Stratégies de protection et d’éradication des ransomwares : Le guide des meilleures tactiques

0
75

Les ransomwares, ou rançongiciels en français, sont une menace d’envergure mondiale qui touche tous les secteurs. L’impact d’une telle attaque pour une organisation peut être matériel – incluant l’impossibilité d’accéder à des données, des systèmes, et des interruptions d’activités.

Tribune FireEye – Les pertes potentielles de revenus, associées aux coûts générés par la restauration des données et la mise en œuvre de nouveaux processus et contrôles de sécurité, peuvent être considérables. Les ransomwares sont devenus de plus en plus populaires auprès des cybercriminels au cours des dernières années, et il est facile de comprendre pourquoi, étant donnée la simplicité du déploiement de telles campagnes et l’ampleur du retour sur investissement pour les attaquants.

« Les acteurs de menaces réalisent que plus elles perturbent les opérations de leurs victimes, plus elles peuvent leur soutirer de l’argent. Au cours de l’année passée, nous avons observé des cybercriminels spécialisés de longue date dans le vol d’identifiants de cartes de crédit abandonner cette activité pour se tourner vers le déploiement de ransomwares (FIN6 par exemple), plus lucratif que la revente de numéros de carte bancaire. Nous avons également vu un nombre accru d’acteurs de menaces dérober des données à des organisations puis leur extorquer de l’argent, utilisant souvent les réseaux sociaux et des articles de presse pour presser leurs victimes à les payer. Ces opérations peuvent générer des gains à six ou sept chiffres aux dépens des victimes. » Charles Carmakal, CTO de Mandiant, FireEye

Dans un nouveau rapport, Ransomware Protection and Containment Strategies: Practical Guidance for Endpoint Protection, Hardening, and Containment, FireEye détaille les meilleures tactiques que les organisations peuvent adopter pour protéger leur environnement informatique afin de réduire au maximum l’éventualité d’une attaque par ransomware. Ces recommandations peuvent également les aider à adopter les meilleures pratiques nécessaires pour contenir et minimiser l’impact d’un tel événement s’il se produit.

Les ransomwares sont généralement déployés dans un environnement informatique de deux façons :

  1. Propagation manuelle par un attaquant qui a réussi à pénétrer dans l’environnement et à se procurer des privilèges d’administrateur afin d’y naviguer librement :
    • Exécution manuelle d’encodeurs sur les systèmes ciblés.
    • Déploiement d’encodeurs dans l’environnement en utilisant des fichiers batch Windows (installation de partages C$, copie de l’encodeur, et exécution avec l’outil Microsoft PsExec).
    • Déploiement des encodeurs avec les Microsoft Group Policy Objects (GPOs).
    • Déploiement des encodeurs avec les outils de déploiement logiciel existants utilisés par l’organisation victime.
  1. Propagation automatisée :
    • Extraction d’identifiant ou d’un token Windows depuis un disque dur ou la mémoire.
    • Relations de confiance entre systèmes – et exploitation de méthodes telles que Windows Management Instrumentation (WMI), SMB, ou PsExec pour s’unir à des systèmes et exécuter des contenus.
    • Méthodes d’exploitation non patchées (e.g., EternalBlue – traité via Microsoft Security Bulletin MS17-010 – https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010).

Le rapport contient un ensemble de recommandations techniques conçues pour aider les organisations à réduire les risques associés à une attaque par ransomware, dont :

  • La segmentation des postes de travail
  • La protection contre les méthodes d’exploitation les plus courantes
  • La réduction de l’exposition des comptes à privilèges
  • Les protections contre les mots de passe en clair

Pour obtenir plus d’informations, le rapport FireEye au complet est disponible ici en PDF.