Reponse questions Webinaire Ransomware 8 mars 2016

Q : Vous avez dit qu'il était possible que le ransomware utilise une clé privée/publique pour chaque
fichier chiffré, est-ce fréquent ? Si oui, comment est-il possible que le chiffrement se fasse aussi vite ?
R : Certains ransomwares génèrent en effet des centaines de paires de clés publiques/privées une fois
qu’ils sont en contact avec leur serveur de Command & Control. Ce n’est pas la méthode la plus utilisée.
Le chiffrement peut se faire assez vite étant donné que les clés publiques sont importées dans la base de
registre et donc à portée de main. . Le chiffrement ne démarrant qu’une fois les clés obtenues du C&C, le
chiffrement n’est pas plus lent avec plusieurs clés qu’avec une clé unique.
Q: Que se passe-t-il lorsque Locky (ou un autre ransomware) s'exécute sur le poste client mais n'arrive
pas à communiquer avec ses serveurs C&C ?
R: Il arrive que des ransomwares disposent de leurs propres clés de chiffrement (stockés dans le binaire).
Certains vont essayer de rentrer en contact avec leur serveur de C&C avant de commencer à chiffrer,
d’autres lancent directement le chiffrement du poste. Pour information, si le ransomware a pu établir
une première communication avec un de ses serveurs de Command & Control, il obtient en général une
liste complémentaire de proxys et de serveurs de Command & control. En cas de perte de
communication avec un de ses serveurs de C&C, le ransomware pourra être redirigé vers un autre
serveur afin de tenter la récupération d’une paire de clés publique/privée afin de lancer le chiffrement.
Q: A quoi sert le module PUA de Sophos? Ne peut-il pas tout simplement détecter un tel
comportement?
R :Le module PUA dans Sophos Endpoint est utilisé pour détecter les applications potentiellement
Indésirables (Potentially Unwanted Applications) au sein d’un réseau d’entreprise (PSExec,PSkill, Outils
de prise de main à distance). Elles ne contiennent pas du code malveillant mais mal utilisées peuvent
représenter une menace.
Q: Avez-vous une règle "modèle" pour bloquer les flux vers les serveurs C2C mise à part le drecryptage
HTTPS ?
R: Le filtrage des URLs malveillantes permet aussi de bloquer les liens vers des serveurs de type C&C
Q: Les fileSystem de type Mac ou Linux sont- ils concernés par ces attaques ?
R: La grande majorité des ransomwares a pour cible les plateformes Windows. Toutefois, beaucoup de
clients qui utilisent des serveurs de fichiers Unix/Linux avec des partages Samba rendent l’infection
possible. Nous avons observé un des premiers Ransomwares sous Mac OS X la semaine dernière. Plus
d’information à ce sujet ici
Q: Un organisme centralise t-il les statistiques relatives à ces attaques ? ( nombre d'entreprise recevant
les emails , nombre touchées, amplitude rançon, ect, ... )
R: Lorsque ces informations sont publiées, nous traitons généralement cette information sur les blogs
Sophos (http://nakedsecurity.sophos.com et http://www.sophosfranceblog.fr. Vous pouvez également
consulter le site du CERT-FR qui lance régulièrement des alertes sur les dernières attaques malveillantes.
http://www.cert.ssi.gouv.fr/
A titre d’exemple, un de leur dernier bulletin d’alerte datant du 4 mars 2016, donne la liste d’URLs
connues pour être utilisées pour télécharger Locky et pour héberger des serveurs de type Command &
Control.
Q: Est-ce qu'il est envisageable d'avoir un ransomware qui sommeil pendant plusieurs semaines ?
R: Oui, cela est possible est assez fréquent dans le cas de ransomware installé sur une machine et restant
derrière un firewall empêchant de récupérer la clé de chiffrement, mais déclenchant le chiffrement
lorsque la connectivité est restaurée. Le cas fréquent est la machine PC portable infectée restant sur un
bureau pendant quelque temps, puis le collaborateur se déplaçant ou travaillant à domicile. N’étant plus
protégé par le firewall, l’obtention de la clé de chiffrement est possible. Nous avons eu des cas de
ransomwares qui restaient inactifs pendant quelques jours (le dernier en date était sous Mac OS X). Il
n’est pas impossible que des Ransomwares puissent rester en sommeil pendant plusieurs semaines.
Toutefois, le but premier étant de collecter de l’argent, ils se déclarent en règle générale au bout de
quelques heures, une fois le chiffrement des données terminé.
Q: Est-ce que le nouveau client Sophos Endpoint offre une meilleure protection?
R: En plus de proposer des évolutions sur nos solutions existantes afin de mieux protéger nos clients
(MTD, Heartbeat, Synchronised Security etc…), nous travaillons en permanence à l’intégration de
nouvelles fonctionnalités. A titre d’exemple, avec le rachat de la société SurfRight (commercialisation du
produit HitManPro), notre offre Sophos Endpoint intégrera un module supplémentaire permettant
d’améliorer la détection des exploits. Il est en outre recommandé d’activer l’ensemble des fonctions de
sécurité de la solution afin de réduire la surface d’exposition aux risques.
Q: Est-il envisagé de pouvoir proposer le Sandboxing avec les licences "Cloud Email Security" ?
R: L’intégration de Sandstorm dans l’ensemble des produits Sophos fait effectivement partie de notre
stratégie produits
Q: Ne peut-on pas bannir les IP des serveurs Malicieux ?
R: Il est tout à fait possible et même recommandé de bannir les @IP des serveurs malicieux quand
l’information est disponible et valide Nous vous recommandons de vous rapprocher du CERT-FR qui
publie régulièrement la liste des URLs de serveurs de type C&C.
http://www.cert.ssi.gouv.fr/
Q: Avez-vous des packages de paramètres installables sur vos Firewall pour bloquer le trafic sortant
vers TOR et les autres sources pour les C&C ?
R: TOR est pris en charge comme application dans les firewalls Sophos et filtré comme tel. Il suffit de
bloquer TOR pour régler le problème sur ce point.
Q: Bonjour, Y a-t-il des règles particulières à mettre en place sur le client Sophos Endpoint pour contrer
les ransomwares ?
R: Voici quelques bonnes pratiques pour le produit Sophos Endpoint.







S’assurer que les options de contrôle de l’antivirus : lecture, écriture et renommage soient bien
activées
Activer la protection Live Sophos
Activer la détection comportementale/Heuristique (HIPS), (et surtout le blocage sur détection!)
Activer la protection Web, au strict minimum sur les URLs malveillantes, mais réduisez le risque
avec les catégories indésirables
Pare-feu client activé et filtrant
Détecter les communications suspectes en activant le module Malicious Traffic Detection
Mise en place du contrôle d’applications autorisées sur le poste de travail
Vous devriez également comparer les politiques actives avec nos recommandations grâce à Sophos
Policy Evaluator : https://www.sophos.com/support/knowledgebase/122615.aspx
Enfin, je vous invite à consulter les articles suivants pour plus d’information.
https://www.sophos.com/en-us/support/knowledgebase/114345.aspx
Q: Est-il possible d'envoyer les fichiers cryptés chez Sophos pour trouver une solution ?
R: Malheureusement nous ne pourrons rien faire si vous nous faîtes parvenir des fichiers chiffrés par un
Ransomware. En effet, nous ne disposons évidemment pas des clés privées nécessaire pour déchiffrer les
fichiers.
En cas de non détection du ransomware, vous pouvez soumettre l’échantillon via ce formulaire :
https://secure2.sophos.com/en-us/support/contact-support/sample-submission.aspx