idéal pour les pirates qui créent des ransomwares.
Qu’est-ce que la cryptographie à clé asymétrique ?
La formule utilisée pour décrypter les données dans un système de cryptage à clé asymétrique est différent de la formule qui l'a chiffré. Les deux formules peuvent arriver aux mêmes résultats en utilisant d'autres clés. La clé est une variable – c’est l’un des nombres qui s’intègrent dans la formule et modifient ses effets. Par conséquent, cela ne vous sert à rien si vous connaissez la formule, car vous ne pourrez toujours pas déchiffrer le cryptage de quelqu’un d’autre si vous n’aviez pas ce numéro manquant. C’est pourquoi le système du RSA a pu survivre et prospérer même après que la formule ait été rendue publique en 2000.
Pour une explication simple de cryptographie asymétrique , considérez que 2 x 10 = 20 et 4 x 5 = 20. Imaginez que la formule de cryptage consiste à ajouter un nombre au code ASCII d'un caractère. Ce nombre est dérivé de la formule : 2 xET. Vous pouvez décrypter ce texte en soustrayant un nombre et en produisant le code ASCII original. La formule de décryptage est 4 xAvec. Ainsi, si vous souhaitez que quelqu'un chiffre un texte que votre autre clé de décryptage débloquera, vous générez des paires de clésETetAvec. Vous envoyezETà votre correspondant pour cryptage. Le correspondant vous envoie alors le texte crypté, et vous le décryptez grâce à la formule de décryptage, en vous connectantAvec.
En RSA, la formule est infiniment plus compliquée que l’exemple donné ici. C'est tellement intelligent que c'est impossible pour quiconque intercepte la clé de cryptage de déterminer quelle est la clé de déchiffrement. Dans le système RSA, vous ne pouvez pas déchiffrer un texte à l'aide de la clé de cryptage.
En cryptographie asymétrique, il est courant de publier la clé de chiffrement mais de garder secrète la clé de déchiffrement. Ainsi, la clé de chiffrement est également appelée clé publique et la clé de déchiffrement est appelée clé privée. Par conséquent, les systèmes à clés asymétriques sont également appelés « chiffrement à clé publique .»
Qu'est-ce que 4096 ?
La clé peut être facile à deviner en remplaçant les valeurs possibles. C'est ce qu'on appelle un attaque de force brute . Cependant, le temps nécessaire pour déchiffrer une clé de chiffrement en parcourant toutes les valeurs possibles devient plus compliqué avec des clés plus longues.
La longueur des clés de chiffrement est exprimée en bits et non en caractères. Comme les bits sont contenus en octets, d’une longueur de huit bits, les longueurs des clés de chiffrement sont généralement des multiples de huit.
RSA a commencé avec un Clé de 1024 bits . Malheureusement, cela prendrait beaucoup de ressources et beaucoup de temps pour le résoudre. Les pirates ne prennent pas la peine d’acheter des ordinateurs massifs et mettent des années à déchiffrer une clé de cryptage. Cela est principalement dû au fait que les systèmes de cybersécurité modifient fréquemment les clés qu'ils utilisent, de sorte qu'au moment où le pirate informatique parvient à déchiffrer une clé de 1 024 bits par force brute, elle ne sera plus utilisée.
Même si les pirates informatiques n’ont pas les ressources nécessaires pour déchiffrer le chiffrement, les gouvernements en ont. Le gouvernement chinois tient particulièrement à cracker le cryptage RSA car il est régulièrement utilisé dans les VPN pour protéger le trafic Internet. On pense que les techniciens du gouvernement chinois ont réussi à déchiffrer RSA avec une clé de 1 024 bits, cette longueur de clé n'est donc plus considérée comme sécurisée.
La prochaine longueur la plus élevée de la clé RSA disponible est de 2 048 bits. La plupart des ransomwares utilisent RSA avec un Clé de 2048 bits . Cependant, la version la plus robuste et la plus incassable de RSA utilise un Clé de 4096 bits .
Il est probable que maintenant qu'ils peuvent déchiffrer la clé de 1 024 bits, les techniciens du gouvernement chinois sont en train de trouver un moyen de déchiffrer la prochaine étape, à savoir la clé de 2 048 bits. Pour gagner du temps, le plus soucieux de la sécurité les organisations du monde entier ont renforcé leur protection en passant à une clé de 4 096 bits pour leur cryptage RSA. Malheureusement, un petit nombre de producteurs de ransomwares ont mis en œuvre la même stratégie.
Rançongiciel RSA-4096
Même si une clé plus longue est plus sécurisée, elle nécessite davantage de traitement et le chiffrement avec des clés longues peut prendre un certain temps compléter. Les pirates ne veulent pas que le processus de cryptage soit lent. Si une entreprise cible dispose de systèmes de protection des fichiers, le logiciel de sécurité détectera l’attaque du ransomware dès le premier cryptage.
Non seulement le RSA-4096 est lent, mais l’ensemble du système RSA prend du temps et n’est pas recommandé pour chiffrer de grandes quantités de données. Au lieu de cela, il y a des chiffrements meilleurs et plus rapides qui peut être utilisé pour crypter des fichiers.
Le chiffre le plus acclamé en opération dans le monde aujourd'hui est le Standard d'encryptage avancé (AES). Il s’agit d’un chiffre symétrique, ce qui signifie que la même clé est utilisée pour chiffrer et déchiffrer les données. Les systèmes symétriques nécessitent des clés beaucoup plus courtes, et la longueur de clé la plus élevée en fonctionnement avec AES est 256 bits .
Les pirates utilisent AES-256 pour chiffrer des fichiers, stockez les clés de chiffrement dans un fichier sur l'ordinateur cible et chiffrez ce fichier avec RSA-4096 chiffrement. Un autre chiffre à clé symétrique largement utilisé par les pirates est Salsa20 . Ainsi, si vous avez été attaqué par un ransomware basé sur RSA, vos fichiers ont été cryptés avec AES-256 ou Salsa20.
Comment fonctionne le ransomware RSA-4096 ?
Les pirates de ransomware aiment utiliser le chiffrement RSA, car peu importe si les analystes de sécurité découvrent la clé de chiffrement. Dans certains ransomwares, la clé RSA est codé en dur dans le programme. Dans d'autres cas, comme dans le cas des logiciels d'attaque plus sophistiqués utilisant RSA-4096, la clé de chiffrement est intégrée au package d'attaque dans un fichier séparé . Cela permet aux pirates d’utiliser facilement une clé RSA différente pour chaque attaque.
Dans la plupart des cas, le ransomware génère une clé AES distincte pour chaque fichier qu'il crypte. Il écrit ensuite le nom du fichier d'origine et la clé de cryptage dans un fichier de base de données. Habituellement, le programme de cryptage modifiera le nom du fichier crypté. Une fois tous les fichiers convertis, le ransomware crypte le fichier de base de données avec RSA-4096. La clé est parfois également affichée dans la demande de rançon.
Lorsque les victimes contactent les pirates pour négocier le paiement d’une rançon, elles doivent donner la clé comme identifiant. Si les hackers entendent restaurer les systèmes des victimes qui paient, ils renvoient un décrypteur , qui contient déjà la clé de déchiffrement appropriée. Ce décrypteur décrypte d'abord le fichier de base de données, puis parcourt chaque ligne de ce fichier, déchiffrant le fichier référencé avec la clé AES stockée.
Dans certains cas, le ransomware générera un identifiant d’attaque distinct. Le programme doit envoyer l'ID et la clé de cryptage RSA au serveur de commande et de contrôle dans ces cas . Dans des cas sporadiques, la clé RSA est généré localement, et la clé de déchiffrement est envoyée avec l'ID d'attaque puis supprimée de l'ordinateur local.
Quel ransomware utilise RSA-4096 ?
Bien que la plupart des ransomwares utilisent RSA pour leur couche externe de chiffrement, le chiffrement est généralement déployé avec une clé de 2 046 bits. Seule une poignée de ransomwares actuellement connus utilisent RSA avec une clé de 4 096 bits, et tous chiffrent les fichiers avec AES-256. Ceux-ci sont:
- Robbinhood
- TeslaCrypte 3.0
- GaspilléLocker
- Ryûk
Les versions antérieures de TeslaCrypte n'a pas utilisé le chiffrement RSA pour protéger le fichier d'index de clé de chiffrement. Il utilisait à la place un chiffre symétrique, que les consultants en sécurité ont pu déchiffrer. Les pirates ont basculé cette protection vers RSA avec la version 3 du ransomware.
Comment se protéger contre le rançongiciel RSA-4096
Malheureusement, il y a pas moyen de craquer le cryptage RSA-4096 qui protège la base de données des clés de cryptage lors de ces attaques de ransomware. Cependant, les groupes de pirates qui exploitent des ransomwares basés sur RSA-4096 renvoient un décrypteur aux payeurs de rançon qui permettent de restaurer complètement le système.
La meilleure politique consiste à empêcher toutes les formes de ransomware de pénétrer sur votre système. Le ransomware RSA-4096 peut atteindre une cible de deux manières. L'une est à travers un pièce jointe infectée ou un faux téléchargement torrent, et l'autre via une connexion utilisant RDP .
Assurez-vous que vos ports RDP sont fermés ou qu'ils nécessitent un mot de passe sécurisé pour y accéder. Éduquez vos utilisateurs contre le téléchargement de pièces jointes à partir d’e-mails.
Votre stratégie de défense doit également inclure anti-ransomware automatisé logiciel de sécurité.
Les meilleurs outils pour se défendre contre le ransomware RSA-4096
Surveillance de l'intégrité des fichiers est pratique pour bloquer une attaque de ransomware. Il est également essentiel de sauvegarde tous vos fichiers fréquemment et assurez-vous qu’aucun virus ne passe au serveur de sauvegarde.
Le meilleur système de protection pour empêcher les ransomwares doit combiner services de prévention, systèmes de détection et mécanismes d’intervention d’urgence. Voici deux forfaits que vous devriez considérer.
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike est un système coordonné de détection et de réponse des points de terminaison qui opère une surveillance basée sur le cloud des résidents des appareils. AV de nouvelle génération logiciel. Ce package de point de terminaison est disponible individuellement en tant que Faucon Empêcher . Ainsi, Falcon Insight est Falcon Prevent avec une console SaaS pour gérer chaque instance AV.
Principales caractéristiques:
- Système hybride
- Centralise la détection des menaces
- Protection locale
- Détection du jour zéro
- Peut couvrir plusieurs sites
Le Aperçu Le contrôleur cloud surveille les rapports d'activité envoyés par les agents de point final et recherche des indicateurs de compromission, un peu comme un SIEM . Tout d’abord, le service cloud reçoit un flux de renseignements sur les menaces qui ajuste les recherches d’indicateurs. Ensuite, les agents de point final effectuent leurs vérifications, ce qui signifie que la protection continue même si l'appareil est déconnecté du réseau.
Le forfait Insight comprend réponse instantanée mesures, isolant l’appareil pour empêcher la propagation de virus, tels que la propagation de ransomwares. Il peut également s’arrêter, compromettre les comptes d’utilisateurs et tuer les processus suspects.
Avantages:
- La protection de l'appareil continue même lorsque le point final est déconnecté du réseau
- Agent de périphérique disponible pour Windows, Linux et macOS
- Peut inclure des points de terminaison sur plusieurs sites ainsi que les appareils des employés travaillant à domicile
- Centralise la chasse aux menaces avec une veille sur les menaces constamment mise à jour
- Fournit un pool commun de renseignements sur les menaces pour tous les points finaux
Les inconvénients:
- L'essai gratuit ne couvre que l'élément de point de terminaison
Le système Falcon recherche anomalies d'activité plutôt que pour une liste de fichiers ou de noms de processus. Cela lui permet de bloquer les attaques zero-day. Vous pouvez obtenir unEssai gratuit de 15 joursde Falcon Prevent.
CrowdStrike Prevent Start Essai GRATUIT de 15 jours
deux. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus est un choix crucial si votre système contient des données sensibles. En effet, le vol ou l'endommagement de données sensibles peuvent entraîner des amendes et des litiges importants pour votre entreprise.
Principales caractéristiques:
- Découverte de données sensibles
- Protection des données
- Surveillance de l'intégrité des fichiers
- Suivi de l'activité des utilisateurs
Le système DataSecurity Plus comprend un moniteur d'intégrité des fichiers (FIM). Cela détecte les modifications non autorisées des fichiers et détecte rapidement l’activité de cryptage du ransomware.
Les réponses rapides incluses dans DataSecurity Plus incluent l'arrêt des processus, la suspension des comptes d'utilisateurs, le blocage de la communication avec des adresses IP spécifiques et l'isolement de l'appareil du réseau. De plus, DataSecurity Plus protège les appareils exécutant les fenêtres , qui sont les cibles habituelles du ransomware RSA-4096.
Avantages:
- Alerte précoce contre les ransomwares en repérant les modifications de fichiers
- Réaction rapide aux signes de logiciels malveillants pour arrêter les activités malveillantes
- Fournit une piste d’audit
- Isole les appareils infectés pour empêcher la menace de se propager
Les inconvénients:
- Uniquement disponible pour Windows Server
ManageEngine DataSecurity Plus s'installe sur Serveur Windows, et il est disponible pour un essai gratuit de 30 jours .