Jusqu’à présent, la sauvegarde était la meilleure défense pour se protéger contre les ransomwares. Mais la solution Precision Packet Capture d’ExtraHop permet de capturer les fichiers juste avant leur cryptage par le malware et de les restaurer sans recours aux backups.
La solution est accessible après mise à niveau du module Ransomware Detection d'ExtraHop. Grâce à des déclencheurs et à des indicateurs de compromis, Precision Packet Capture est capable de capturer les fichiers avant que le ransomware n’ait le temps de les chiffrer. En cas d’intrusion, la solution déclenche la capture de paquets (PCAP) dans lesquels est enregistré le contenu des fichiers cryptés. Il suffit ensuite d’ouvrir ces fichiers PCAP avec Wireshark pour recréer les fichiers avant cryptage. Le paquet n'empêche donc pas le malware d’agir, mais il peut permettre aux entreprises de récupérer leurs fichiers cryptés sans payer de rançon. Mais si ExtraHop ne parvient pas à repérer à temps le ransomware, les sauvegardes restent la planche de salut, sauf à trouver une clé de décryptage. Au pire, les victimes devront payer la rançon pour récupérer leurs fichiers.
Le protocole SMB/CIFS mis à contribution
Le pack ExtraHop surveille l’ensemble du trafic réseau qui circule entre les points de sortie et les serveurs pour voir qui utilise les fichiers et comment ils les utilisent - écriture, modification, suppression, etc. Pour cela, la solution analyse le trafic qui utilise le protocole SMB/CIFS. Lorsqu'elle identifie suffisamment d'activités suspectes, elle déclenche des alertes. La nouveauté, c'est que l'activité suspecte déclenche aussi la capture de paquets dans un fichier tampon pendant que le ransomware lit les fichiers stockés sur le serveur de fichiers. De sorte que le contenu capturé correspond à la dernière version du fichier.
L'ouverture des fichiers PCAP dans Wireshark doit toujours être réalisée manuellement, mais elle permet de restaurer les fichiers affectés. « La solution de détection de ransomwares supporte les APIs et pourrait donc envoyer des alertes à d'autres plates-formes de type SIEM et déclencher des actions de protection sur les pare-feu de prochaine génération », a déclaré ExtraHop. Parmi les éléments surveillés par Precision Packet Capture figurent plus de 200 types de fichiers identifiés comme ransomware, mais la solution est aussi capable de repérer des pointes d’activité de lecture/écriture anormales, des comportements atypiques des utilisateurs, par exemple l'ouverture rapide et successive de séries de fichiers. La mise à jour est disponible dès maintenant. Les clients doivent disposer d’une appliance ExtraHop Trace ou ExtraHop Discover pour faire tourner le logiciel et surveiller le trafic réseau.
" le serveur de fichiers. De sorte que le contenu" -> la phrase a été 'cassée' au milieu.
Signaler un abusLa langue est vivante, mais elle est surtout précise.
Signaler un abusBlanc bonnet =/= Bonnet Blanc ^ ^
Si les gens commencent à dire cryptage alors ils diront décryptage pour l'opération inverse et nous aurons donc perdu le vrai sens du mot décryptage (qui est de retrouver le message sans clef).
Le fait que beaucoup de gens se trompent ne veut pas dire qu'ils ont raison.
"Quant au chiffrement ..." et non "Quand au chiffrement ..."
Signaler un abusLa langue est vivante quand tout le monde dit cryptage il faut s'adapter. Quand au chiffrement réservons le pour les choses ou les gens précieux.
Signaler un abuschiffrement -> Opération de conversion de données lisibles avec une clé.
Signaler un abusdéchiffrement -> Opération de conversion de données illisibles avec la clé.
décryptage -> Opération de conversion de données illisibles sans la clé. (Cryptanalyse)
Cryptage -> N'existe pas.
Le site de la CNIL est votre guide :)
Désolé mais quand va-t-on cesser d'utiliser cryptage en lieu et place de chiffrement ??
Signaler un abus