1. Introduction

Le ransomware est la deuxième attaque de malware la plus fréquente derrière les attaques d’exfiltration. Le courrier électronique reste le principal mécanisme de livraison pour tous les logiciels malveillants, y compris les ransomwares.

Cet article, j’explique à quoi cela consiste un Ransomware, par quelle façon attaque-t-il à vos données, comment réagit-il une fois infecté et quels sont actions à faire lorsqu’on est infecté.  

Les sujets que je vais développer dans cet article.

• Comment fonctionne le ransomware ?
• Qui est à risque ?
• Types de rançongiciels ?
• Exemples de ransomwares ?

Sur le deuxième volet, je développerai comment protéger contre le Ransomware.

• Protéger contre les Ransomwares ?
• Comment répondre ?
• Devriez-vous payer ?
• Méthodes d’atténuation pour les administrateurs informatiques ?
• Ressources supplémentaires ?

2. Qu’est-ce que Ransomware ?

Le ransomware est un malware qui crypte les données de la victime cible. L’attaquant tente alors de faire payer à la victime la rançon de la clé pour décrypter ses fichiers.

Le premier ransomware remonte à 1989, a été distribué sur disquettes et a demandé une rançon de 189 $.

En 2019, la ville de Baltimore a été frappée par une attaque de ransomware, qui a coûté environ 18 millions de dollars en récupération.

2.1 Comment fonctionne le ransomware ?

Le ransomware est une attaque en plusieurs étapes que les attaquants ont empaquetée de plusieurs manières différentes. Les bases sont généralement les mêmes. Infiltrez le réseau de la cible, cryptez autant de données que possible, extorquez la rançon.

3. Processus de ransomwares

3.1 Mode d’infection

Tout d’abord, les attaquants doivent fournir la charge du malware à sa cible. Le plus souvent, il s’agit d’une simple envoie d’un email avec un logiciel malveillant dans la pièce jointe ou un lien dans le corp de son email. Dès que la victime clique sur le lien ou charger le logiciel, le ransomware fonctionne localement ou essaie de se répliquer sur d’autres ordinateurs du réseau.

3.2 Échange de clés de sécurité

Ensuite, le malware atteint les attaquants pour leur faire savoir qu’ils ont infecté une victime et obtenir les clés cryptographiques dont le ransomware a besoin pour crypter les données de la victime.

3.3 Cryptage

Désormais, le ransomware effectue le cryptage des fichiers de la victime. Il peut commencer par le disque local, puis essayer de sonder le réseau pour les partages mappés ou les partages ouverts à attaquer. Le ransomware CryptoWall a supprimé les fichiers Volume Shadow Copy pour rendre la restauration à partir de la sauvegarde plus difficile et a cherché des portefeuilles BitCoin à voler.

WannaCry a utilisé la vulnérabilité EternalBlue pour se propager à d’autres ordinateurs, puis effectuer le chiffrement.

3.4 Extorsion

La victime s’est totalement approprié, et l’attaquant envoie la note de rançon. Habituellement, il y a un chiffre en dollars attaché, et un lien BitCoin avec des messages menaçants comme « payez-nous ou perdez vos données ».

Il faut noter que la crypto-monnaie a permis aux ransomwares de devenir une profession lucrative. Le caractère lucratif de l’activité criminelle est désormais difficile à quantifier, mais la fréquence des attaques indique que les criminels voient l’avantage de continuer à utiliser ces techniques.

Récemment, les attaquants ont utilisé la menace d’exposition aux données dans le cadre de leur complot d’extorsion. Le ransomware peut non seulement crypter les données en place, mais il peut également exfiltrer les données vers les attaquants ! La menace devient, « payez-nous où nous publions vos données. »

3.5 Déverrouillage et récupération

Enfin, la victime paie-t-elle la rançon et espère-t-elle que le criminel soit honorable et enverra les clés de décryptage ? Ou la victime supprime-t-elle l’infection par un logiciel malveillant et essaie-t-elle de récupérer manuellement les données chiffrées.

Les attaquants ne remettent généralement pas les clés, même après avoir pris l’argent. Choquant, je sais. C’est pourquoi, les autorités ont conseillé de ne pas payer les rançons. Le personnel informatique devra disposer des sauvegardes à jour et fonctionnelle, et devra donc restaurer les données qu’il pouvait et reconstruire complètement les machines qu’il ne pouvait pas.

Le plan de récupération doit également tenir compte de la menace de divulgation de données. Mais comment pouvez-vous empêcher un attaquant de divulguer les données volées ? Tu ne peux pas. Ce qui rend la protection et la prévention des ransomwares beaucoup plus importantes que le recours aux sauvegardes de données pour la récupération.

4. Qui est à risque ?

Techniquement, tout le monde court le risque d’une attaque de ransomware. Sur le plan économique, les attaques les plus sophistiquées semblent viser les grandes organisations ayant une plus grande capacité de paiement. Mais toutes les attaques de ransomwares ne sont pas ciblées que les grandes organisations non plus. Certains attaquants utilisent des techniques de carpet-bombing et tentent d’infecter autant d’utilisateurs que possible à la fois.

En fin de compte, les ransomwares représentent un réel risque pour les utilisateurs et les organisations.

5. 7 vecteurs indispensables de ransomwares

Les attaquants développent constamment de nouveaux types de ransomwares qui utilisent divers vecteurs d’attaque comme la malvertisation, le ransomworm et les programmes de transfert de fichiers peer-to-peer.

Les attaques de ransomwares n’ont pas besoin d’être sophistiquées pour être efficaces. WannaCry et NotPetya ont utilisé une vulnérabilité bien connue pour se propager, et ils étaient super efficaces.

Et maintenant, il y a même Ransomware-as-a-Service, où les pirates vendent leurs logiciels malveillants à d’autres cybercriminels, augmentant la fréquence et la portée des ransomwares. Les auteurs de ransomwares peuvent inviter n’importe qui à s’inscrire, et les deux parties gagneraient un pourcentage des bénéfices.

D’autres types de ransomwares et quelques détails sur leur fonctionnement.

5.1 Chiffrement

La première catégorie de ransomware et la plus courante est le ransomware de cryptage. CryptoLocker et CryptoWall ont la réputation d’être un rançongiciel puissant à cryptage. Le cryptage est le processus de codage des données, il est donc illisible sans la clé appropriée. Et pour décrypter les données, vous aurez besoin de clés. Il existe deux types de clés : symétrique et publique.

5.2 Symétrique

Advanced Encryption Standard (AES), Rivest Cipher 4 (RC4) et Data Standard Encryption Standard (DES) sont des exemples d’un algorithme à clé symétrique. Avec le chiffrement à clé symétrique, la même clé est utilisée pour le chiffrement et le déchiffrement. Elle n’est efficace que lorsque la clé symétrique est gardée secrète par les deux parties concernées.

5.3 Asymétrique

Rivest, Shamir et Adleman utilisent deux clés différentes dans leur célèbre algorithme RSA. Une clé publique accessible à tous et une clé privée contrôlée par la personne avec laquelle vous souhaitez communiquer.

5.4 Briser un cryptage

Craquage par brute de force, c’est essayer toutes les combinaisons possibles de nombres pour trouver la bonne clé. Un algorithme à clé symétrique prend quelques heures pour une petite clé de 20 bits à des millions d’années pour une clé de 128 bits.

Les clés publiques et symétriques peuvent théoriquement être cassées par brute de force, mais ce n’est pas quelque chose de si simple. Le chiffrement moderne est tout simplement trop compliqué pour que même les ordinateurs les plus rapides puissent se casser.

En bref, les chances de décrypter par force les fichiers touchés par une attaque de ransomware est mince et quasi nul.

5.5 Effacement

Les attaquants menacent : toute tentative de décrypter des fichiers entraînerait uniquement à une perte irrévocable de vos données ou si vous ne payez pas, les fichiers sont supprimés. Les exemples populaires de suppression incluent Gpcode et FileCoder.

Astuce de pro : si vos fichiers sont « supprimés » par un ransomware, ils peuvent ne pas être réellement écrasés sur le disque. Il est préférable de restaurer à partir de la sauvegarde, bien sûr, mais si vous n’avez pas de sauvegarde et que vous devez récupérer vos fichiers, vous pourrez peut-être récupérer les données du disque avec un utilitaire spécialisé.

5.6 Verrouillage

Les attaquants ont également créé de nouveaux écrans de connexion ou des pages HTML qui tentent de vous faire croire que les flics sont après vous, et vous devez payer une amende ou une autre arnaque. Ils pourraient même désactiver les raccourcis clavier pour rendre l’écran difficile à éliminer. Les exemples dans Winlock et Urausy.

Astuce de pro : tout ce qui apparaît sur votre ordinateur et vous demande de l’argent est une arnaque.

5.7 Mobile Ransomware

Comme les ransomwares fonctionnent si bien sur les PC, les attaquants ont construit des ransomwares pour attaquer les plateformes mobiles. Il s’agit principalement de la variété de verrouillage, car le cryptage d’un appareil mobile que vous sauvegardez tout le temps est plutôt inutile.

6. Exemples de ransomwares

Voici quelques-unes des souches de ransomwares les plus intéressantes.

1. Introduction

Advanced Persistent Threat ou les groupes de menaces persistantes avancées (APT) sont largement classés comme des organisations qui mènent, « des cyberattaques à la sécurité nationale des pays tiers et atteindre la stratégie d’économique par le biais du cyber espionnage ou du cybersabotage ». Ils sont insaisissables, éminents et efficaces dans ce qu’ils font et faire des ravages sur leurs cibles.

Les APT ne ciblent pas seulement les nations ennemies. Les grandes sociétés sont également des cibles privilégiées pour certains groupes APT, et il est absolument essentiel de capturer les opérations APT avant qu’elles ne puissent percer dans votre périmètre du système d’information. Une fois à l’intérieur, ils déploient un large éventail de méthodes pour voler des informations précieuses à des fins de renseignement interne, soit pour recevoir des rançons, soit pour un sabotage général (comme fermer les réseaux électriques ennemis).

MITRE ATT & CK a notifié 94 groupes APT différents qui sont enregistrés comme les opérateurs APT. Ces groupes APT s’étendent à travers le monde et certains groupes sont financés en grande partie par leur gouvernement ainsi que des équipes de voyous qui font aussi une énorme brèche dans le monde de la cybersécurité.

2. Depuis combien de temps nommons-nous les APT?

La date de la première action d’un groupe APT a fait le débat, tout comme la date du premier virus informatique.

Le terme « menace persistante avancée » a été inventé par l’US Air Force au début des années 2000, mais ces groupes fonctionnent probablement depuis que les gouvernements utilisent les opérations numériques.

Les groupes APT se donnent des surnoms énigmatiques depuis aussi longtemps qu’ils fonctionnent. Parfois, d’autres les nommeront, créeront des retombées du nom d’origine ou des surnoms supplémentaires surgiront par le biais des communautés qui les suivent. On dit que de nombreux groupes adoptent l’animal en leur nom en fonction du pays dans lequel ils opèrent (par exemple, la carte de visite de la Russie est un ours).

3. Groupes APT les plus actifs

Ci-dessous, je décris les groupes APT les plus importants (ne sont pas répertoriés dans l’ordre particulier). Les marques APT comprennent le nom du groupe, l’interprétation de l’emblème, le pays ou la région d’origine, s’ils sont parrainés par l’État, leur mode de fonctionnement (MO), leurs cibles et leurs armes. La plupart des origines étiquetées sont des origines suspectes, non confirmées.

Il est important de noter que je ne prends pas en charge ou ne tolère pas les cyber-pratiques malveillantes. Cet article est strictement à des fins éducatives. Qu’ils soient sanctionnés ou financés par leur gouvernement, c’est toujours le cauchemar de leur cible sur la cybersécurité et c’est de l’argent des contribuables d’une autre nation, c’est étrange comme pensée, non ?

3.1 Groupe Lazarus

Le Groupe Lazarus est lié au Bureau Général de Reconnaissance (RGB) du gouvernement nord-coréen. L’une des attaques les plus connues est l’attaque de représailles contre Sony en 2014 pour avoir produit un film qui atteignait l’image de leur leader, Kim Jong-un, d’une manière peu flatteuse. Le groupe et ses membres ont été sanctionnés par les États-Unis pour leur activité.

• Origine : Corée du Nord
• Date de création : 2009
• Objectifs principaux : Corée du Sud, États-Unis,
• Son arme : Ransomware (WannaCry, MimiKatz)

3.2 Groupe d’équation

Le groupe Equation (également connu sous le nom de Shadow Brokers) est potentiellement connecté à la National Security Agency (NSA) américaine ou à des membres de la NSA. Une attaque notable à laquelle ils sont probablement liés qui a eu lieu en 2010 et qui visait le programme nucléaire iranien.

• Origine : États-Unis
• Date de création : 2001
• Objectifs principaux : gouvernements de l’Iran, de la Syrie, de l’Afghanistan et du Mali
• Son arme : exploits Zero-day, Spyware

3.3 Groupe Fancy Bear (APT 28)

Fancy Bear s’engage dans le chaos et les menaces politiques. Il est probablement mieux connu pour son ingérence dans la campagne électorale de Hilary Clinton en 2016. Bien que la Russie n’ait pas pris la responsabilité de ce groupe, le ministère américain de la Justice a relié le groupe aux services de renseignement russes dans un acte d’accusation de 2018.

• Origine : Russie
• Date de création : 2004
• Objectifs principaux : États-Unis et Comité national démocrate (DNC), Allemagne
• Son arme : hameçonnage, Mimikatz, coreshell

3.4 Groupe Machette

Machete est un groupe sud-américain qui est extrêmement difficile à suivre. Étant donné que de nombreux des entités ciblées ont leurs sources d’attaques viennent du Venezuela, ils sont probablement basés là-bas. Ils utilisent des tactiques de phishing avancées pour accéder et voler de grandes quantités de données sensibles.

• Origine : Amérique du Sud
• Date de création : 2010
• Objectifs principaux : militaires vénézuéliens et Colombie, Nicaragua et Equateur
• Son arme : hameçonnage

3.5 Groupe Elfin (APT 33)

Ce groupe appelé Elfin ou APT 33 est lié à l’Iran. Ils semblent avoir intérêt à cibler les entités aérospatiales, aéronautiques et énergétiques aux États-Unis, en Arabie saoudite et en Corée du Sud. Elfin a une affinité pour les logiciels malveillants et a créé son propre logiciel malveillant personnalisé comme Stonedrill.

• Origine : Iran
• Établi : 2013
• Objectifs principaux : Arabie saoudite et États-Unis (aérospatiale et énergie)
• Son arme : Shamoon, Mimikatz, PowerSploit et spyware

3.6 Groupe Mythic Leopard (APT 36)

Mythic Leopard est lié au Pakistan et concentre principalement ses ressources sur le piratage et le spear-phishing des entités gouvernementales indiennes. Le moteur de ces attaques est l’espionnage pour obtenir des renseignements du gouvernement indien, des militaires et d’autres secteurs indiens privés. À l’aide d’e-mails de phishing, Mythic Leopard a pu infecter des cibles à l’aide d’un fichier Excel malveillant.

• Origine : Pakistan
• Établi : 2016
• Objectifs principaux : l’Inde et l’armée indienne
• Son arme : l’ingénierie sociale

3.7 Groupe Dynamite Panda (APT 18)

Dynamite Panda est lié à la Chine et cible principalement les organisations médicales, manufacturières, gouvernementales et technologiques basées aux États-Unis. Dynamite Panda a fait la une des journaux lorsqu’ils ont violé des données privées protégées par la HIPAA en 2014 et volé les données de 4,5 millions de patients.

• Origine : Chine
• Date de création : 2009
• Objectifs principaux : États-Unis
• Son arme : ransomware cheval de Troie

3.8 Groupe Charming Kitten

La plupart des attaques que Charming Kitten a déployées visaient des Iraniens individuels qui travaillent dans le militantisme, les médias et les universitaires. Alors les attaques visaient également Israël, les États-Unis et le Royaume-Uni. Dans l’espoir d’espionner ou de recruter des transfuges, Charming Kitten a mené une opération d’espionnage élaborée de trois ans visant des personnalités politiques américaines par le biais de comptes de médias sociaux frauduleux et « journalistiques ».

• Origine : Iran
• Établi : 2014
• Objectifs principaux : Iran, Israël, États-Unis et Royaume-Uni
• Son arme : accès au compte

3.9 Groupe Ocean Lotus (APT 32)

Le groupe Ocean Lotus serait basé au Vietnam et ses cibles incluent le Vietnam et d’autres pays d’Asie du Sud-Est comme le Laos, la Thaïlande, le Cambodge et les Philippines ainsi que l’Australie, les États-Unis et l’Allemagne. L’une des attaques les plus récentes liées à ce groupe est la violation de données Toyota. Ils déploient des logiciels malveillants et utilisent des tactiques d’exploitation zero-day pour violer leurs cibles.

• Origine : Vietnam
• Établi : 2014
• Objectifs principaux : pays d’Asie du Sud-Est
• Son arme : Malware

Sources: MITRE ATT&CK | SBS Cyber

1. Introduction

Ce document servira comme une instruction pour comprendre comment est organisé le test d’intrusion. Il explique sur l’aspect juridique, et le déroulement du test d’intrusion. Il n’est pas fait pour que vous appreniez à pirater les voisins ou dans votre entreprise. Je ne serai pas responsable de vos actes si vous ne déférez pas à la loi. Dans la section « aspect réglementaire« , il sera vous expliqué plus en détail à la loi Française sur la violation du système d’information qui pourra vous entraîner au pénal si vous manquerez les procédures de ce métier.

Donc, ce document s’adresse à des professionnels du métiers de la cybersécurité et aussi à des étudiants dans ce domaine qui recherchent des informations complémentaires pour sa formation.

Si vous avez bien compris, vous pouvez continuer la lecture.

2. Qu’est ce qu’un test d’intrusion?

Le test d’intrusion en Français ou Pentest en Anglais est une méthode d’évaluation de la sécurité d’un système d’information. A l’issu de ce test, on peut évaluer les risques qu’encours afin de remédier les erreurs ou les défauts de protection du système d’information de l’entreprise.

2.1 Type d’intrusion

1. Boite noire (Black box) les testeur n’a aucune information sur l’entreprise.
2. Boite grise (Grey box) le testeur a un nombre limité d’information sur l’entreprise.
3. Boite blanche (White box) le testeur possède les informations nécessaires pour entreprendre ses tests d’intrusion.

2.2 Avec quels outils?

Selon le goût et les habitudes de chacun, vous avez un embarras de choix en visitant sur ce site.
https://itsfoss.com/linux-hacking-penetration-testing/
Dans chaque distribution possède les outils standards et personnalisés propre à l’éditeur. Si vous êtes nouveau, vous pouvez tester une par une pour trouver celui qui vous conviendra le mieux.

2.3 Les différentes phases

Le test d’intrusion se compose en plusieurs phases. Chaque phase a son importante pour le déroulement de test.

1. Les règles de pré-engagement, cette phase consiste à régler juridiquement les accords sur la prestation. C’est-à-dire contractuellement les accords entrent les deux parties.
2. Reconnaissance, Cette phase consiste à faire la reconnaissance sur l’entreprise cible afin de récupérer le maximum d’information pour son travail de testeur.
3. Analyse de vulnérabilité, Cette phase consiste à analyser des vulnérabilité à partir des informations récupérées dans la reconnaissance afin de trouver des failles éventuelles.
4. Exploitation, Cette phase consiste à exploiter les failles dans la précédant phase. C’est-à-dire, exploiter ces failles pour trouver un accès physique ou logique et surtout garder les preuves d’intrusion.
5. Recherche et maintien d’accès, Cette phase consiste à maintenir d’accès une fois que l’intrusion effectué et apporter la preuve de pénétration.
6. Compte-rendus et rapports, Enfin, le compte-rendu et le rapport d’intrusion avec les preuves que vous avez effectué durant ces tests.

2.4 Les méthodes

Il existe plusieurs méthodes d’intrusion, à savoir les un et les autres ont les mêmes objectifs de trouver les failles dans le système d’information en test, sauf que la spécialisation est différente les uns et les autres : 

3. Aspect réglementaire

Il faut savoir qu’une intrusion à une système d’information sans accord encours de deux ans d’emprisonnement et 30000€ d’amende, code pénal (art. 323-1). Il est donc nécessaire de passer à la phase « Les règles de pré-engagement » avant de commencer quoi que ce soit. Il est impérativement que vous vous protégiez juridiquement et de prouver contractuellement le consentement de l’organisme audité. L’auditeur a la possibilité de labellisé PASSI auprès de l’ANSSI pour assurer la qualité des organismes audités.

Dans le cas de sous-traité le test, il est obligatoire d’établir le contrat de sous-traitance (loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance – article 3).

Pour les tests chez les intermédiaires (Hébergeurs, CDN, Cloud, etc…) il est indispensable de vérifier les contrats ou demander l’autorisation (Code pénal. art. 323-2). Le prestataire du test doit respecter de la vie privée (Code civile. art. 9 du 10 juillet 1991, code pénal art. 226-15; al 2), puis il doit utiliser les outils de test prohiber ( Code pénal, art. 323-3-1). Tout doit éviter le dommage collatéral occasionné par le test (Code pénal. art. 323-2 rt 323-3). Autre part, le prestataire du test doit respecter la confidentialité des auditeurs (Code pénal. art. 226-13, responsabilité civile), les infractions révélés du test (Code pénal. art. 223-6, al 1, Code pénal. art. 434-1, al 1), ainsi que l’usurpation d’identité (Code pénal, art. 226-4-1) et le vol d’information (Code pénal, art. 311-1).

4. Règles de pré-engagement

Un test d’intrusion n’est pas simplement un « hack » de l’entreprise, mais plutôt l’identification des risques de business. Donc, l’intérêt des testeurs est l’adaptation du test d’intrusion aux besoins de l’entreprise.

4.1 Périmètre

Le périmètre est une des phases la plus importante des testeurs, souvent négligé qui produira un effet « client non satisfait » ou pire « illégal » . Il est idéalement décrit les coûts, du temps et de charge de travail pour éviter la surfacturation ou le dépassement non-respect des délais pour le testeur.

4.2 Le but

Chaque test d’intrusion devrait être axé sur les objectifs. Il ne s’agit pas de trouver des systèmes non corrigés. Il s’agit d’identifier les risques qui auront un impact négatif sur l’organisation.

4.3 Délai de paiement

Un autre aspect de la préparation de test que de nombreux testeur oublient complètement est la façon dont ils devraient être payés. Tout comme les dates de contrats, il devrait y avoir des dates et des modalités spécifiques pour le paiements.

4.4 Estimer le temps

Les estimations de temps sont liés à l’expériences du testeur dans une certaine aptitude. Il vaut mieux d’ajouter 20% supplémentaire afin de prévoir un éventuel incidents de planning. La re-facturation peut être revue si le test d’intrusion est terminé plus tôt que prévu.

4.5 Réunion

Lancer une réunion pour expliquer les différentes phases de tests et quelles personnes devront être informer les dates de début et fin de test. La planification sur GANTT peut être utiliser afin de montrer les différents jalons et expliquer le périmètre du contrat. Avant de commencer le test d’intrusion, toutes les cibles doivent être identifiés. Ces objectifs doivent être obtenus auprès du client lors de la phase initiale du questionnaire.
Il est important de définir si des systèmes comme le pare feu, IDS/IPS se trouvent entrent le testeur et la cible finale.

Etre informer si dans certaine situation d’où les applications sont hébergées par un tier :

• Cloud
• FAI
• Managed security service
• Pays où les serveurs sont hébergés

4.6 Définir le contexte ingénierie sociale

Les attaques par le spear-phishing ou autres sont très utilisés dans le test d’intrusion. Il est important de définir qui est possible ou pas, par email: sexe, drogue, etc…

4.7 Attaque par DDos

Le test de stress ou de déni de service devraient être discuter avant le début de l’engagement. Il peut s’agir d’un sujet auquel de nombreuses d’organisation sont mal à l’aise en raison de la nature potentiellement dommageable des tests.

5.2 Rapport