23
Juin

Ransomwares – Qu’est-ce qui a changé ?

Ransomwares – Qu’est-ce qui a changé ?

Nous assistons à une prolifération du nombre de nouveaux Ransomwares


Les Ransomworms

La récente attaque WannaCry restera dans l’histoire de la Cyber-sécurité : C’est l’apparition du premier Ransomworm.

Les Ransomworms sont conçus pour être beaucoup plus virulents que les Ransomwares:

– Un Ransomware chiffre les données d’un poste (PC ou Serveur) puis infecte ensuite les lecteurs réseau attachés à cette machine.
Les structures touchées n’ont généralement que quelques postes impactés par l’attaque car elles réagissent souvent entre temps en isolant la ou les machines infectées.

– Un Ransomworm se propage à grande vitesse sur l’ensemble des postes du réseau au travers d’une faille de sécurité puis ensuite chiffre les données de tous les postes impactés.
Dans un futur proche : Nous allons assister à des situations où des structures vont avoir l’ensemble de leur informatique chiffrée : des postes de travail jusqu’aux serveurs.
Leur activité sera stoppée nette.

Oui, mais WannaCry n’a pas été si virulent que cela ?

L’attaque WannaCry a fait du bruit (300 000 postes impactés en quelques heures) mais elle n’a pas été si dangereuse que cela.

Il y a différentes théories qui expliquent pourquoi cette attaque aurait été stoppée nette ; cela va du cartoon suivant ; jusqu’à des théories de cyber-guerre-froide et de hacking d’état…

Deux notions à prendre en compte :

– Les pirates apprennent très vite de leurs « erreurs » et des mécanismes mis en place pour les contrer.

– Les attaques par ransomwares se font par vagues et au gré des découvertes de vulnérabilités (sauf que l’exploit utilisé pour WannaCry était connu depuis 2 mois).

A propos des failles de sécurité :

– Une nouvelle faille de sécurité est identifiée toutes les 90 minutes et plusieurs centaines de vulnérabilités sont révélées chaque année

– En moyenne, il faut 103 jours pour qu’une vulnérabilité soit corrigée

– Le Gartner précise qu’«en moyenne, les vulnérabilités 0-Day (le fournisseur du logiciel n’en a pas connaissance et aucun patch n’est donc disponible) ne représentent que 0,4% des vulnérabilités exploitées chaque année.».

Oui, mais tous les éditeurs du marché disent avoir la solution miracle ?

Allez dire cela à la NHS ou à Renault… d’ailleurs, savez-vous qui étaient leurs fournisseurs de solutions de sécurité ?

Les éditeurs d’anti-virus :

Avec leur solution de End-Point, ils vont faire de l’analyse comportementale sur le poste de travail. C’est mieux qu’un anti-virus seul en termes de protection mais c’est limité à une analyse uniquement sur les postes de travail.

Les constructeurs d’appliances de sécurité :

Certains constructeurs d’appliances de sécurité proposent des solutions côté Firewall & des solutions pour les postes de travail (Stormshield SES, Sophos Intercept X entre-autres). Ces solutions ne font qu’analyser les choses sans avoir de vision globale : ils étudient ce qui se passe du côté du poste de travail sans échanger avec les outils qui scrutent ce qui se passe du côté du firewall.

Un seul constructeur sur le marché a actuellement une forte avance technologique : c’est WatchGuard avec le Total Security Suite.

Les solutions WatchGuard maximisent la protection contre ces menaces avancées grâce aux technologies suivantes :

– TDR (Threat Detection and Response) et des Hosts Sensors ; pour une analyse comportementale côté poste de travail et serveurs et une corrélation afin de comprendre de façon globale tous les flux des postes de travail et des serveurs jusqu’au firewall

– Le module APT Blocker et sa Sandboxing côté Firewall

– Et le multi-couches du côté du firewall pour maximiser la protection (anti-virus de passerelle, anti-spam, filtrage d’URL, contrôle d’application, IPS, analyse de la réputation, détection des botnets, etc…)

Le Total Security Suite de WatchGuard est actuellement la solution la plus innovante et la plus efficace du marché tout en étant simple et fonctionnant de façon automatisée.

Qu’est-ce que la corrélation ?

Pour comprendre pourquoi la corrélation est si importante, prenons l’exemple d’un programme qui cherche à lancer le chiffrement des données du poste de travail.

– Sur le poste de travail, est-ce une attaque de Ransomware ? ou juste un process classique de chiffrement des données de l’utilisateur dans le cadre de la future règlementation européenne (GDPR) ? L’analyse comportementale va chercher à définir ce qu’il en est ; mais il manque des informations pour s’assurer que c’est une menace avérée.

– Dans ce même exemple, TDR a détecté via le Firewall une connexion avec un serveur de Command & Control et un flux de téléchargement (afin de récupérer une clef de chiffrement).

En corrélant ces différents flux qui ont transité sur le réseau (entre les postes de travail, les serveurs, et le firewall) le doute n’est plus permis : TDR comprend avec certitude que c’est un malware avancé qui communique avec un serveur de Command & Control et cherche à chiffrer les données.

TDR tue alors de lui-même le process de chiffrement avant qu’il ne débute. L’infection est bloquée, le programme malveillant mis en quarantaine, les clefs de registre nettoyées… Et tout cela automatiquement et sans avoir à intervenir.

Vous souhaitez en savoir plus :

1. La démonstration YouTube suivante vous présentera TDR, une composante fondamentale du Total Security Suite :

– La 1ere minute de cette vidéo = une explication du fonctionnement de TDR

– La suite de la vidéo = Démonstration de TDR avec une attaque de Ransomware bloquée

2. Pour plus d’informations :

Nous sommes à votre disposition 😊 Toujours à votre service !

info_logo

L’équipe

TD-Group, c’est d’abord une équipe soudée, passionnée et motivée. Nous travaillons de concert avec nos partenaires pour élaborer des solutions sur mesure à la fois fiables et abordables : vous profitez pleinement du service et de l’expertise que vous êtes en droit d’attendre d’une équipe telle que la nôtre. Nous ne sommes jamais loin : vous pouvez nous joindre rapidement et facilement.

TD-Group est non seulement un prestataire de services à la demande, mais peut aussi assurer une surveillance continue de votre infrastructure en temps réel. Nous détectons un problème, nous vous avertissons, et nous prenons la décision adéquate en concertation avec vous afin de résoudre le problème dans les plus brefs délais.

TD-Group est une société spécialisée en infrastructure informatique, gestion commerciale et production. Elle s’adresse à toute société souhaitant s’informatiser de façon durable, ou maintenir et améliorer l’existant. Nous nous tenons à votre disposition pour tous conseils en matière de logiciels et solutions de gestion : du matériel, des logiciels et des services à votre mesure, pour votre budget, et qui contribueront à votre réussite.

TD-Group s’adresse aux indépendants et aux PME. Vous voulez vous développer, gagner en productivité et garder l’avance sur la concurrence ? Découvrez nos solutions qui vous aideront à atteindre vos objectifs. Proposer des services informatiques personnalisés et optimisés à destination des entreprises : tel est notre objectif. De l’installation au suivi tout au long de sa vie, nous vous offrons UN SERVICE.

TD-Group, c’est aussi les réseaux. Nous mettons en œuvre le type de réseau le mieux adapté à votre cas, doté de la capacité, de l’accessibilité et de la flexibilité qui correspondt aux besoins de votre entreprise. Nous nous chargeons du développement, de l’entretien et du suivi de votre réseau d’entreprise. Nous garantissons ainsi une utilisation optimale de l’infrastructure.

TD-Group, c’est encore l’élaboration de logiciels sur mesure sur base de la technologie .NET, suivant un cahier des charges bien précis, une évolution constante de l’application en fonction de la vôtre.

TD-Group, c’est une sélection des meilleurs produits de haute technologie et fiabilité. Parce que notre engagement se poursuit bien au-delà de la vente, nous l’accompagnons !

Notre savoir et nos compétences sont à votre service…

Services