Comment les experts en sécurité déjouent les ransomwares

Comment les experts en sécurité déjouent les ransomwares est profilé par BTW Media car des preuves publiées le lient à l'infrastructure Internet, à la gouvernance, aux dépendances opérationnelles ou à la visibilité sur le marché.

• Face aux pratiques illégales des pirates, un nombre croissant d'experts en sécurité collaborent avec les forces de l'ordre pour fournir des outils de décryptage gratuits.
• Les décrypteurs de ransomwares développent des outils de plusieurs manières principales: rétro-ingénierie des erreurs, collaboration avec les forces de l'ordre et collecte de clés de chiffrement accessibles publiquement.

L'ère du piratage effréné

Les pirates utilisentdes ransomwarespour cibler tous les secteurs, exigeant le plus d'argent possiblepour accéder aux fichiers de leurs victimes. C'est une activité lucrative. Au cours des six premiers mois de 2023, les gangs de ransomwares ont extorqué449 millions de dollars.
Cependant, de plus en plus d'experts en sécurité s'associent aux forces de l'ordre pour fournir des outils de décryptage gratuits

Lire aussi:Les pirates ne semblent jamais satisfaits du vol de cryptomonnaies!

Plusieurs solutions courantes

Il existe plusieurs méthodes principales utilisées par les décrypteurs de ransomwares pour développer des outils: la rétro-ingénierie des erreurs, la collaboration avec les forces de l'ordre et la collecte de clés de chiffrement publiquement disponibles. La durée de ce processus dépend de la complexité du code, mais elle nécessite généralement des informations sur le fichier chiffré, la version non chiffrée du fichier et les informations sur le serveur fournies par le groupe de pirates.

« Disposer uniquement du fichier chiffré en sortie est généralement inutile. Vous avez besoin de l'échantillon lui-même, du fichier exécutable », explique Jakub Kroustek, responsable de la recherche sur les malwares chez l'éditeur d'antivirus Avast. Ce n'est pas facile, mais quand cela fonctionne, cela apporte des avantages aux victimes concernées.

Les décrypteurs de ransomwares utilisent leurs connaissances en génie logiciel et en cryptographie pour obtenir les clés des ransomwares et créer un outil de décryptage à partir de celles-ci, selon Kroustek. Les processus de chiffrement plus avancés peuvent nécessiter une attaque par force brute, ou une supposition éclairée basée sur les informations disponibles. Parfois, les pirates utilisent des générateurs de nombres pseudo-aléatoires pour créer des clés. Un vrai générateur de nombres aléatoires serait aléatoire, mais cela signifie qu'il n'est pas facilement prévisible.

Comme l'explique van der Wiel, un générateur pseudo-aléatoire peut s'appuyer sur un motif existant pour paraître aléatoire alors qu'il ne l'est pas – par exemple, le motif peut être basé sur le moment de sa création. Si les chercheurs connaissent une partie du motif, ils peuvent essayer différentes valeurs temporelles jusqu'à déduire la clé.

Mais obtenir les clés nécessite souvent de collaborer avec les forces de l'ordre pour obtenir plus d'informations sur le mode opératoire d'un groupe de pirates. Si les chercheurs parviennent à obtenir l'adresse IP du pirate, ils peuvent demander à la police locale de saisir le serveur et d'obtenir une copie du contenu de la mémoire du serveur. Ou, si les pirates utilisent des serveurs proxy pour masquer leur emplacement, la police peut utiliser des outils d'analyse du trafic comme NetFlow pour déterminer où se dirige le trafic et en extraire des informations, a déclaré Vanderwiel.

La Convention de Budapest sur la cybercriminalité rend possibles les enquêtes transfrontalières car elle permet à la police de demander d'urgence des images de serveurs dans un autre pays en attendant qu'une demande officielle aboutisse.

Lire aussi:674 M$ de cryptomonnaies récupérés sur 2,6 G$ volés

Travailler avec les forces de l'ordre

Une collaboration avec les forces de l'ordre a permis à Cisco Talos de créer un outil de décryptage pour le ransomware Babuk tortilla. Cette variante de ransomware cible les secteurs de la santé, de l'industrie et des infrastructures nationales, en chiffrant les appareils des victimes et en supprimant les sauvegardes précieuses. Avast a créé un décrypteur Babuk universel, mais la souche tortilla s'est révélée difficile à craquer. La police néerlandaise et Cisco Talos ont travaillé ensemble pour arrêter les responsables du virus et ont obtenu au passage le décrypteur de la variante tortilla.

En général, les experts ne peuvent pas partager trop d'informations sur le processus sans donner un avantage aux gangs de ransomwares. S'ils révèlent les erreurs courantes, les pirates peuvent les utiliser pour améliorer facilement la prochaine tentative de ransomware. Si les chercheurs indiquent sur quels fichiers chiffrés ils travaillent, la bande saura qu'ils sont sur leur piste. Mais la meilleure façon d'éviter cela est d'être proactif.