Ransomware : optimiser sa défense (partie II)
10 sept. 2019 - 11:08,
Tribune
- Pascal SabatierLe 11 juin dernier, la responsable administrative d’un Ehpad voisin me contacte pour assistance. Leur unique serveur est intégralement chiffré et le serveur de sauvegarde a été purgé. Un clavier en russe visible à l’écran est la seule trace de passage d’un Soviétique facétieux.
100 % du système d’information indisponible, aucune sauvegarde externalisée, période de clôture de paie et directeur en vacances à l’étranger. Si Murphy nous regarde, il doit bien se marrer.
La première erreur serait d’imaginer que le cyber-risque est plus faible pour un établissement de santé de taille moyenne ou modeste. Si les petites structures ne sont pas plus attaquées que les autres, elles sont, en revanche, bien plus sévèrement touchées quand l’incident survient. Le manque de moyens et de préparation est un facteur aggravant. Ne pas avoir encore subi une attaque ne présume en rien de votre immunité.
La deuxième erreur serait de ne pas mettre à profit le temps qu’il vous reste pour anticiper l’attaque. Cet article est plutôt rédigé pour cette famille d’établissements que pour des CH ou des CHU aux budgets Sécurité « rondouillards ».
Le mode de fonctionnement varie peu d’un CryptoLocker à l’autre. Si vous en connaissez le principe de fonctionnement, vous pouvez intervenir sur l’une des phases de l’attaque. Dans la majorité des cas, on observe :
- En premier lieu, une infection via une pièce jointe corrompue ou un lien de redirection. L’autre vecteur d’infection peut être une clé USB ou l’exploitation d’une faille (1) non patchée ;
- Ensuite, le script caché dans la pièce jointe fait appel à un serveur distant pour télécharger son code malveillant et obtenir l’une des deux clés de chiffrement. L’autre clé reste sur le serveur distant pour servir de monnaie d’échange contre la rançon ;
- Puis, il recense les fichiers à chiffrer sur le poste, disque par disque, local ou réseau. Cette liste exclut les fichiers nécessaires au fonctionnement de Windows : il faut bien que le PC fonctionne pour vous afficher le message à la fin ;
- En parallèle, le virus cherche à se déplacer en parcourant les adresses accessibles du réseau. Cette latéralisation sera facilitée si les systèmes d’exploitation ne sont pas à jour comme ce fut le cas pour WannaCry et la faille EternalBlue.
À vous de définir quelles mesures manquent à votre rideau de défense actuel. J’insiste surtout sur les mesures de détection et de réaction. Je n’aborderai pas ce qui relève de la correction ; disposer des sauvegardes est obligatoire et, dans le scénario du pire, restera le seul moyen de récupérer vos données disparues.
Deux actions essentielles : vite détecter et bien réagir
Pour sabrer l’intrus, il vous faut le rasoir à deux lames : antispams-antivirus ou antivirus-antimalwares. De nombreux antispams ou pare-feu offrent la possibilité de tester la pièce jointe par sandboxing, grâce à une antichambre d’isolement qui peut ouvrir le fichier et le détruire au besoin. Une option payante facturée à la boîte aux lettres.
Si vous ne testez pas la pièce jointe en amont, il vous faut renforcer la sécurité du poste de travail. L’antivirus classique ayant montré ses limites, il est désormais à compléter par un antimalware intelligent, à grand renfort d’IA et de deep learning (apprentissage approfondi automatique).
La promesse de ces IPS (Intrusion Prevention Systems) est de détecter le comportement déviant du ransomware et d’en stopper l’exécution avant même que le chiffrement ne débute. Le budget varie entre 7 euros et 40 euros par poste, suivant la solution. La Rolls, c’est le rasoir à trois lames antispams-antivirus-antimalwares.
Au chapitre détection, une approche séduisante consiste à duper le ransomware. S’il est en cours d’exécution sur une machine sans avoir été décelé, il va chiffrer tous les disques accessibles. La technique du honeypot (pot de miel) peut prendre la forme d’un lecteur réseau connecté sur chaque machine, rempli d’un volume substantiel de fichiers Word ou autres. Tout changement d’extension d’un des fichiers déclenche l’alarme sur votre console de supervision ou un mail au support.
Le temps de réaction s’avère déterminant compte tenu de la vitesse de propagation d’un CryptoLocker. En complément de votre gestion d’incidents, une fiche réflexe « attaque ransomware » doit décliner les actions immédiates pour l’équipe support :
- Faire débrancher le câble réseau par l’utilisateur ;
- Se rendre sur place pour récupérer le poste ;
- Identifier le vecteur d’infection et, si c’est un mail, les autres destinataires ;
- Stopper les e-mails si l’infection impacte (par exemple) plus de 5 % du parc, etc.
Et la réaction doit prendre en compte le côté utilisateur à qui vous avez fourni, lors d’une sensibilisation sur le sujet, une fiche réflexe destinée aux victimes (2).
Actions complémentaires
La mise à jour des systèmes d’exploitation est à automatiser. C’est écrit noir sur blanc dans l’instruction du 14 octobre 2016 : mettre à jour est obligatoire (3) tout comme cloisonner le réseau, une autre mesure efficace, à condition de procéder à la vérification réelle de l’application des patchs de sécurité. Il faut bien comprendre que, dès qu’un correctif de sécurité est disponible, une course contre la montre s’engage. Les pirates vont développer l’exploit (le malware capable d’utiliser la faille) et tabler sur votre lenteur d’application du patch.
Coupez Internet ! Ou presque… Leransomwaredoit communiquer vers Internet, si vous pouvez couper le flux vers le site pirate, vous stoppez l’attaque. Interdisez tout accès à des URL ou à des domaines inconnus en laissant à l’utilisateur la possibilité d’outrepasser volontairement ce blocage. L’utilisateur, lui, ne sera jamais bloqué, contrairement à l’appel à cette URL inconnue fait en mode transparent par le script exécuté par le ransomware.
Prévenir ou guérir ? N’oubliez pas la sensibilisation. Bien que décriée, cette action reste nécessaire. En pratique, il restera toujours entre 5 % et 10 % d’irréductibles qui ouvriront la pièce jointe. Faire un mail de rappel des consignes ne sert à rien, si ce n’est se donner bonne conscience.
À vous d’innover pour vos campagnes. Il existe, désormais, plusieurs outils pour forger vos propres spams et embarquer vos utilisateurs dans une approche de la sécurité plus ludique. Enfin, ne fustigez pas l’utilisateur ! Rassurez-le et remerciez-le d’avoir signalé l’incident. Sinon, la prochaine fois, il essaiera de le minimiser, de le dissimuler, ce qui ralentira la détection de l’attaque.
(1)
(2)
(3) relative à la mise en œuvre du plan d’action sur la sécurité des systèmes d’information.
L'auteur :
Pascal Sabatier
Responsable de la sécurité des systèmes d’information aux centres hospitaliers d’Aix-en-Provence et de Salon-de-Provence ainsi que du GHT des Alpes-de-Haute-Provence.