Qu’est-ce que Snake Ransomware et comment s’en protéger ?
Rançongiciel serpent, aussi connu sous le nomÉkans, cible les constructeurs. Il peut infecter un réseau entier avant de s'activer, ce qui en fait une forme de ransomware potentiellement paralysante.
Le nom alternatif du ransomware, Ékans , est ' serpent, » épelé à l’envers. Les premières cibles de Snake étaient Honda et Enel Group, un conglomérat énergétique italien. Sentinel Labs a identifié le ransomware pour la première fois en janvier 2020. À ce jour, le ransomware a attaqué des cibles aux États-Unis, en Chine, au Japon et en Allemagne.
Le ransomware Snake a changé depuis sa première attaque. Cet incident a attaqué un hôpital et comprenait un vol de données. Ensuite, les pirates ont commencé à divulguer les données capturées, notamment des informations sur les patients. La divulgation de informations personnellement identifiables (PII) est un désastre pour les entreprises car il les expose à des poursuites et à des litiges.
Après cette attaque à l'hôpital, les pirates se sont tournés vers objectifs industriels et a arrêté de chercher des informations personnelles à publier.
Comment le ransomware Snake pénètre-t-il sur un ordinateur ?
Le ransomware Snake accède à un point de terminaison sur un réseau en utilisant protocole de bureau à distance (RDP). Ce système permet aux utilisateurs de visualiser leurs ordinateurs de bureau depuis un emplacement différent via Internet. RDP est également utilisé par le service d'assistance et les techniciens de maintenance du système pour accéder aux ordinateurs à des fins d'investigation et de résolution de problèmes.
RDP peut être arrêté sur un ordinateur, fermant ainsi son port et le rendant invulnérable au ransomware Snake. En conséquence, de nombreuses entreprises doivent utiliser RDP. Cependant, dans ces cas, l'accès RDP doit être protégé par mot de passe avec un mot de passe complexe.
Tous les administrateurs système ne réalisent pas que les ports RDP sont ouverts sur leurs systèmes. Cette situation peut parfois être créée par des progiciels lors de leur installation. Dans ces configurations RDP automatiques, l'accès à RDP est soit non protégé, soit avec un mot de passe couramment utilisé, tel que mot de passe ou 12345 .
Snake est au courant de ça mots de passe faibles et fonctionne à travers un dictionnaire de valeurs possibles. Ensuite, il recherchera tous les autres appareils du réseau et se propagera, en utilisant à nouveau RDP lorsqu'il entrera dans un appareil.
Les attaques de ransomware Snake ne sont pas généralisées. Cela indique que la sélection des victimes de l'attaque n'est ni accidentelle ni automatisée. Autrement dit, ce système ne se contente pas de parcourir le monde dans l’espoir d’accéder à n’importe quel système. Les entreprises sont ciblé, et l'accès initial est probablement mis en œuvre manuellement comme une intrusion. Le package du ransomware est probablement chargé manuellement sur au moins une cible du réseau de la victime. Le ransomware Snake n'a pas besoin de privilèges d'administrateur, mais s'il est possible d'accéder à un compte avec des privilèges élevés, il l'utilisera.
Que se passe-t-il lors d’une attaque du ransomware Snake ?
Snake recherche des applications industrielles utilisant un protocole appelé SCADA . Contrôle et d'acquisition de données est utilisé pour contrôler les équipements industriels, vérifier les capteurs, contrôler le traitement des fluides et faire fonctionner les commandes électriques dans les sous-stations. Plutôt que de contrôler directement ces appareils industriels, le ransomware Snake cherche à chiffrer les instructions de contrôle en les chiffrant.
Lorsque le rançongiciel Snake identifie un système de contrôle industriel (ICS) exécuté sur un point final, il tue tous les processus de surveillance et AV. Cela détruira également tous les systèmes de gestion à distance et les communications opérationnelles avec les équipements d’atelier. De plus, il met fin aux processus VM et à la plupart des autres logiciels liés au réseau.
Le ransomware Snake isole l'appareil ou l'ensemble du réseau en modifiant les règles du pare-feu pour bloquer tout le trafic sauf le sien. Snake supprime ensuite tout clichés instantanés de fichiers. Ce sont les fichiers créés par la fonction Autosave dans de nombreuses applications.
Le processus de cryptage Snake
Une fois la phase de préparation initiale terminée, le ransomware Snake commence son processus de cryptage. Les cibles du chiffrement sont toutes fichiers de données . Les exécutables et les fichiers système ne sont pas touchés, l'ordinateur restera donc pleinement fonctionnel.
Au fur et à mesure que chaque fichier est crypté, le contenu est enregistré sous le nom d'origine pour écraser le fichier stocké et le rendre irrécupérable. Le nom du fichier est ensuite modifié, l'étape restant la même, mais une chaîne aléatoire de cinq caractères complète l'extension. Ainsi, par exemple, A4702.txt deviendrait A4702.txtDfreG.
Le ransomware Snake génère une nouvelle clé de cryptage pour chaque fichier. Il utilise AES-256 chiffrement. Une attaque peut entraîner la création de nombreuses clés, qui doivent toutes être stockées avec les noms de fichiers d'origine pour éventuellement être déchiffrées. Ces informations sont écrites dans un fichier. A la fin de la phase de chiffrement, le fichier de référence est chiffré par un RSA-2048 chiffrer. Le ransomware annexe également les chartes ekans à la fin du contenu du fichier.
La stratégie de cryptage du ransomware Snake signifie que vous pouvez inverser le cryptage si vous parvenez à accéder à ce fichier contenant la liste de toutes les clés de cryptage AES utilisées lors de l'attaque. Mais malheureusement, ce fichier lui-même est crypté.
Vous pourrez peut-être identifier la clé de chiffrement pour le chiffrement RSA. Cependant, cela ne vous servira à rien car le système RSA nécessite une clé différente de la clé de cryptage pour décrypter les fichiers. Il n'est pas possible pour casser les clés RSA-2048 par force brute. Par conséquent, vous avez deux options après une attaque du ransomware Snake : payer la rançon ou supprimez tous les fichiers cryptés et Restore depuis une sauvergarde .
La rançon du Serpent
Le cryptage RSA nécessite deux clés : une Clé publique pour le cryptage et un Clé privée pour le décryptage. Une caractéristique intéressante du ransomware Snake est qu’il n’est pas nécessaire que la victime transmette un numéro de référence aux pirates lors de la négociation de la rançon. Cependant, de nombreux pirates utilisent le cryptage RSA pour les ransomwares. Le programme d'attaque génère un numéro de référence ou affiche la clé de cryptage dans la demande de rançon et demande à la victime de la copier pour communiquer avec le pirate informatique.
En utilisant le Clé publique à titre de référence, les pirates peuvent référencer la clé de déchiffrement associée. Le ransomware Snake n’exige pas cela. Cela montre que Snake est un système d’attaque ciblée à très faible volume. Les pirates ne s’attendent pas à ce que leurs logiciels d’attaque se propagent dans le monde entier, infectant les systèmes de manière opportuniste. Ils savent exactement qui est actuellement infecté, et ils attendent des nouvelles de quelqu'un de cette entreprise. C’est pourquoi ils n’ont pas besoin d’un numéro de référence.
La demande de rançon est laissée sous forme de fichier texte sur le fichier texte, appelé Fixez vos fichiers.txt . La demande de rançon se lit comme suit :
|_+_|La bonne nouvelle est que toutes les cibles industrielles du ransomware Snake se sont remises indemnes des attaques. Aucun n’a admis avoir payé la rançon.
Prévenir les attaques du rançongiciel Snake
La première étape pour protéger votre système contre les attaques du ransomware Snake consiste à fermez tous les ports RDP . Si vous avez besoin qu'ils soient ouverts pour des opérations à distance, assurez-vous qu'ils sont protégés par mot de passe. Les applications industrielles ont tendance à être moins soucieuses de la sécurité que les systèmes bureautiques. Supposons que vous exécutiez un système de fabrication automatisé qui s'appuie sur des ports RDP non protégés ou un accès RDP avec des mots de passe standard. Dans ce cas, vous devez convaincre votre fournisseur de système de ferme cette faiblesse rapidement ou envisagez de changer de logiciel.
Votre deuxième ligne de défense est serrée contrôle des comptes et suivi d'activité . Tu devrais sauvegarde régulièrement vos fichiers de commande de fabrication. L’un des avantages des systèmes industriels est que les conceptions et les instructions des machines ne changent pas très fréquemment.
Assurez-vous d'utiliser un logiciel de gestion des sauvegardes qui analyse tous les fichiers à la recherche d'infections malveillantes avant leur téléchargement.
Outils de protection contre le ransomware Snake
Lorsque vous vous protégez contre toute attaque de ransomware, vos stratégies clés doivent être une surveillance étroite des comptes utilisateurs et une stratégie de sauvegarde robuste. Voici trois systèmes que vous devriez examiner pour protéger votre système contre le ransomware Snake et toutes les activités malveillantes.
1. CrowdStrike Falcon Insight (ESSAI GRATUIT)
Aperçu du faucon CrowdStrike les usages Processus d'IA pour surveiller l'activité des comptes d'utilisateurs sur les points de terminaison et rechercher des événements inattendus sur les points de terminaison. Cette stratégie d'apprentissage automatique s'appelle analyse du comportement des utilisateurs et des entités (UEBA) et constitue un attribut clé d’un système antivirus de nouvelle génération.
Chaque appareil de votre système aura une unité appelée Faucon Empêcher installé dessus. En outre, un module de coordination dans le cloud devrait examiner trois systèmes au cœur du système Falcon Insight, qui fournit des renseignements sur les menaces aux moniteurs de points finaux.
Ce système peut fonctionner même lorsque toutes les communications avec le contrôleur cloud sont bloquées par le ransomware Snake. L'agent identifiera les activités préalables à l'attaque du ransomware Snake, suspendra les comptes auxquels il a accédé, isolera l'appareil du réseau et tuera les processus du ransomware.
Vous pouvez obtenir unEssai gratuit de 15 joursde Falcon Insight.
CrowdStrike Falcon Insight Commencez un essai GRATUIT de 15 jours
deux. ManageEngine Log360 (ESSAI GRATUIT)
Gérer le moteur Log360 est une plateforme de renseignement sur les menaces qui constitue une défense idéale contre les attaques intrusives du ransomware Snake. Ce système comprend un flux de renseignements sur les menaces, et ManageEngine sait déjà comment fonctionne le ransomware Snake afin que le service détecte facilement les attaques. De plus, log360 fonctionne comme et SIEM , en vérifiant dans les fichiers journaux les indicateurs de compromission.
En plus de collecter les fichiers journaux, ce système accorde une attention particulière à Active Directory et à la structure des comptes utilisateur. L'outil couvre également les systèmes cloud fournis par AWS , Azur , et Échange en ligne . Log360 surveille et interagit également avec pare-feu , cela empêchera ainsi la routine d’isolation du réseau du ransomware Snake de se produire.
N'importe lequel des événements typiques du ransomware Snake déclenchera une recherche d'actions ultérieures. Snake utilise un ensemble de procédures, mais comme les attaques sont généralement très personnalisées et mises en œuvre manuellement, ces outils d'attaque peuvent déclenché dans n'importe quel ordre . Log360 est prêt pour cela.
Log360 est un progiciel qui s'exécute sur les fenêtres et Serveur Windows, et tu peux obtenir un30 jours d'essai gratuitde l'outil. Il y a un gratuit en permanence version disponible limitée à la collecte de données de journal à partir de seulement cinq sources. L'essai gratuit concerne la version complète de Log360.
ManageEngine Log360 Commencez un essai GRATUIT de 30 jours
3. BitDefender GravityZone
BitDefender GravityZone est un ensemble complet d'outils de sécurité. Il couvre à peu près tous les aspects de la sécurité du système qui doivent être surveillés pour empêcher une attaque de ransomware Snake. De plus, le forfait comprend vérifications des logiciels malveillants à de nombreux points différents du système, pas seulement aux points finaux.
GravityZone comprend un gestionnaire de vulnérabilités qui détectera les problèmes tels que les ports non sécurisés et la recherche de versions logicielles obsolètes. De plus, le forfait comprend un moniteur d'intégrité des fichiers cela déclenchera une alerte dès que le cryptage commencera. Cependant, tous les autres coupe-feu du package GravityZone signifient que le ransomware Snake n’ira jamais aussi loin dans son cycle d’attaque.
Un module essentiel du package GravityZone est son système de gestion des sauvegardes . Non seulement cela garantit que tous vos fichiers sont disponibles pour la récupération, mais cela analyse également tous les fichiers à la recherche d'infections par des logiciels malveillants avant de les télécharger. Cet outil vous place dans une excellente position pour vous remettre de toute attaque de ransomware sans avoir à payer la rançon.
GravityZone fonctionne comme une appliance virtuelle, et il est disponible pour un essai gratuit d'un mois .
