DearCry logiciel rançonneur
DearCry, une variante du logiciel rançonneur, est conçu pour tirer parti de quatre vulnérabilités récemment révélées dans Microsoft Exchange. Une fois qu'elle accède à un ordinateur, elle chiffre les fichiers qui y sont stockés, ce qui les rend impossibles d'accès sans la clé de déchiffrement correspondante (connue uniquement des attaquants).
Comment fonctionne le logiciel rançonneur DearCry ?
En mars 2021, Microsoft a publié des correctifs pour quatre vulnérabilités critiques au sein des serveurs Microsoft Exchange. Ces vulnérabilités ont été activement exploitées dans diverses campagnes d’attaque. DearCry est une variante de logiciel rançonneur conçue pour exploiter ces serveurs Microsoft Exchange vulnérables.
Le logiciel malveillant effectue une énumération des lecteurs pour identifier tous les supports de stockage accessibles à partir d’une machine infectée. Pour chacun de ces disques, le logiciel rançonneur DearCry va chiffrer certains types de fichiers (en fonction des extensions de fichiers) en utilisant AES et RSA-2048. Une fois le chiffrement terminé, DearCry affichera une demande de rançon demandant aux utilisateurs d’envoyer un e-mail aux opérateurs du logiciel rançonneur pour apprendre à déchiffrer leurs machines.
Comment se protéger contre DearCry logiciel rançonneur
Lorsque la demande de rançon DearCry s'affiche, c'est que le mal est déjà fait. La meilleure façon de répondre à DearCry – ou à tout autre type de logiciel rançonneur – est de détecter et de bloquer le logiciel rançonneur avant que le chiffrement des données ne puisse commencer.
Le déploiement de protections anti-logiciels est la méthode la plus efficace pour y parvenir. Des outils tels que l’émulation de menace de Check Point utilisent l’analyse comportementale pour identifier les signes avant-coureurs d’une attaque de logiciel rançonneur, ce qui permet à l’utilisateur de remédier à la menace avant que des dommages ne soient causés. Parce que tout logiciel rançonneur a besoin d’effectuer certaines actions (comme chiffrer des fichiers) pour atteindre ses objectifs, cette approche est efficace contre tous les types de logiciels rançonneur.
Cependant, des protections ciblées sur un type spécifique de logiciel rançonneur peuvent contribuer à améliorer la rapidité et l’efficacité de la réponse d’une organisation. En plus de la protection générique Threat Emulation pour logiciel rançonneur (qui bloque avec succès DearCry), Check Point a publié deux protections dédiées pour les produits suivants :
- Threat Emulation – logiciel rançonneur. Win.DearCry.A
- Check Point Endpoint Security – Ransomware.Win.DearCry.B
Ces outils de détection dédiés permettent de détecter et d'éradiquer plus rapidement et plus facilement une éventuelle infection par DearCry sur les systèmes d'une organisation.
logiciel rançonneur Prevention Best Practices
For protecting against the DearCry ransomware, targeted protections (like the ones deployed in Threat Emulation and Check Point Endpoint Security) are the most effective solutions for an active attack. More general ransomware protections can also detect this threat and are vital for identifying and blocking zero-day ransomware attacks.
Cependant, les entreprises doivent mettre en œuvre une défense en profondeur pour minimiser le coût et l’impact potentiels des attaques de logiciels rançonneurs. Voici quelques bonnes pratiques pour la prévention des logiciels rançonneurs :
- Gestion des correctifs : Le logiciel rançonneur DearCry exploite une vulnérabilité critique dans les serveurs Microsoft Exchange. Il est essentiel de maintenir l’appareil à jour pour minimiser les vecteurs d’entrée potentiels dont un attaquant peut tirer parti.
- Éducation des employés : le logiciel rançonneur est généralement fourni par le biais de l’hameçonnage et d’autres techniques qui profitent des employés. Former les employés à reconnaître et à répondre correctement à ces types d’attaques peut réduire considérablement le risque d’attaques de logiciels et d’autres types d’attaques.
- Sécurité des e-mails : Le courrier électronique est l’un des principaux vecteurs d’infection pour tous les types de logiciels malveillants, y compris les logiciels rançonneurs. Une solution de sécurité des e-mails peut utiliser l’émulation de machine d’apprentissage et de bac à sable pour identifier et supprimer le contenu malveillant des e-mails avant qu’il n’atteigne la boîte de réception de l’utilisateur.
- Accès à distance sécurisé : La pandémie de COVID-19 a fait des réseaux privés virtuels (VPN) et du protocole RDP (Remote Desktop Protocol) certains des mécanismes de livraison les plus populaires pour les logiciels rançonneur. La sécurisation de l'infrastructure de télétravail d'une organisation peut aider à bloquer ce vecteur d'attaque potentiel.
- Sécurité des postes : le logiciel rançonneur peut être délivré via une variété de supports. Une solution de Sécurité des postes capable de détecter et de bloquer les logiciels rançonneur et d’autres types de contenus malveillants peut aider à minimiser l’exposition d’une organisation à ces menaces.
Bloquer les attaques de logiciels rançonneur avec Check Point
Le paysage des menaces liées aux logiciels rançonneur est en constante évolution. DearCry est l’une des dernières itérations d’une menace qui existe depuis des années, et elle exploite la vulnérabilité récemment découverte dans un produit largement utilisé. Les entreprises ont besoin de solutions anti-rançonneur ciblées capables de suivre et d’atténuer les dernières menaces de rançonneur de logiciels.
Ransomware attacks the endpoint, so the endpoint should be the focus of any anti-ransomware strategy. Check Point’s Check Point Endpoint Security is a complete endpoint security solution that offers comprehensive protection against ransomware, including both general behavior-based detection and protections targeted to specific variants.
Its threat hunting support – mapped to the MITRE ATT&CK framework – also enables an organization’s security team to proactively search for and investigate potential threats and incursions within its network. To learn more about threat hunting with Check Point Endpoint Security, check out this walkthrough.
Check Point Endpoint Security provides comprehensive protection against threats like the DearCry ransomware. To learn more about its capabilities, check out this product tour. You’re also welcome to request a personalized demo to see the power of Check Point Endpoint Security for yourself.
