Le 5 février 2016, nous publiions un bulletin d’alerte intitulé « Cryptolocker : nouvelle vague d’attaques ». Aujourd’hui, un nouveau venu baptisé « Locky » remet sur le devant de l’actualité ce type d’attaque très répandu, et provoquant de nombreux dégâts, sur des surfaces très importantes : arrêt de production, perte de données.

Qu’est-ce que Locky ?

Pour vous renseigner sur le malware « Locky », vous pouvez vous reporter à la lecture de l’article « Le ransomware Locky propagé par des macros Word fait des ravages », publié par le Monde Informatique.

Bonnes pratiques

Il est recommandé de configurer vos passerelles de sécurité de la messagerie pour analyser les pièces jointes de type Document Microsoft Office (Excel, Word). Si vous disposez d’une solution de sandboxing, ceci vous permet d’identifier et de bloquer les malwares de type CryptoLocker.

A défaut, vous devriez interdire ce type de documents, qui est la source de contamination la plus fréquente.

Contre-mesures

Nos clients équipés de pare-feux (firewalls) FortiGate, de l’éditeur Fortinet, peuvent utiliser les fonctionnalités d’analyse de contenu avancé (UTM : Unified Threat Management) afin de limiter les possibilités d’infection, de propagation et de compromission des données.

1. Analyse antivirale

Si vous disposez de la licence « antivirus » du FortiGate, vous devez activer le profil de sécurité AntiVirus sur les flux entre les utilisateurs et internet :

  • Type d’analyse : Flow-based ou Proxy,
  • Detect Viruses : Block,
  • Detect Connections to Botnet C&C Servers : activé.

2. Filtrage web par catégorie

Si vous disposez de la licence « webfilter » du FortiGate, vous devez activer le profil de sécurité WebFilter sur les flux entre les utilisateurs et internet :

  • Type d’analyse : Flow-based ou Proxy,
  • Catégories à bloquer : Security Risk,
  • Sous-catégories : Malicious Websites, Phishing, Spam URLs.

3. Contrôle applicatif

Si vous disposez de la licence « IPS » du FortiGate, vous devez activer le profil de sécurité Application Control sur les flux entre les utilisateurs et internet :

  • Catégories à bloquer : Botnet,
  • Catégories non recommandées : P2P (Peer-to-peer).

4. Analyse IPS

Si vous disposez de la licence « IPS » du FortiGate, vous devez activer le profil de sécurité Intrusion Protection sur les flux entre les utilisateurs et internet :

  • Profil à utiliser : protect_client.

Sandboxing

L’analyse antivirale par signatures ne permet pas d’identifier toutes les nouvelles menaces qui sortent chaque heure sur internet. Le moyen de les identifier dynamiquement est une technique appelée sandboxing. Le principe consiste à ouvrir la pièce jointe dans un bac à sable : un environnement isolé et jetable (une machine virtuelle) qui sera détruit après analyse.

Par cette méthode, il est possible de constater le comportement du fichier suspect sur un système, et de déterminer si ce comportement est légitime (fichiers créés / modifiés, clés de registre, appels web, ouverture de flux).

Fortinet propose en option ce type d’analyse sur les équipements suivants :

  • Firewalls FortiGate (sur site ou cloud),
  • Passerelles email FortiMail (sur site ou cloud),
  • Reverse proxy FortiWeb (sur site).

Nos clients équipés de passerelles de filtrage web (TrendMicro IWSVA, Websense Triton/WCG) peuvent aussi bénéficier d’analyse sandboxing en option, selon l’éditeur.

Nos clients équipés de passerelles de filtrage emails (TrendMicro IMSVA, Websense Triton/Hosted) peuvent aussi bénéficier d’analyse sandboxing en option, selon l’éditeur.

En conclusion

L’analyse comportementale Sandboxing permet de contrer efficacement les nouvelles menaces qui apparaissent en permanence sur internet.

Nous vous recommandons également :

  • de vérifier que vos sauvegardes soient fonctionnelles, afin de pouvoir restaurer toute donnée perdue ou corrompue ;
  • d’augmenter l’analyse des flux internet au niveau de vos équipements firewalls ;
  • d’augmenter le niveau de sécurité des passerelles web et mails.

Nous sommes à votre disposition pour vous accompagner dans la définition et la mise en œuvre des mesures à prendre.

La sécurité de votre système d’information est importante, parlons-en…

Article rédigéguillaume-tournat par Guillaume TOURNAT – Consultant Sécurité.

Vous vous sentez concerné par le contenu de cet article ? Vous voulez en savoir plus ? Postez votre commentaire !

Pour en savoir plus,