Sophos, un leader mondial de la cybersécurité innovante « as a Service », annonce la publication d’une nouvelle étude intitulée « CryptoGuard : An Asymmetric Approach to the Ransomware Battle », selon laquelle certains groupes de ransomwares comptant parmi les plus prolifiques et les plus actifs, Akira, ALPHV/BlackCat, LockBit, Royal ou Black Basta, activent délibérément le mode « chiffrement à distance » pour lancer leurs attaques. Dans le cas des attaques utilisant le chiffrement à distance, également connues sous l’appellation « ransomware distants », les adversaires utilisent un système endpoint infecté et souvent insuffisamment protégé pour chiffrer des données sur d’autres appareils connectés au même réseau.
Acquise par Sophos en 2015*, la technologie anti-ransomware CryptoGuard est incluse dans l’ensemble des licences Sophos Endpoint. Sophos CryptoGuard surveille le chiffrement malveillant des fichiers et assure une protection et une restauration (roll-back) immédiates, même lorsque le ransomware proprement dit n’apparaît jamais sur un système hôte protégé. Cette technologie sans équivalent constitue une ultime ligne de défense dans la stratégie de protection multicouche déployée par Sophos, s’activant uniquement lorsqu’un adversaire la déclenche à une étape ultérieure de la chaîne d’attaque. Les attaques intentionnelles avec chiffrement à distance détectées par CryptoGuard ont augmenté de 62 % en variation annuelle depuis 2022.
« Dans les entreprises où plusieurs milliers d’ordinateurs peuvent être connectés, il suffit d’un seul appareil sous-protégé pour qu’un ransomware distant compromette l’ensemble du réseau. Les cyberattaquants le savent parfaitement et c’est pour cette raison qu’ils recherchent le « maillon faible » présent dans la plupart des entreprises. Le chiffrement à distance reste un problème constant pour les cyberdéfenseurs, car d’après les alertes que nous avons vues, cette méthode d’attaque est de plus en plus utilisée », a déclaré Mark Loman, vice-président de Sophos en charge des recherches sur les menaces et co-créateur de CryptoGuard.
Dans la mesure où ce mode d’attaque implique le chiffrement de fichiers à distance, les méthodes classiques de protection anti-ransomware mises en œuvre sur les appareils déportés ne sont pas en mesure de « voir » les fichiers malveillants ni leur activité, empêchant toute protection contre les tentatives de chiffrement non autorisées et les pertes de données potentielles. A contrario, la technologie CryptoGuard de Sophos adopte une approche originale pour stopper les ransomwares distants, comme l’explique l’article de Sophos X-Ops : l’analyse du contenu des fichiers permet de voir si des données ont été chiffrées dans le but de détecter la présence de ransomware sur n’importe quel appareil connecté au réseau, même en l’absence de malware sur l’appareil.
En 2013, CryptoLocker fut le premier ransomware prolifique à utiliser le chiffrement à distance avec chiffrement asymétrique (ou « à clé publique »). Depuis, les auteurs de menaces ont intensifié l’utilisation des rançongiciels, exploitant les multiples failles de sécurité que l’on trouve dans les entreprises du monde entier, ainsi que l’avènement des cryptomonnaies.
« Il y a dix ans, lorsque nous avons remarqué pour la première fois que CryptoLocker utilisait le chiffrement à distance, nous avons annoncé que cette tactique poserait de graves problèmes aux cyberdéfenseurs. D’autres solutions se concentrent sur la détection ou l’exécution de binaires malveillants. Dans le cas du chiffrement à distance, le malware et son exécution résident sur un ordinateur (non protégé) différent de celui sur lequel se trouvent les fichiers chiffrés. Le seul moyen d’arrêter le processus est de surveiller les fichiers et de les protéger. C’est pour cette raison que nous avons innové avec CryptoGuard », a ajouté Mark Loman.
« CryptoGuard ne chasse pas les ransomwares, mais se focalise sur leurs cibles principales, à savoir les fichiers. Notre outil soumet les documents à une analyse mathématique pour détecter les signes de manipulation et de chiffrement. Il est à noter que l’efficacité de cette stratégie autonome ne s’appuie délibérément pas sur des indicateurs de compromission, des signatures de menaces, l’intelligence artificielle, l’analyse du cloud et autres connaissances préalables. En nous concentrant sur les fichiers, nous pouvons modifier le rapport de force entre les cyberattaquants et les cyberdéfenseurs. Et en augmentant le coût et la complexité du chiffrement des données, nous amenons les cyberattaquants à abandonner leurs objectifs. C’est l’un des piliers de notre stratégie de défense asymétrique. »
« Les ransomwares distants constituent un problème majeur pour les entreprises et contribuent à la longévité des attaques par rançongiciel au sens large. Dans la mesure où la lecture des données est moins rapide sur une connexion réseau que sur un disque local, certains cyberattaquants comme LockBit ou Akira ne chiffrent stratégiquement qu’une fraction de chaque fichier. Cette approche vise à maximiser l’impact en un minimum de temps, réduisant davantage encore la fenêtre de détection de l’attaque et le délai de réaction des cyberdéfenseurs. L’approche de la lutte anti-ransomware mise en œuvre par Sophos permet de neutraliser les attaques à distance, mais également celles qui chiffrent seulement 3 % d’un fichier. Nous souhaitons que les entreprises utilisent cette méthode d’attaque persistante pour protéger leurs systèmes endpoint avec une efficacité optimale. »