DearCry logiciel rançonneur

DearCry, une variante du logiciel rançonneur, est conçu pour tirer parti de quatre vulnérabilités récemment révélées dans Microsoft Exchange. Une fois qu'elle accède à un ordinateur, elle chiffre les fichiers qui y sont stockés, ce qui les rend impossibles d'accès sans la clé de déchiffrement correspondante (connue uniquement des attaquants).

Parlez à un expert En savoir plus

Comment fonctionne le logiciel rançonneur DearCry ?

En mars 2021, Microsoft a publié des correctifs pour quatre vulnérabilités critiques au sein des serveurs Microsoft Exchange. Ces vulnérabilités ont été activement exploitées dans diverses campagnes d’attaque. DearCry est une variante de logiciel rançonneur conçue pour exploiter ces serveurs Microsoft Exchange vulnérables.

Le logiciel malveillant effectue une énumération des lecteurs pour identifier tous les supports de stockage accessibles à partir d’une machine infectée. Pour chacun de ces disques, le logiciel rançonneur DearCry va chiffrer certains types de fichiers (en fonction des extensions de fichiers) en utilisant AES et RSA-2048. Une fois le chiffrement terminé, DearCry affichera une demande de rançon demandant aux utilisateurs d’envoyer un e-mail aux opérateurs du logiciel rançonneur pour apprendre à déchiffrer leurs machines.

Comment se protéger contre DearCry logiciel rançonneur

Lorsque la demande de rançon DearCry s'affiche, c'est que le mal est déjà fait. La meilleure façon de répondre à DearCry – ou à tout autre type de logiciel rançonneur – est de détecter et de bloquer le logiciel rançonneur avant que le chiffrement des données ne puisse commencer.

Le déploiement de protections anti-logiciels est la méthode la plus efficace pour y parvenir. Des outils tels que l’émulation de menace de Check Point utilisent l’analyse comportementale pour identifier les signes avant-coureurs d’une attaque de logiciel rançonneur, ce qui permet à l’utilisateur de remédier à la menace avant que des dommages ne soient causés. Parce que tout logiciel rançonneur a besoin d’effectuer certaines actions (comme chiffrer des fichiers) pour atteindre ses objectifs, cette approche est efficace contre tous les types de logiciels rançonneur.

Cependant, des protections ciblées sur un type spécifique de logiciel rançonneur peuvent contribuer à améliorer la rapidité et l’efficacité de la réponse d’une organisation. En plus de la protection générique Threat Emulation pour logiciel rançonneur (qui bloque avec succès DearCry), Check Point a publié deux protections dédiées pour les produits suivants :

Ces outils de détection dédiés permettent de détecter et d'éradiquer plus rapidement et plus facilement une éventuelle infection par DearCry sur les systèmes d'une organisation.

logiciel rançonneur Prevention Best Practices

Pour se prémunir contre le logiciel rançonneur DearCry, les protections ciblées (comme celles déployées dans Threat Emulation et Harmony Endpoint) sont les solutions les plus efficaces pour une attaque active. Les protections plus générales des logiciels rançonneur peuvent également détecter cette menace et sont vitales pour identifier et bloquer les attaques zero-day des logiciels rançonneur.

Cependant, les entreprises doivent mettre en œuvre une défense en profondeur pour minimiser le coût et l’impact potentiels des attaques de logiciels rançonneurs. Voici quelques bonnes pratiques pour la prévention des logiciels rançonneurs :

  • Gestion des correctifs : Le logiciel rançonneur DearCry exploite une vulnérabilité critique dans les serveurs Microsoft Exchange. Il est essentiel de maintenir l’appareil à jour pour minimiser les vecteurs d’entrée potentiels dont un attaquant peut tirer parti.
  • Éducation des employés : le logiciel rançonneur est généralement fourni par le biais de l’hameçonnage et d’autres techniques qui profitent des employés. Former les employés à reconnaître et à répondre correctement à ces types d’attaques peut réduire considérablement le risque d’attaques de logiciels et d’autres types d’attaques.
  • Sécurité des e-mails : Le courrier électronique est l’un des principaux vecteurs d’infection pour tous les types de logiciels malveillants, y compris les logiciels rançonneurs. Une solution de sécurité des e-mails peut utiliser l’émulation de machine d’apprentissage et de bac à sable pour identifier et supprimer le contenu malveillant des e-mails avant qu’il n’atteigne la boîte de réception de l’utilisateur.
  • Accès à distance sécurisé : La pandémie de COVID-19 a fait des réseaux privés virtuels (VPN) et du protocole RDP (Remote Desktop Protocol) certains des mécanismes de livraison les plus populaires pour les logiciels rançonneur. La sécurisation de l'infrastructure de télétravail d'une organisation peut aider à bloquer ce vecteur d'attaque potentiel.
  • Sécurité des postes : le logiciel rançonneur peut être délivré via une variété de supports. Une solution de Sécurité des postes capable de détecter et de bloquer les logiciels rançonneur et d’autres types de contenus malveillants peut aider à minimiser l’exposition d’une organisation à ces menaces.

Bloquer les attaques de logiciels rançonneur avec Check Point

Le paysage des menaces liées aux logiciels rançonneur est en constante évolution. DearCry est l’une des dernières itérations d’une menace qui existe depuis des années, et elle exploite la vulnérabilité récemment découverte dans un produit largement utilisé. Les entreprises ont besoin de solutions anti-rançonneur ciblées capables de suivre et d’atténuer les dernières menaces de rançonneur de logiciels.

Logiciel Rançonneur attaque la Poste, donc la Poste devrait être au centre de toute stratégie anti-Logiciel Rançonneur. Harmony Endpoint de Check Point est une solution complète de Sécurité des postes qui offre une protection complète contre les logiciels rançonneur, y compris à la fois la détection générale basée sur le comportement et des protections ciblées sur des variantes spécifiques.

Sa prise en charge de la chasse aux menaces, associée au cadre MITRE ATT&CK, permet également à l’équipe de sécurité d’une entreprise de rechercher et d’enquêter de manière proactive sur les menaces et les incursions potentielles au sein de son réseau. Pour en savoir plus sur la chasse aux menaces avec Harmony Endpoint, consultez cette procédure pas à pas.

Harmony Endpoint offre une protection complète contre les menaces telles que le logiciel rançonneur DearCry. Pour en savoir plus sur ses fonctionnalités, consultez cette présentation du produit. Vous pouvez également demander une démo personnalisée pour découvrir par vous-même la puissance d’Harmony Endpoint.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK