Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Sanctuariser ses données avant le cryptage par un ransomware

Pour éviter le chiffrement malveillant des données, la solution ExtraHop réussit à capturer les fichiers avant leur cryptage par un ransomware.

Jusqu’à présent, la sauvegarde était la meilleure défense pour se protéger contre les ransomwares. Mais la solution Precision Packet Capture d’ExtraHop permet de capturer les fichiers juste avant leur cryptage par le malware et de les restaurer sans recours aux backups.

La solution est accessible après mise à niveau du module Ransomware Detection d’ExtraHop. Grâce à des déclencheurs et à des indicateurs de compromis, Precision Packet Capture est capable de capturer les fichiers avant que le ransomware n’ait le temps de les chiffrer. En cas d’intrusion, la solution déclenche la capture de paquets (PCAP) dans lesquels est enregistré le contenu des fichiers cryptés. Il suffit ensuite d’ouvrir ces fichiers PCAP avec Wireshark pour recréer les fichiers avant cryptage. Le paquet n’empêche donc pas le malware d’agir, mais il peut permettre aux entreprises de récupérer leurs fichiers cryptés sans payer de rançon. Mais si ExtraHop ne parvient pas à repérer à temps le ransomware, les sauvegardes restent la planche de salut, sauf à trouver une clé de décryptage. Au pire, les victimes devront payer la rançon pour récupérer leurs fichiers.

Le protocole SMB/CIFS mis à contribution

Le pack ExtraHop surveille l’ensemble du trafic réseau qui circule entre les points de sortie et les serveurs pour voir qui utilise les fichiers et comment ils les utilisent - écriture, modification, suppression, etc. Pour cela, la solution analyse le trafic qui utilise le protocole SMB/CIFS. Lorsqu’elle identifie suffisamment d’activités suspectes, elle déclenche des alertes. La nouveauté, c’est que l’activité suspecte déclenche aussi la capture de paquets dans un fichier tampon pendant que le ransomware lit les fichiers stockés sur le serveur de fichiers. De sorte que le contenu capturé correspond à la dernière version du fichier.

L’ouverture des fichiers PCAP dans Wireshark doit toujours être réalisée manuellement, mais elle permet de restaurer les fichiers affectés. « La solution de détection de ransomwares supporte les APIs et pourrait donc envoyer des alertes à d’autres plates-formes de type SIEM et déclencher des actions de protection sur les pare-feu de prochaine génération », a déclaré ExtraHop. Parmi les éléments surveillés par Precision Packet Capture figurent plus de 200 types de fichiers identifiés comme ransomware, mais la solution est aussi capable de repérer des pointes d’activité de lecture/écriture anormales, des comportements atypiques des utilisateurs, par exemple l’ouverture rapide et successive de séries de fichiers. La mise à jour est disponible dès maintenant. Les clients doivent disposer d’une appliance ExtraHop Trace ou ExtraHop Discover pour faire tourner le logiciel et surveiller le trafic réseau.

Article de Jean Elyan avec IDG NS