Jamais dans l'histoire, des individus, entreprises et institutions de par le monde entier n'ont été tant exposés à cette forme massive d’extorsion qui est le Ransomware. Des cybercriminels utilisent ce modèle de menace afin de récolter le maximum d'argent en contrepartie de la libération des données de leurs cibles. Les nouvelles technologies ont été détournées à leur profit :la monnaie virtuelle (bitcoin,...) comme moyen de paiement, le réseaux Tor comme moyen d'anonymisation de leur serveur de commande et contrôle et la cryptographie pour le chiffrement des données. Les cybercriminels ont développés de nouvelles techniques de propagation, d'utilisation de la cryptographie et surtout une approche sans précédent en matière de choix des cibles (hôpitaux, la presse, Télécom, hébergeurs de services...), et pour les analystes ça reste dans la plupart des cas un challenge perdu d'avance. De nos jours, des nouvelles frontières sont atteintes par les Ransomwares : Linux, OSX, terminaux intelligents, les NAS et bientôt les IoT. Lors de cette intervention, on abordera l'évolution et les tendances de ces menaces ainsi que les moyens de s'en protéger.

1. SICA 2016
International Seminar on Cyber Security, Algiers 2016
THINKING INNOVATION
Ransomware, une des plus grandes menaces de 2016
MFC Advisory
Cabinet d’audit & de conseil

2. 2
OVERVIEW
FATHI Mohamed Ali
Directeur de projets
CEH, CHFI, ECSA, EDRP, ISO 27001 LI, ITIL
ITSM Auditor & Security analyst.
Penetration tester.
Malware analyst.
Computer Forensic investigator.
Ransomware, une des plus grandes menaces de 2016
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW
Jamais dans l'histoire, des individus, entreprises et institutions de par le monde entier n'ont été tant exposés à cette forme massive d’extorsion qui
est le Ransomware.
Des cybercriminels utilisent ce modèle de menace afin de récolter le maximum d'argent en contrepartie de la libération des données de leurs cibles.
Les nouvelles technologies ont été détournées à leur profit :la monnaie virtuelle (bitcoin,...) comme moyen de paiement, le réseaux Tor comme
moyen d'anonymisation de leur serveur de commande et contrôle et la cryptographie pour le chiffrement des données.
Les cybercriminels ont développés de nouvelles techniques de propagation, du lisa on de la cryptographie et surtout une approche sans précédent
en matière de choix des cibles (hôpitaux, la presse, Télécom, hébergeurs de services...), et pour les analystes ça reste dans la plupart des cas un
challenge perdu d'avance.
De nos jours, des nouvelles frontières sont atteintes par les Ransomwares : Linux, OSX, terminaux intelligents, les NAS et bientôt les IoT.
Lors de cette intervention, on abordera l'évolution et les tendances de ces menaces ainsi que les moyens de s'en protéger.

3. AGENDA
Introduction.
Mise en situation.
Art of deception.
Taxonomie.
Cibles et systèmes impactés.
Infrastructures de distribution, communication et financières.
*Distribution et infection.
*Utilisation de la cryptographie.
20 Min
*Utilisation de la cryptographie.
Rappel.
*Cryptage des données.
*Cryptage des communications.
*Crypto monnaie (Systèmes de paiement).
Etude de cas.
Evolution des Ransomwares.
Tendances futures.
Mesures de prévention.

4. Introduction
4
MFC Advisory
Cabinet d’audit & de conseil
IntroductionRansomware, une des plus grandes menaces de 2016

5. 5
OVERVIEW
MFC Advisory
Cabinet d’audit & de conseil
Ransomware, une des plus grandes menaces
de 2016
Mise en situation
OVERVIEW

6. Influence
of
framing
6
OVERVIEW
MFC Advisory
Cabinet d’audit & de conseil
Ransomware, une des plus grandes menaces de 2016
Art of deception
Qu’est-ce qui pousse une personne à cliquer sur un lien, télécharger ou exécuter
un programme ?
Qu’est-ce qui peut affecter la décision d’une personne à payer une rançon ?
Sunk
costs
OVERVIEW
Deception
Central and
peripheral route
to persuasion
Authority &
social
compliance
Visceral
triggers
Preference for
confirmatory
rewarding
information
Endowment
effect
Time
Loss
aversion
Ellsberg
paradox
Fear of
regret
Anxiety, risk and decision making

7. 7
OVERVIEW
MFC Advisory
Cabinet d’audit & de conseil
Ransomware, une des plus grandes menaces de 2016
Art of deception
"Only two things are infinite, the
universe and human stupidity, and I'm
not sure about the former."
OVERVIEW
not sure about the former."

8. 8
OVERVIEW
MFC Advisory
Cabinet d’audit & de conseil
Ransomware, une des plus grandes menaces de 2016
Taxonomie des Ransomwares
OVERVIEW
Crypte les données
Paiement de frais (Fee)
Bloque un système
Paiement d’amendes (Fine)

9. 9
OVERVIEW
MFC Advisory
Cabinet d’audit & de conseil
Ransomware, une des plus grandes menaces de 2016
Cibles et systèmes impactés.
OVERVIEW
Utilisateurs à domicile
(Navigation quotidienne
à titre personnel)
Utilisateurs dans des entreprises
(Utilisation professionnelle)
Chefs d’entreprise.
Administrateurs.
Comptables.
Développeurs.
Institutions publiques
Institutions financières.
Hôpitaux.
Agences gouvernementales.
Ministères.

10. 10
OVERVIEW
MFC Advisory
Cabinet d’audit & de conseil
Ransomware, une des plus grandes menaces de 2016
Cibles et systèmes impactés.
OVERVIEW
Ordinateurs personnels
(Windows, Linux, OSX)
Terminaux mobiles intelligents
(Téléphone, tablettes, IoT)
Serveurs
(Base de données, Web, applications,
gestion de codes sources, …)

11. 11
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Infrastructures de distribution, communication et financières.
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW

12. 12
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Infrastructures de distribution, communication et financières.
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW
Distribution géographique de l’infrastructure offensive
(1)

13. 13
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Infrastructures de distribution, communication et financières.
MFC Advisory
Cabinet d’audit & de conseil
(1)
OVERVIEW
(1)
(2)

14. 14
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Distribution & infection
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW

15. 15
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Distribution & infection
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW

16. 16
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Distribution & infection
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW

17. 17
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Utilisation de la cryptographie | Rappel
MFC Advisory
Cabinet d’audit & de conseil
Cryptographie symétrique Cryptographie asymétrique
OVERVIEW

18. 18
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Utilisation de la cryptographie | Cryptage des données
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW
Scénario 1 : RSA public key downloaded
from C&C server.
Scénario 2 : RSA public key extracted from
ransomware executable.

19. 19
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Utilisation de la cryptographie | Cryptage des données
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW

20. 20
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Utilisation de la cryptographie | Cryptage des données
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW
Mécanisme cryptographique de Crypto Locker.

21. 21
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Utilisation de la cryptographie | Cryptage des communications
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW
Principe de fonctionnement du réseau
Tor.
Anonymisation : Cryptage multi-couches

22. 22
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Utilisation de la cryptographie | Cryptage des communications
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW
Cycle de vie des logiciels malveillants englobant « Ransomware » et « Click fraud »

23. 23
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Utilisation de la cryptographie | Crypto monnaie
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW
Description des étapes à suivre pour payer la rançon.

24. 23
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Utilisation de la cryptographie | Crypto monnaie
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW

25. 24
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Utilisation de la cryptographie | Crypto monnaie
MFC Advisory
Cabinet d’audit & de conseil
M i x e r
Principe de l’anonymisation des Bitcoins reçus des
demandes de rançons.
OVERVIEW

26. Etude de cas
4
MFC Advisory
Cabinet d’audit & de conseil
Etude de casRansomware, une des plus grandes menaces de 2016

27. 26
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Open Source Ransomware
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW

28. 27
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Evolution des Ransomwares
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW

29. 28
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Evolution des Ransomwares
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW

30. 29
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Evolution des Ransomwares | SAAS
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW
Portail TOX trouvé sur le réseau Tor.

31. 30
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Tendances futures.
MFC Advisory
Cabinet d’audit & de conseil
Mobile Ransomware
RansomWeb Point of sale
Powershell based Ransomware
OVERVIEW
Ransomware-as-a-service
RansomWeb
Cloud IoT
Point of sale
Ransomware anywhere
Other malware integration

32. 31
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Tendances futures.
MFC Advisory
Cabinet d’audit & de conseil
OVERVIEW

33. Mesures de prévention
4
MFC Advisory
Cabinet d’audit & de conseil
Mesures de préventionRansomware, une des plus grandes menaces de 2016

34. 33
OVERVIEW
Ransomware, une des plus grandes menaces de 2016
Mesures de prévention.
MFC Advisory
Cabinet d’audit & de conseil
Sauvegarde (Ex: 3.2.1 Methodology).
System hardening.
Compagnes de sensibilisation et d’information.
Security focus on end point systems.
OVERVIEW
Security focus on end point systems.
MAJ OS et les autres programmes.
ITSM Implementation.
Security audits

35. ©CopyrightSopraBankingSoftware2015
Questions ?
35

36. MFC Advisory
Cabinet d’audit & de conseil