Ransomware : impact de la vitesse de chiffrement de données sur la sécurité

Cybersécurité
Description de l'image
Victor Pineau

Le dernier article avait pour sujet la présentation de diverses menaces en matière de cybersécurité. Cette année l’accent a été mis sur les problématiques d’hameçonnage (phishing) et de rançongiciels (ransomware). Il est question dans cet article, de vous présenter ce sujet plus en profondeur.

Cet article traite un aspect essentiel des ransomwares qui participe aujourd’hui à leur renommée : la vitesse de chiffrement des données.
En effet, cette dernière n’a eu de cesse de diminuer afin de garantir le succès d’une attaque informatique. Elle a ainsi entraîné un changement dans l’élaboration des mesures de sécurité.

Lors d’une infection d’un poste ou tout autres actions compromettant un système d’informations, plusieurs choix s’offrent aux pirates :

Récemment, le choix le plus courant est de chiffrer la donnée puis de demander une rançon.

Le chiffrement aidé par l’exploitation efficace des composants matériels

En premier lieu, la vitesse de chiffrement des données dépend des performances matérielles telles que la vitesse des disques ou bien l’utilisation de threads CPU (Processeur) dans leur entièreté.
En effet, sur les processeurs disposant de multithreading, la mise en parallèle des tâches de chiffrement permet d’accélérer l’opération. Cependant, la vitesse dépend surtout du mode opératoire de chiffrement choisi.

Dans le cas d’un ransomware, il est courant que les fichiers d’utilisateurs tels que les documents Office, PDF, images, vidéos, fichiers audio, textes et fichiers de code source soient chiffrés, renommés et/ou imprégnés par des marqueurs de fichiers spécifiques (ex : .clop .cuba .lock64 .seth).

Des stratégies de chiffrement sans cesse en recherche de performance

Récemment, une équipe d’experts stratégiques en cybersécurité chez Splunk a testé, lors d’une étude, 10 des grandes familles de ransomware, dont Lockbit*, Conti et REvil*, pour chiffrer 100 000 fichiers, soit 45 Go.
La durée médiane du chiffrement de ces informations était de 42 minutes et 52 secondes, Lockbit prenait 5 minutes 50 tandis que les plus longs prenaient jusqu’à près d’une heure.

Ces chiffres sont confirmés directement par un post sur le site Lockbit (voir « Disparu en 52 secondes… et 42 minutes : une analyse comparative de la vitesse de chiffrement des ransomwares »), ces derniers prennent 4 minutes et 28 secondes pour chiffrer 100 Go de données. Leur méthodologie est donc de casser la donnée en fragments de 4 Ko pour ensuite les chiffrer.

Conti, qui prend 17 minutes pour chiffrer 100 Go, le fait différemment en fonction de la taille des fichiers. Pour cela il effectue une recherche par extensions.

Par exemple, pour les petits fichiers d’environ 1 Mo, il n’est généralement pas nécessaire de boucler et de chiffrer plusieurs fois. Le contenu du fichier est directement lu en mémoire puis chiffré.

De même, pour les fichiers moyens de < 5 Mo, Conti ne chiffre que les 1 Mo du début.

Enfin, pour les fichiers de plus de 5 Mo (.vdi, .iso, .bin, …) il ne chiffre qu’une certaine partie du fichier, calculée en fonction de la taille totale.

Dans certains cas, les pirates tels que le groupe Notpeya* peuvent chiffrer des fichiers système critiques, des partitions de disque ou le MBR (zone d’amorce d’un disque dur).
D’autres ont chiffré les principaux fichiers du système d’exploitation Windows, comme LockerGoga*.

Une approche de la sécurité adaptée à la rapidité de la menace

Les résultats de ces études ont permis de mettre en évidence les domaines sur lesquels il fallait consacrer des efforts. Il y a encore quelques années, le chiffrement de données pouvait prendre jusqu’à plusieurs jours.
Désormais ce gain de performance sur les stratégies de chiffrement, grâce aux différentes stratégies, a changé l’approche sécurité du processus de détection et de mitigation de la menace. Le chiffrement étant si rapide, il est recommandé de concentrer les efforts sur la détection de l’attaque en amont du chiffrement et ainsi identifier les comportements suspects du réseau lors des phases de reconnaissance ou d’accès initial de l’attaque.

En cas de compromission du SI, une stratégie de limitation de l’étendue des dommages est alors envisageable. Au mieux, une action automatique ou bien la configuration d’une règle prévenant les comportements suspects comme l’exécution de processus, les changements de droits ou la modification de masse sur des fichiers (l’appel API de fonctions spécifiques au chiffrement, etc.) de se produire sur les postes de travail.

Surtout, il est nécessaire d’avoir un plan de sauvegarde des données sur des supports hors-ligne avec des méthodes de récupération éprouvées permettant de retrouver une activité quasi-normale après une attaque par ransomware.

Enfin, et c’est en ça que le mois de la cybersécurité est important ; il est primordial de sensibiliser les collaborateurs afin qu’ils soient une première barrière contre les menaces de cyber-attaques, plutôt qu’un reflet d’une vulnérabilité.

*Il s’agit de groupes malveillants dont le nom est souvent associés avec les outils qu’il utilisent pour exploiter les vulnérabilités

Articles Similaires

Cybersécurité

Panorama des techniques d’ingénierie sociale

Qu’est-ce que l’ingénierie sociale ? L’ingénierie sociale regroupe un ensemble de techniques de manipulation utilisées par des acteurs malveillants visant à abuser de...

Cybersécurité

Zoom sur le phishing et le ransomware

Tous les ans, au mois d’octobre, l’Agence Nationale Sécurité des Systèmes d’Information (ANSSI) et Cybermalveillance.gouv.fr organisent une campagne de sensibilisation...

Cybersécurité

Le rôle d’un SOC dans l’entreprise

La forte recrudescence d’attaques informatiques de ces dernières années a mis en lumière une équipe de cyber sécurité peu connue...