Effacement de données par les ransomwares : Raccine à la rescousse


Publié le 29-10-2020 par Compte supprimé



Raccine : c’est le nom d’un programme open source qui permet d’éviter l’effacement de sauvegardes enregistrées dans les volumes de copies shadow recourant à vssadmin.exe. Explications.  

Ransomware : des comportements sur le vol de données qui évoluent 

  • Avec la pandémie, la montée en puissance du télétravail expose les entreprises à des risques de ransomware accrus. 
  • Les options dont disposent les cybercriminels sont en effet vastes : failles de sécurité réseau, shadow IT ou encore usage accru des moyens de communication à distance. 
  • A l’origine, jusqu’à il y a à peu près cinq ans, les cybercriminels poursuivaient l’objectif de chiffrer les fichiers de leurs victimes et de réclamer une rançon en échange de leur restitution. 
  • Il s’agissait d’attaques aléatoires n’exigeant pas de connaissances approfondies et au taux de réussite faible. 
  • Mais les méthodes des cyberattaquants se sont professionnalisées, impliquant des techniques de cyberdéfense devant elles aussi se perfectionner pour protéger l’infection dévastatrice que ces techniques représentent pour les entreprises. 

Faire face à l’essor du “big game ransomware”

  • Après le ransomware 1.0, place aux attaques de type “big game ransomware”, ciblées et bien planifiées. 
  • Les cybercriminels obtiennent désormais discrètement un accès de haut niveau à Active Directory (qu’on surnomme “les clés du royaume”), leur donnant une liberté d’action et de mouvement total sur le système. 
  • Les informations dérobées peuvent être ensuite revendues au plus offrant, même si l’entreprise refuse de payer la rançon, ou alors simplement publiées sur le dark web. 
  • Les entreprises n’ont donc pas le choix : elles doivent savoir exactement où sont conservées leurs données sensibles et en restreindre l’accès aux seuls collaborateurs qui en ont besoin, selon le principe de “moindre privilège”, qui permet de limiter les possibilités de mouvement des cybercriminels qui parviendraient à accéder au réseau. 
  • Elles disposent également d’outils pour les aider à lutter contre l’effacement de données, absolument dramatique pour leur activité. 

Raccine au secours de l’effacement des données

  • L’outil Raccine permet de vérifier automatiquement si la commande vssadmin.exe est utilisée pour tenter de supprimer des images contenant des sauvegardes de l’entreprise. 
  • Par manque de précaution (absence de sauvegarde, non vérification de son intégrité), les entreprises font en effet face à des opérateurs malveillants déployant des ransomwares capables de s’attaquer directement aux sauvegardes. 
  • Cet acte constitue en effet une véritable catastrophe pour une entreprise, qui serait dès lors incapable de revenir à un état antérieur de son système d’information. 
  • Raccine, créée par le développeur et chercheur en sécurité Florian Roth, est un outil qui permet de surveiller l’effacement de shadow volume copies utilisant la commande vssadmin.exe. 
  • Le principe : Raccine enregistre l’exécutable raccine.exe en tant que débogueur pour vssadmin.exe, en recourant à la clé de registre Windows Options du fichier image contenant une sauvegarde. 
  • Lorsque raccine.exe est enregistré en tant que débogueur, Raccine va vérifier à chaque exécution de vssadmin.exe si vssadmin tente de supprimer des images. 
  • En cas de détection d’un processus utilisant “vssadmin delete”, Raccine éradique automatiquement le processus, en général effectué avant le chiffrement des fichiers sur un ordinateur par le ransomware. 
  • Bien sûr, d’autres méthodes existent pour les pirates pour effacer les shadow volumes : d’autres outils doivent donc être développés pour lutter contre ce fléau. 

 

Vous êtes spécialisés en développement d’outils pour lutter contre le phénomène de ransomware ? Trouvez votre prochaine mission sur Freelance-info !

 



Compte supprimé