Protection contre les ransomwares

À l'heure actuelle, l'envoi par email (spam) d'archives avec des scripts exécutables constitue l'un des moyens de diffusion de ransomwares parmi les plus courants. Il arrive aussi que des documents Microsoft Office contenant des macros malveillantes soient envoyés en pièces jointes.

Dans les produits Kaspersky, le composant Antivirus pour email analyse l'ensemble du contexte du message (y compris les pièces jointes aux emails) et applique de solides méthodes heuristiques à leur contenu.

EP – Exploit Prevention est le composant de protection contre les malwares spécialement conçu pour empêcher la pénétration de programmes malveillants (y compris les ransomwares) du fait des vulnérabilités logicielles. Parmi les principales applications protégées par EP, on peut citer les navigateurs, les applications bureautiques ou encore les lecteurs PDF. À chaque action suspecte du logiciel concerné, tel que le démarrage d'un processus enfant, le composant applique une analyse de sécurité supplémentaire du comportement au regard des schémas de comportements malveillants. EP contribue à bloquer les ransomwares, y compris CryptXXX et bien d'autres encore.

En 2017, le monde entier a appris que la vulnérabilité des réseaux a donné lieu à des attaques par la diffusion de ransomwares. La vulnérabilité propre aux PME a, en effet, engendré la prolifération du ransomware WannaCry. Or, une telle intrusion ne peut être stoppée qu'au niveau du réseau. Les produits Kaspersky sont dotés d'un composant spécialement dédié à l'analyse du trafic réseau – un système de détection des intrusions (IDS). Il analyse un petit nombre de paquets réseau et y applique des schémas heuristiques afin de détecter toute activité malveillante sur le réseau. Ce composant détecte avec succès les exploits EternalBlue/EternalRomance. Il a permis d'éviter une infection due à WannaCry.

Les cybercriminels emploient diverses techniques pour tenter de déjouer la détection statique. En l'espèce, la Détection comportementale devient l'ultime – mais aussi la plus efficace – ligne de défense. L'analyse de chaque activité des processus permet de mettre au jour les schémas de comportements malveillants. Après quoi le produit met fin au processus et annule les modifications à l'aide du Moteur d'actions correctives. La détection comportementale est efficace même face à des menaces qui étaient préalablement inconnues, y compris les ransomwares. Le mécanisme de base des ransomwares se décompose en plusieurs étapes :

• Repérer des fichiers importants sur l'appareil d'une victime
• Lire le contenu de chacun de ces fichiers
• Chiffrer ce contenu et effectuer des modifications sur le disque

Face à ce schéma de comportements malveillants, le Moteur comportemental bloque le processus et annule les modifications à l'aide du moteur d'actions correctives/remédiation. Parmi les exemples de détection de ransomwares rendue possible grâce à ce schéma, on peut citer Polyglot, WannaCry (fonction de chiffrement du programme malveillant), etc.

La détection de ransomwares n'est pas limitée par ce schéma ; beaucoup d'autres pourraient s'avérer efficaces contre ce type de menaces. L'efficacité de cette approche a été prouvée, en juillet 2017, lors de l'attaque du ransomware ExPetr. Les cybercriminels ont utilisé une partie de bas niveau du ransomware Petya pour chiffrer la table de fichiers principale (MFT – Master File Table). Celle-ci contient tous les fichiers, le répertoire et les métadonnées de fichier du système de fichiers NTFS. Pour l'exécuter, ils exécutent un composant de haut niveau qui réécrit le secteur d'amorçage maître (MBR – Master Boot Record). Le composant Moteur comportemental (Threat Behavior Engine) considère qu'un tel comportement est malveillant et met alors fin au processus. Même si d'autres cybercriminels écrivaient des ransomwares du même type, ces derniers ne seraient pas fonctionnels et échoueraient quel que soit le type de techniques de brouillage/d'anti-émulation employées.