Les inconvénients du "débogage" des rançongiciels

Les ransomwares, le fléau de la sécurité du monde numérique moderne, ne cessent de devenir de plus en plus dangereux. Étaient éduquer les utilisateurs sur ce qu'il faut faire, mais il est difficile de garder une longueur d'avance sur le cryptage tueur parsemé généreusement autour de couches de pistes numériques obscurcies qui cachent les actes des méchants et vos fichiers. Pendant ce temps, le péage enterre les entreprises et lie les mains des législateurs implorant une solution. Mais si nous ouvrons les clés du rançongiciel, n'aiderons-nous pas simplement les méchants à l'améliorer la prochaine fois ?

Plus tôt ce mois-ci lors d'une conférence numérique atelier au cœur de la République tchèque, les développeurs de décrypteurs de rançongiciels ont partagé avec les participants comment ils ont déchiffré une partie du code et récupéré les données des utilisateurs. Grâce à une analyse minutieuse, ils trouvaient parfois des erreurs dans les implémentations ou les opérations des méchants, ce qui leur permettait d'inverser le processus de cryptage et de restaurer les fichiers brouillés.

Mais lorsque les bons gars annoncent l'outil au public, les escrocs reconfigurent rapidement leurs marchandises avec des tactiques qui sont "plus complètement impossibles à pirater", empêchant les chercheurs d'ouvrir le prochain lot de fichiers. Fondamentalement, les chercheurs déboguent les marchandises des escrocs pour eux dans un cycle non vertueux.

Nous ne le réparons donc pas, nous le poursuivons, y réagissons, peignant sur les dégâts. Mais tout succès peut être éphémère, car il reste impossible de se remettre de l'essentiel de la dévastation pour les petites entreprises qui ont estimé qu'elles a dû payer pour rester en affaires.

Les gouvernements – malgré leurs bonnes intentions – sont également réactifs. Ils peuvent recommander, aider au processus de réponse aux incidents et peut-être envoyer leur soutien, mais cela est également réactif et offre peu de confort à une entreprise fraîchement vidée.

Alors ils passent à suivi des finances. Mais les méchants sont généralement bons pour se cacher - ils peuvent se permettre tous les bons outils en payant les gros sous qu'ils viennent de voler. Et, très franchement, ils en savent peut-être plus que de nombreux acteurs gouvernementaux. C'est comme poursuivre une voiture de course F1 avec un cheval raisonnablement rapide.

Quoi qu'il en soit, les chercheurs doivent être plus que des bêta-testeurs pour les méchants.

Vous ne pouvez pas non plus simplement détecter les outils des cybercriminels et les bloquer, car ils peuvent tirer parti des outils système standard utilisés pour le fonctionnement quotidien de votre ordinateur ; ils peuvent même être livrés dans le cadre du système d'exploitation. Les outils open source sont le ciment qui maintient l'ensemble du système, mais peuvent également être le ciment qui maintient le processus de cryptage du ransomware qui verrouille le système.

Il vous reste donc à déterminer comment les criminels agissent. Avoir un marteau dans la main dans l'atelier d'un mécanicien n'est pas mal jusqu'à ce que vous vous frappiez contre une fenêtre pour le casser. De même, la détection d'une action suspecte permet de détecter le début d'une attaque. Mais faire cela à la vitesse des nouvelles variantes d'attaque est difficile.

Ici, en Europe, des efforts considérables sont déployés pour réunir les gouvernements de divers pays afin de partager des informations sur les tendances des ransomwares, mais les groupes qui dirigent ces efforts ne sont pas directement chargés de l'application de la loi ; ils ne peuvent qu'espérer que les juridictions chargées de l'application de la loi agissent rapidement. Mais cela ne se produit pas à la vitesse des logiciels malveillants.

Le cloud a certainement aidé, car les solutions de sécurité peuvent en tirer parti pour proposer des scénarios de pré-attaque à la minute près que votre ordinateur devrait déclencher pour arrêter une attaque.

Et cela réduit la durée de vie des outils et techniques efficaces de ransomware afin qu'ils ne rapportent pas beaucoup d'argent. Il en coûte de l'argent aux méchants pour développer un bon rançongiciel, et ils veulent un retour sur investissement. Si leurs charges utiles ne fonctionnent qu'une ou deux fois, cela ne paie pas. Si cela ne paie pas, ils iront faire autre chose, et peut-être que les organisations pourront reprendre leurs activités.

Sauvegardez le lecteur

Un conseil de pro de la conférence : sauvegardez vos données cryptées si vous êtes touché par un rançongiciel. Dans le cas où un décrypteur est finalement publié, vous pourriez toujours avoir une chance de restaurer les fichiers perdus à l'avenir. Non pas que cela vous aide en ce moment.

Le meilleur moment pour sauvegarder les choses est, bien sûr, lorsque vous n'êtes pas extorqué par un ransomware, mais il n'est jamais trop tard pour commencer. Bien qu'il date de plus d'une décennie à ce stade, le guide de WeLiveSecurity pour Bases de sauvegarde fournit toujours des informations pratiques fournit des informations pratiques sur la façon d'aborder le problème et de développer une solution qui fonctionne pour votre maison ou votre petite entreprise.

ESET contre les rançongiciels

Au cas où vous vous demanderiez où ESET en est sur la création de décrypteurs de ransomwares, nous adoptons une approche mixte : nous voulons protéger les gens contre les ransomwares (que nous classons souvent comme des malwares Diskcoder ou Filecoder), ainsi que fournir des moyens de récupérer les données. En même temps, nous ne souhaitons pas alerter les gangs criminels derrière ce fléau que nous avons fait l'équivalent technologique d'ouvrir leurs portes verrouillées avec un ensemble de crochets numériques.

Dans certains cas, un décrypteur peut être publié et mis à la disposition du public via l'article de la base de connaissances ESET Outils de suppression de logiciels malveillants autonomes. Au moment de la publication, nous avons environ une demi-douzaine d'outils de décryptage actuellement disponibles là-bas. D'autres outils de ce type sont disponibles sur le site de l'initiative No More Ransom, dont ESET est un partenaire associé depuis 2018. Dans d'autres cas, cependant, nous écrivons des décrypteurs mais ne publions pas publiquement d'informations à leur sujet.

Les critères pour annoncer qu'un décrypteur a été publié varient avec chaque morceau de ransomware. Ces décisions sont basées sur une évaluation minutieuse de nombreux facteurs, tels que la prolificité du ransomware, sa gravité, la rapidité avec laquelle les auteurs du ransomware corrigent les bogues de codage et les défauts de leur propre logiciel, etc.

Même lorsque les parties contactent ESET pour recevoir de l'aide pour déchiffrer leurs données, des informations spécifiques sur la façon dont le déchiffrement a été effectué ne sont pas partagées publiquement afin de permettre au déchiffrement de fonctionner aussi longtemps que possible. Nous pensons que cela offre le meilleur compromis entre la protection des clients contre les ransomwares tout en étant en mesure d'aider à décrypter les fichiers ransomwares le plus longtemps possible. Une fois que les criminels sont conscients qu'il y a des trous dans leur cryptage, ils peuvent les réparer, et il peut s'écouler beaucoup de temps avant que d'autres failles puissent être trouvées qui permettent de restaurer les données sans que leur propriétaire ne soit extorqué.

Traiter avec les ransomwares, à la fois ses opérateurs et le code du ransomware lui-même, est un processus délicat, et c'est souvent un jeu d'échecs qui peut prendre des semaines, des mois, voire des années pour se jouer alors que les bons combattent les méchants. Le point de vue d'ESET est d'essayer de faire le maximum de bien, ce qui signifie aider autant de personnes que possible pendant le plus longtemps possible. Cela signifie également que si vous rencontrez un système affecté par un ransomware, ne perdez pas espoir, il y a toujours une chance qu'ESET puisse vous aider à récupérer vos données.

Les ransomwares sont peut-être un problème qui ne disparaîtra pas de si tôt, mais ESET est prêt à vous en protéger. Cependant, le prévenir en premier lieu est toujours bien meilleur que le guérir.