DearCry, une variante du logiciel rançonneur, est conçu pour tirer parti de quatre vulnérabilités récemment révélées dans Microsoft Exchange. Une fois qu'elle accède à un ordinateur, elle chiffre les fichiers qui y sont stockés, ce qui les rend impossibles d'accès sans la clé de déchiffrement correspondante (connue uniquement des attaquants).
En mars 2021, Microsoft a publié des correctifs pour quatre vulnérabilités critiques au sein des serveurs Microsoft Exchange. Ces vulnérabilités ont été activement exploitées dans diverses campagnes d’attaque. DearCry est une variante de logiciel rançonneur conçue pour exploiter ces serveurs Microsoft Exchange vulnérables.
Le logiciel malveillant effectue une énumération des lecteurs pour identifier tous les supports de stockage accessibles à partir d’une machine infectée. Pour chacun de ces disques, le logiciel rançonneur DearCry va chiffrer certains types de fichiers (en fonction des extensions de fichiers) en utilisant AES et RSA-2048. Une fois le chiffrement terminé, DearCry affichera une demande de rançon demandant aux utilisateurs d’envoyer un e-mail aux opérateurs du logiciel rançonneur pour apprendre à déchiffrer leurs machines.
Lorsque la demande de rançon DearCry s'affiche, c'est que le mal est déjà fait. La meilleure façon de répondre à DearCry – ou à tout autre type de logiciel rançonneur – est de détecter et de bloquer le logiciel rançonneur avant que le chiffrement des données ne puisse commencer.
Le déploiement de protections anti-logiciels est la méthode la plus efficace pour y parvenir. Des outils tels que l’émulation de menace de Check Point utilisent l’analyse comportementale pour identifier les signes avant-coureurs d’une attaque de logiciel rançonneur, ce qui permet à l’utilisateur de remédier à la menace avant que des dommages ne soient causés. Parce que tout logiciel rançonneur a besoin d’effectuer certaines actions (comme chiffrer des fichiers) pour atteindre ses objectifs, cette approche est efficace contre tous les types de logiciels rançonneur.
Cependant, des protections ciblées sur un type spécifique de logiciel rançonneur peuvent contribuer à améliorer la rapidité et l’efficacité de la réponse d’une organisation. En plus de la protection générique Threat Emulation pour logiciel rançonneur (qui bloque avec succès DearCry), Check Point a publié deux protections dédiées pour les produits suivants :
Ces outils de détection dédiés permettent de détecter et d'éradiquer plus rapidement et plus facilement une éventuelle infection par DearCry sur les systèmes d'une organisation.
Pour se prémunir contre le logiciel rançonneur DearCry, les protections ciblées (comme celles déployées dans Threat Emulation et Harmony Endpoint) sont les solutions les plus efficaces pour une attaque active. Les protections plus générales des logiciels rançonneur peuvent également détecter cette menace et sont vitales pour identifier et bloquer les attaques zero-day des logiciels rançonneur.
Cependant, les entreprises doivent mettre en œuvre une défense en profondeur pour minimiser le coût et l’impact potentiels des attaques de logiciels rançonneurs. Voici quelques bonnes pratiques pour la prévention des logiciels rançonneurs :
Le paysage des menaces liées aux logiciels rançonneur est en constante évolution. DearCry est l’une des dernières itérations d’une menace qui existe depuis des années, et elle exploite la vulnérabilité récemment découverte dans un produit largement utilisé. Les entreprises ont besoin de solutions anti-rançonneur ciblées capables de suivre et d’atténuer les dernières menaces de rançonneur de logiciels.
Logiciel Rançonneur attaque la Poste, donc la Poste devrait être au centre de toute stratégie anti-Logiciel Rançonneur. Harmony Endpoint de Check Point est une solution complète de Sécurité des postes qui offre une protection complète contre les logiciels rançonneur, y compris à la fois la détection générale basée sur le comportement et des protections ciblées sur des variantes spécifiques.
Sa prise en charge de la chasse aux menaces, associée au cadre MITRE ATT&CK, permet également à l’équipe de sécurité d’une entreprise de rechercher et d’enquêter de manière proactive sur les menaces et les incursions potentielles au sein de son réseau. Pour en savoir plus sur la chasse aux menaces avec Harmony Endpoint, consultez cette procédure pas à pas.
Harmony Endpoint offre une protection complète contre les menaces telles que le logiciel rançonneur DearCry. Pour en savoir plus sur ses fonctionnalités, consultez cette présentation du produit. Vous pouvez également demander une démo personnalisée pour découvrir par vous-même la puissance d’Harmony Endpoint.