Rançongiciel du Kremlin

Les rançongiciels sont l'une des formes de malware les plus destructrices : ils s'emparent discrètement des fichiers, bloquent l'accès légitime et forcent les victimes à négocier sans succès. Protéger les appareils et les réseaux est essentiel, non seulement pour préserver les données personnelles et professionnelles, mais aussi pour prévenir les perturbations, les pertes financières et la compromission plus large du réseau.

La menace du Kremlin en un coup d’œil

KREMLIN est une famille de rançongiciels découverte lors de l'inspection d'un échantillon de malware dangereux. Son fonctionnement est simple et impitoyable : il chiffre les fichiers des victimes et leur ajoute l'extension « .KREMLIN » (par exemple, « 1.png » → « 1.png.KREMLIN », « 2.pdf » → « 2.pdf.KREMLIN ») avant de déposer une note de rançon au format README.txt, demandant aux victimes de contacter les attaquants via Telegram à l'adresse @KremlinRestore. Cette note constitue le point d'entrée des attaquants pour négocier le paiement et fournir les informations relatives aux cryptomonnaies. Récupérer des fichiers sans les outils de déchiffrement des attaquants est rarement possible ; c'est pourquoi une bonne prévention et des sauvegardes résilientes sont essentielles.

Comment fonctionne le KREMLIN ?

Une fois exécuté, KREMLIN énumère et chiffre les fichiers de données utilisateur, les renommant avec le suffixe « .KREMLIN ». Il laisse un fichier texte contenant les instructions de rançon et les coordonnées des victimes, qui les dirigent vers les attaquants sur Telegram. Les acteurs fournissent ensuite généralement les instructions de paiement (portefeuille de cryptomonnaies, montant). Si le ransomware reste présent sur le système, il peut continuer à chiffrer d'autres fichiers ou tenter de se propager à d'autres hôtes du même réseau.

Vecteurs de distribution et de propagation courants

Les acteurs malveillants utilisent un large éventail de techniques d'ingénierie sociale et de distribution pour diffuser des rançongiciels comme KREMLIN. Parmi les vecteurs les plus courants, on trouve les applications piratées, les outils de piratage et les générateurs de clés, les pièces jointes et les liens malveillants ou usurpés (documents Office, PDF, archives malveillants), les arnaques au support technique, l'exploitation de vulnérabilités logicielles non corrigées, les clés USB infectées, les sites de téléchargement compromis ou non officiels, les réseaux P2P, les publicités malveillantes et les téléchargeurs tiers. Les attaquants regroupent ou dissimulent souvent des exécutables dans des documents ou des archives afin d'inciter les utilisateurs à les exécuter.

Pourquoi il est déconseillé de payer et à quoi les victimes doivent-elles s’attendre ?

Payer une rançon ne garantit pas la récupération des données : les attaquants peuvent ne pas fournir de déchiffreur fonctionnel, exiger des paiements supplémentaires ou tout simplement disparaître. Payer alimente également les activités criminelles et augmente le risque d'être ciblés ultérieurement. Les organisations disposant de sauvegardes fiables et testées ont les meilleures chances de récupérer complètement leurs données sans payer. Que les fichiers soient finalement récupérés ou non, il est essentiel de supprimer le rançongiciel des systèmes infectés, faute de quoi il risque de rechiffrer les fichiers restaurés ou de se propager davantage.

Étapes immédiates après la détection d’une infection

La priorité absolue est de confiner et de préserver les preuves médico-légales. Déconnectez immédiatement les machines infectées des réseaux (débranchez les câbles réseau, désactivez le Wi-Fi) et isolez-les pour éviter tout déplacement latéral. N'éteignez pas brutalement les systèmes si une capture médico-légale est prévue ; conservez plutôt les images si possible et documentez les horodatages et les actions entreprises. Si vous disposez de sauvegardes récentes et vérifiées, ne lancez une restauration contrôlée qu'après vous être assuré que le logiciel malveillant a été éradiqué de l'environnement.

Meilleures pratiques de sécurité pour réduire les risques et limiter l’impact

Maintenez des sauvegardes hors ligne et testées : effectuez régulièrement des sauvegardes des données critiques, dont au moins une copie est stockée hors ligne ou sur un support immuable. Testez régulièrement les procédures de restauration pour garantir la fiabilité des sauvegardes en cas d'incident.

Corrigez et renforcez les systèmes : appliquez les mises à jour de sécurité en temps opportun aux systèmes d'exploitation, aux applications et aux micrologiciels. Réduisez la surface d'attaque en désactivant les services inutilisés et en supprimant les logiciels inutiles.

Utilisez la protection des terminaux et l'EDR : déployez des solutions antivirus et de détection et de réponse des terminaux modernes capables de détecter et de bloquer les comportements malveillants, avec une journalisation et des alertes centralisées.

Appliquer le principe du moindre privilège et la segmentation du réseau : limitez les privilèges des utilisateurs et des services au strict nécessaire. Segmentez les réseaux afin qu'un terminal compromis ne puisse pas accéder facilement aux serveurs ou aux sauvegardes critiques.

Authentification forte et MFA : exigez une authentification multifacteur pour l'accès à distance, la messagerie et les comptes administratifs. Remplacez les mots de passe par défaut ou faibles par des identifiants forts et uniques.

Sécurisez vos passerelles de messagerie et votre site web : utilisez un filtrage avancé des e-mails et une analyse des URL pour réduire les pièces jointes malveillantes et les liens d'hameçonnage. Mettez en œuvre un filtrage DNS et web pour bloquer l'accès aux sites malveillants connus ou aux infrastructures de commande et de contrôle.

Formation des utilisateurs et simulations d’hameçonnage : Formez régulièrement les employés à reconnaître l’hameçonnage, l’ingénierie sociale et les téléchargements suspects ; utilisez des campagnes d’hameçonnage simulées pour mesurer et améliorer la sensibilisation.

Contrôler l'installation de logiciels et les supports amovibles : restreindre la possibilité d'installer des applications ou d'exécuter du code non signé. Bloquer ou surveiller l'utilisation des clés USB et autres supports amovibles.

Considérations relatives à la récupération et au nettoyage

L'éradication du rançongiciel est une condition préalable à une récupération sécurisée. Collaborez avec les professionnels de l'informatique et de la sécurité pour identifier les mécanismes de persistance (entrées de démarrage, tâches planifiées, services, artefacts de mouvement latéral) et les supprimer. Réimagez les systèmes fortement compromis, le cas échéant. Avant de restaurer les données, vérifiez que l'environnement est propre ; sinon, les données restaurées pourraient être rechiffrées. Conservez les preuves pour les forces de l'ordre et, si nécessaire, consultez les assureurs cyber et les conseillers juridiques au sujet des exigences de divulgation.

Notes finales — La résilience plutôt que la rançon

Le mode opératoire de KREMLIN, qui consiste à chiffrer les fichiers et à exiger un paiement en cryptomonnaie après avoir demandé aux victimes de les contacter via Telegram, est typique des ransomwares modernes : rapide, perturbateur et motivé par des raisons financières. La défense la plus efficace repose sur une sécurité multicouche (contrôles techniques, correctifs, détection), des sauvegardes hors ligne robustes et une gestion des incidents bien rodée. En cas d'infection, privilégiez le confinement, la suppression et la restauration à partir de sauvegardes fiables ; évitez de vous fier aux promesses des attaquants et faites appel à des professionnels de la réponse aux incidents et aux forces de l'ordre.