Une approche basée sur un micrologiciel pour contrecarrer les attaques de ransomware

Une équipe internationale de chercheurs fait la promotion de l’idée d’utiliser un micrologiciel pour arrêter les attaques de ransomware avant de pouvoir chiffrer les données utilisateur stockées sur un disque SSD (Solid State Drive). Le groupe a présenté ses idées en 2018 lors de la conférence internationale IEEE sur les systèmes informatiques distribués, et plus récemment, a parlé à un journaliste de The Register pour décrire leurs idées.

Un ransomware est un type de logiciel qui bloque l’accès aux données de l’utilisateur ou à un ordinateur entier jusqu’à ce qu’un montant spécifié soit versé à l’entité qui déclenche l’attaque. Au cours de l’année écoulée, plusieurs attaques très médiatisées avec des demandes de rançon très importantes ont été menées contre des entités bien connues. Les fabricants d’antivirus ont travaillé dur pour ajouter des fonctionnalités à leurs produits qui empêchent de telles attaques, mais le groupe avec ce nouvel effort suggère une meilleure façon de lutter contre les ransomwares : empêcher le logiciel d’utiliser automatiquement le code intégré dans le matériel.

Le travail consistait à étudier les caractéristiques du code du ransomware, puis à écrire son propre code (SSD-Insider++) pour le reconnaître et l’arrêter avant qu’il ne puisse encoder les données des utilisateurs. Ils ont ensuite intégré ce code dans le micrologiciel des périphériques SDD. Si SSD-Insider++ reconnaît une attaque de ransomware, toute activité sur le SSD est arrêtée, empêchant les données d’être brouillées et permettant à l’utilisateur de prendre des mesures pour éliminer la menace. L’approche a un prix, bien sûr; le firmware doit traiter chaque commande de lecture/écriture envoyée vers ou depuis le SSD, ce qui introduit un délai. Les chercheurs affirment que leur firmware n’ajoute que 12,8 à 17,3% aux délais de latence moyens. Ils notent également qu’en raison des fonctionnalités des périphériques SSD, le logiciel peut également inverser tout dommage qui se faufile à travers les étapes initiales d’une attaque.

Les chercheurs ont testé leur firmware à l’aide d’un vrai ransomware et l’ont trouvé capable d’arrêter 100% des attaques. Ils ont également découvert que le logiciel était capable de réparer les dommages causés par les attaques en moins de 10 secondes. Ils reconnaissent que leur système souffre d’un défaut : les codeurs de ransomware pourraient procéder à une ingénierie inverse de SSD-Insider++, puis utiliser ce qu’ils apprennent pour modifier leur propre code afin d’empêcher qu’il ne soit découvert. Mais les chercheurs notent que des mises à jour du micrologiciel pourraient être fournies pour surmonter de tels changements.

© 2021 Réseau Science X