Ransomware : nouvelles tentatives de blocage sans signature

L’antivirus traditionnel, basé sur de simples listes de signature, a montré sa principale limite : le temps, élément critique de la protection contre les menaces émergentes. Sans surprise, les éditeurs d’outils de protection du poste de travail vont d’ailleurs au-delà du seul recours à des signatures pour lutter contre les logiciels malveillants.

Reste que des acteurs tels que Carbon Black, Cylance, CounterTack, CrowdStrike, LightCyber, SentinelOne, Tanium ou encore Cybereason n’ont pas manqué de s’engouffrer dans la brêche pour pousser de nouvelles approches. Et quoi de mieux pour faire la démonstration de son savoir-faire que de proposer une solution à ce qui a été la principale menace de 2016 et promet de continuer d’occuper le devant de la scène cette année, les ransomwares ?

Cybereason semble avoir opté pour cette approche. Depuis la fin décembre, l’éditeur met gratuitement à disposition de tous son savoir-faire en matière d’analyse comportementale pour détecter et bloquer les rançongiciels. L’outil s’appelle RansomFree et il protège les ressources de stockage interne et réseau des PC fonctionnant sous Windows 7/8/10 et les serveurs Windows 2008 R2 et 2010 R2 – mais pas encore les supports amovibles comme les clés USB. Cybereason revendique une couverture de « 99 % des familles de ransomware ».

Acronis prépare une offre comparable pour cette année, baptisée Active Protection. Intégrée à sa solution de sauvegarde True Image, elle mise à la fois sur les sauvegardes en mode Cloud et sur un agent local assurant l’analyse comportementale des exécutables hors liste blanche. Lorsque l’agent détecte un processus illégitime chiffrant des fichiers, il le bloque et récupère les fichiers éventuellement compromis depuis la sauvegarde en mode Cloud, sans limite de taille. Acronis revendique une couverture étendue, depuis CTB-Locker, Locky et Tesla, jusqu’à Petya, Zepto ou encore Jigsaw, notamment.

L’idée n’est toutefois pas nouvelle. En avril 2016, Patrick Wardle, directeur recherche et développement de Synack, avait présenté RansomWhere, un logiciel pour macOS qui ambitionne de déjouer de manière générique tous les rançongiciels en « détectant les processus qui ne bénéficient pas d’un niveau de confiance élevé et qui chiffrent des fichiers personnels ». Une approche comportementale simple qui a fait ses preuves contre KeRanger, mais aux limitations certaines, que reconnait d’ailleurs son auteur.

D’autres approches ont été présentées, relevant de la vaccination, en donnant au poste Windows les stigmates d’une précédente infection. Mais l’on retrouve là les limites de la protection basée sur des signatures : la vaccination ne couvre que les rançongiciels dont les marqueurs d’activité spécifiques sont bien connus. Quant à une initiative telle que NoMoreRansom, lancée fin juillet par Europol, Intel Security (McAfee) et Kaspersky Labs, elle se heurte à d’autres limites : la capacité à casser le chiffrement utilisé par des ransomwares.

Et les créateurs de rançongiciels ne manquent pas de créativité. Check Point Software alerte ainsi les départements des ressources humaines sur une nouvelle variante de Petya, baptisée GoldenEye, qui cible spécifiquement les recruteurs, par e-mail. Et que dire de KillDisk, récemment doté de fonctions de ransomware, qui s’attaque désormais aux systèmes sous Linux… mais s’avère incapable de fournir la moindre clé de déchiffrement en cas de paiement de la rançon – 222 bitcoins, tout de même : « les clés générées sur l’hôte affecté ne sont ni enregistrées localement ni envoyées à un serveur de commande et de contrôle ».