CryptoWall est un logiciel malveillant ransomware qui fonctionne en chiffrant les fichiers sur un ordinateur infecté et exige que les utilisateurs paient une rançon pour recevoir une clé de déchiffrement.

Il a été initialement publié en 2014, mais a subi plusieurs itérations, ce qui en fait une version beaucoup plus furtive comparé à d’autres ransomware du même type.

Comme d'autres ransomwares, CryptoWall chiffre les fichiers mais se cache également dans le système d'exploitation Windows pour s'exécuter de manière persistante après chaque redémarrage.

 

Historique du ransomware CryptoWall

Après que les chercheurs ont arrêté CryptoLocker en 2015, les auteurs de malwares ont pris le code de CryptoLocker et l'ont converti en une nouvelle forme de ransomware nommée CryptoWall.

Il s'agissait au départ d'un simple ransomware qui utilisait HTTP pour communiquer avec un serveur de commande et de contrôle. Comme il utilisait HTTP, les chercheurs ont pu identifier les modèles de CryptoWall pour l'arrêter, ce qui a donné naissance à CryptoWall 2.0.

CryptoWall est passé par plusieurs versions depuis 2015, chaque nouvelle version étant créée pour éviter les défenses de sécurité. CryptoWall en est maintenant à la version 4.0, et chaque nouvelle version ajoute des fonctionnalités pour extorquer de l'argent aux utilisateurs. La dernière CryptoWall 4.0 a été publiée fin 2021, il est donc raisonnable de penser que de nouvelles versions pourraient être publiées régulièrement.

Les versions de CryptoWall

La première version de CryptoWall était un clone de CryptoLocker avec un serveur de commande et de contrôle différent. Le changement le plus important a donc été la sortie de CryptoWall 2.0.

Les nouvelles versions ont toujours la même stratégie de chiffrement et de déploiement par phishing, mais les fonctionnalités techniques du ransomware changent pour éviter la détection.

Ces nouvelles versions constituent la menace la plus importante pour les entreprises car elles ne ressemblent plus au CryptoLocker original.

CryptoWall 2.0

Le plus grand changement de CryptoWall 2.0 est son mode de diffusion. Il n'utilise plus le protocole HTTP pour communiquer avec le serveur de commande et de contrôle, ce qui le rend vulnérable aux analyses des chercheurs.

Les auteurs de la version 2.0 ont également ajouté la diffusion sur les publicités de sites Web, tiré parti des vulnérabilités des navigateurs pour installer le malware et utilisé les vulnérabilités des logiciels non corrigés pour installer le ransomware.

CryptoWall 3.0

Après CryptoWall 2.0, les auteurs de malwares ont augmenté leur agressivité lors de l'installation avec CryptoWall 3.0. Il s'agit de la première version qui utilisait le réseau d'anonymat I2P pour cacher la communication et son identité aux chercheurs. 

CryptoWall 3.0 commençait par un e-mail de phishing contenant un lien pointant vers un programme de téléchargement. L'exécution du téléchargeur connectait l'utilisateur à l'un des nombreux domaines où le ransomware principal était téléchargé et installé sur l'ordinateur local.

À ce stade, le ransomware suivait sa fonctionnalité de base en chiffrant les fichiers et en analysant le réseau à la recherche de lecteurs partagés ouverts. La note de rançon était installée sur l'appareil local et s'affichait à la victime après le chiffrement de ses fichiers.

CryptoWall 4.0

CryptoWall 4.0 est sorti en 2021. Cette version améliore la communication entre le dispositif local et le serveur de commande et de contrôle. Elle utilise un protocole modifié pour masquer la détection des antivirus et contourner les règles des pare-feu.

CryptoWall se propage également à l'aide d'e-mails de phishing, mais cette nouvelle version se cache dans le système Windows et désactive la capacité de restauration du système de la victime ciblée.

Toutes les versions de CryptoWall utilisent un cryptogramme pour chiffrer les données. Les versions actuelles utilisent RC4, tandis que les anciennes versions de CryptoWall utilisaient RSA-2048. Ces deux versions rendent impossible le déchiffrage des données sans les clés privées.

Toutes les versions recherchent les lecteurs mappés et prennent des mesures pour détruire les sauvegardes. La version 4.0 rend la récupération des sauvegardes de plus en plus difficile en détruisant les copies d'ombre dans Windows et en désactivant la fonction de réparation au démarrage de Windows.

CryptoWall 5.1

La version la plus récente de CryptoWall, la 5.1, est différente des autres versions et pourrait être une base de code complètement différente. Elle est basée sur le malware HiddenTear, un trojan open-source publié sur GitHub en 2015.

Parce qu'il fonctionne avec une base de code différente, CryptoWall 5.1 utilise le chiffrement AES-256, mais les autres modes de fonctionnement sont similaires aux versions précédentes. Plusieurs variantes, comme CryptoDefense, sont proches de la dernière version de CryptoWall.

Comment fonctionne CryptoWall?

Certaines fonctionnalités de CryptoWall persistent d'une version à l'autre. CryptoWall 4.0 est la dernière version qui comporte le plus grand nombre de modifications depuis la version originale de 2015.

Si la fonction générale des ransomwares est de chiffrer les fichiers des utilisateurs afin qu'ils ne puissent pas être récupérés, ce sont les stratégies de l'auteur qui rendent les ransomwares particulièrement difficiles à corriger.

La récupération à l'aide de sauvegardes est la seule solution pour un incident CryptoWall, mais CryptoWall recherche les sauvegardes pour les chiffrer également.

L'attaque initiale est similaire à toute autre campagne de ransomware. La victime ciblée reçoit un email de phishing contenant un lien malveillant. Le lien pointe vers une URL sur le domaine contrôlé par l'attaquant où l'utilisateur doit accepter de télécharger un malware.

Le logiciel malveillant peut être téléchargé à l'aide d'un script, d'un exécutable ou d'une macro malveillante. En général, un fichier téléchargeur se connecte à un domaine contrôlé par l'attaquant où l'exécutable du ransomware est stocké.

Le téléchargeur transfère les fichiers du ransomware sur la machine locale et les exécute. À ce stade, CryptoWall analyse la machine locale à la recherche de près de 150 extensions de fichiers différentes.

Tous les fichiers dont l'extension correspond sont chiffrés, et CryptoWall 4.0 chiffre le nom des fichiers en plus de leur contenu. Le ransomware s'intègre dans le système d'exploitation Windows, en particulier dans les processus explorer.exe et svchost.exe. CryptoWall vise également à détruire toute possibilité de récupération en désactivant les fonctions de sauvegarde et de récupération, telles que la fonction de réparation au démarrage.

Toute copie de volume fantôme est détruite ; une fonction de Windows permettant de réparer ou de récupérer les sauvegardes de fichiers. CryptoWall analyse ensuite le système pour trouver les lecteurs mappés et les chiffre également.

La clé privée est générée et envoyée au serveur de commande et de contrôle avec des informations sur la machine, telles que l'architecture, l'adresse IP, le niveau de privilège du ransomware et la version de Windows.

Une fois la charge utile livrée, CryptoWall stocke trois fichiers sur la machine locale, dont une version texte et HTML de la note de rançon contenant des instructions sur le paiement de la rançon et la récupération des fichiers.

L'utilisateur est invité à télécharger le navigateur “Tor”, à se rendre sur un site spécifique, puis à payer la rançon pour récupérer ses fichiers. Les experts déconseillent de payer la rançon, car il n'y a aucune garantie que la victime recevra la clé privée. Cependant, de nombreux utilisateurs paient la rançon pour récupérer leurs fichiers.

Comment reconnaître une infection par CryptoWall ?

Le processus de chiffrement de CryptoWall est rapide et l'infection initiale se déroule en arrière-plan sans aucun signe avant-coureur. Une fois que CryptoWall a délivré sa charge utile, il affiche une demande de rançon à l'utilisateur, expliquant que ses fichiers sont chiffrés et qu'il doit payer une rançon pour les récupérer.

Outre la demande de rançon, d'autres signes indiquent qu'un ordinateur est infecté par CryptoWall. Les nouvelles versions de CryptoWall chiffrent les fichiers et leurs noms, de sorte que les utilisateurs ne peuvent plus voir les fichiers. La stratégie consiste à inciter la victime à l'urgence pour augmenter la probabilité du paiement de la rançon au lieu de la récupération des sauvegardes.

CryptoWall stocke trois fichiers pour fournir des instructions aux utilisateurs. La présence de ces trois fichiers sur un système indique qu'une machine est infectée par le ransomware CryptoWall :

  • HELP_YOUR_FILES.TXT
  • HELP_YOUR_FILES.HTML
  • HELP_YOUR_FILES.PNG

Lorsque les utilisateurs consultent leur dossier Documents dans Windows, aucun des fichiers ne porte son nom d'origine. Les noms de fichiers sont remplacés par des noms cryptés, qui ressemblent à des chiffres et des lettres aléatoires avec des extensions de fichiers aléatoires. 

La demande de rançon et les noms de fichiers cryptés sont les deux principaux signes d'une infection par le ransomware CryptoWall.

Que faire si vous êtes victime de CryptoWall ?

La décision la plus importante pour les utilisateurs est de payer ou non la rançon. Les experts déconseillent de payer la rançon, car la clé privée peut ne pas être fournie. Le paiement de la rançon alimente le système en encourageant d'autres attaquants à créer d'autres ransomwares. Parfois, le processus de récupération du ransomware comporte des bugs qui corrompent et perdent définitivement les données des fichiers.

La suppression de CryptoWall d'un système n'est pas la partie la plus difficile de la réponse à un incident. Une bonne application antivirus supprime CryptoWall du système, mais ne peut pas déchiffrer les fichiers. Le seul moyen de déchiffrer les fichiers et de les récupérer est de disposer de la clé privée, qui est cryptée et protégée contre toute découverte.

De bonnes sauvegardes permettent de surmonter le problème du déchiffrage, de sorte que les utilisateurs peuvent restaurer leurs fichiers sans disposer de la clé privée. 

Les rançongiciels, dont CryptoWall, recherchent les fichiers de sauvegarde sur la machine locale, les lecteurs réseau mappés et les supports de stockage amovibles pour les chiffrer afin que les utilisateurs ne puissent pas les récupérer. Le chiffrage des sauvegardes augmente la probabilité de paiement de la rançon et améliore le succès de l'auteur du malware.

Prévention CryptoWall

La plupart des ransomwares commencent par un e-mail de phishing malveillant. En général, les utilisateurs ne sont pas conscients des tactiques de phishing et cliquent sur des liens sans se soucier de l'identité de l'expéditeur et du potentiel des logiciels malveillants.

Les formations de sensibilisation à la sécurité sont utiles, mais la meilleure cybersécurité contre le phishing réside dans les filtres de messagerie qui bloquent les en-têtes usurpés et les messages suspects. Réduire les chances qu'un email de phishing atteigne la boîte de réception d'un utilisateur ciblé est la meilleure défense contre tout ransomware.

Les utilisateurs doivent être informés de ne jamais cliquer sur des liens provenant d'expéditeurs suspects, mais certains pirates envoient des emails malveillants à une liste de contacts sur un compte de messagerie compromis.

Les utilisateurs doivent éviter les liens qui téléchargent automatiquement des exécutables, et tout exécutable téléchargé accidentellement à partir d'un lien électronique doit être supprimé immédiatement pour éviter tout dommage. Un bon logiciel antivirus arrêtera de nombreux exécutables, mais il n'attrapera pas les logiciels malveillants zero-day et ne devrait pas être la seule stratégie anti-malware utilisée pour prévenir les ransomwares.

Conservez toujours des sauvegardes fréquentes en cas d'attaque par un ransomware. Les sauvegardes doivent être protégées contre les analyses de ransomware, ce qui signifie qu'elles ne doivent pas se trouver sur un disque partagé auquel n'importe qui peut accéder. Elles ne doivent être accessibles qu'aux personnes disposant de permissions élevées. Le stockage en cloud est avantageux dans un scénario de ransomware, car il est inaccessible à l'aide des lecteurs partagés mappés habituels.

Quels dommages CryptoWall peut-il causer ?

La majorité des infections par CryptoWall se produisent aux États-Unis, au Canada, aux Pays-Bas et en Allemagne. Ces pays représentent près de la moitié des infections par CryptoWall dans le monde. La rançon moyenne pour le déchiffrage des fichiers est d'environ 500 dollars en bitcoins. Certaines infections demandent 1 000 USD en bitcoins, de sorte que les coûts ont récemment augmenté.

Pour les organisations disposant de données critiques, être victime d'un ransomware comme CryptoWall est un événement qui a un impact sur les revenus. Il interrompt la production et rend impossible la poursuite des activités lorsque les données essentielles ne sont plus disponibles. La seule façon de se remettre d'un événement ayant un impact sur les revenus comme un ransomware est d'utiliser des sauvegardes, c'est pourquoi il est essentiel pour les entreprises de disposer d'un solide plan de sauvegarde et de reprise après sinistre.

Comment Proofpoint peut vous aider

Proofpoint propose des ressources et des stratégies pour aider ses clients à prévenir les attaques par ransomware. Notre Ransomware Hub contient des solutions, des stratégies, des conseils et des informations sur les ransomwares et la façon dont vous pouvez les empêcher de devenir un événement ayant un impact sur les revenus.

Nous disposons également d'un guide de survie aux ransomwares pour aider les clients à comprendre les dangers des ransomwares et ce qu'ils peuvent faire à votre entreprise. Si un utilisateur est victime d'un ransomware, nous examinons également ce que les administrateurs peuvent faire et comment déterminer s'il faut ou non payer la rançon.

Webinaire : Neutralisez les ransomwares à la source

Limitez les risques liés à Microsoft 365 en lui offrant la protection qu'il mérite.

Webinaire : La recrudescence des attaques de ransomwares

Regardez le webinaire enregistré avec Ryan Kalember, EVP of Cybersecurity Strategy de Proofpoint, pour découvrir les trois principales méthodes utilisées par les cybercriminels spécialisés en ransomwares pour infiltrer votre entreprise, et comment les stopper net.

Rapport : Voice of the CISO 2022

Bien que moins mouvementée que la précédente, l'année 2021 a été particulièrement intense pour les professionnels de la cybersécurité.

E-book : Approche moderne de la gestion des menaces internes

Adoptez une approche centrée sur les personnes pour votre programme de gestion des menaces internes.