Tribune Jean-Pierre Blum

Ransomwares, une nouvelle vague épidémique à la mode et très rentable

Publié le 08/07/2021
Le paysage cybernétique continue de se complexifier, les adversaires devenant de plus en plus sophistiqués et modifiant rapidement leurs tactiques. Pour identifier et arrêter les attaquants, les organisations doivent comprendre comment ils pensent, comment ils travaillent et leurs objectifs. Dans ce jeu, les ransomwares sont à la fête. La société informatique américaine Kaseya, victime – cette semaine - d'une cyberattaque au « rançongiciel » en bon français qui a affecté jusqu'à 40 000 entreprises dans 22 pays, tente toujours de redémarrer ses serveurs pour permettre à ses milliers de clients d'accéder de nouveau à leurs services sur Internet, après avoir dû admettre de nouvelles difficultés techniques.

Matt Bromiley, consultant senior chez Mandiant Managed Defense, livre dans un article publié aux USA les grands « trucs et astuces » érigés en principes pour protéger les environnements d'entreprises et d’organisations contre les ransomwares.

S'il y a une cybermenace qui occupe le devant de la scène en ce moment, c'est bien le ransomware. Autrefois menace « nuisible », les ransomwares sont devenus un secteur d'activité à plusieurs milliards de dollars pour les attaquants. Ces acteurs de la menace ne sont plus des amateurs qui s'essaient à l'effraction. Ils se procurent plutôt des informations sur leurs cibles, collectent des données de reconnaissance et exécutent une attaque qui met rapidement une organisation à genoux. Pire encore, les cibles sont éparpillées, avec peu de rime et de raison, si ce n'est l'argent.

Nous continuons d'observer une recrudescence des incidents de ransomware visant des organisations de tous secteurs, de toutes formes et de toutes tailles. Les acteurs de la menace semblent avoir peu de discernement pour leurs victimes et ont ciblé des organisations allant des pipelines aux agences d'assurance en passant par les réseaux d'enseignement supérieur et les hôpitaux. Il est courant de voir des montants de paiement de ransomware (ou d'extorsion) se chiffrant en millions ou dizaines de millions de dollars. Compte tenu de l'attention médiatique, des sommes exorbitantes demandées et de l'ampleur de la menace, - les conséquences métiers - pourquoi continue-t-on à voir des attaques réussir ?

Le ministère américain de la justice a publié des directives internes selon lesquelles « les attaques par ransomware doivent être traitées avec la même priorité que les attaques terroristes » Cela a-t-il dissuadé les attaquants ? Il ne semble pas que ce soit le cas. Au contraire, les organisations doivent toujours rester vigilantes pour protéger leur environnement et limiter les taux de réussite des attaquants. Ci-après, nous examinons les cinq principales choses que vous devriez faire dès absolument.

 

Conseil n° 1 : avoir un plan

Si vous n'avez pas subi d'attaque par ransomware, félicitations ! Vous avez maintenant du temps devant vous, du moins je l'espère. Utilisez-le pour mettre en place un plan, même si vous n'avez pas d'équipe de sécurité. Commencez par cette simple question : Si vous étiez frappé par une attaque en ce moment même, comment réagiriez-vous ?

Commencez à combler chaque lacune que vous identifiez, qu'il s'agisse de la manière dont vous détecteriez l'incident, de la manière dont vous feriez appel à des conseils ou de la manière dont vous rétablissez le fonctionnement normal des données. Lorsque vous planifiez, supposez une perte de données, et voyez si cela a un impact sur la façon dont vous réagissez. N’omettez pas la(es= sauvegarde(s) et sa(leurs) protection(s) car les attaquants - pas fous - cryptent également cette(ces) sauvegarde(s).

 

Conseil n° 2 : travailler ensemble, les rançongiciels ne sont pas qu’un problème de sécurité.

Les ransomwares ne sont plus seulement un « problème de sécurité ». Une attaque par ransomware a un impact sur les utilisateurs - les métiers -, les services juridiques, les RH, les finances et bien d'autres, y compris bien sûr l'équipe de sécurité et les mandataires sociaux. Vous ne pouvez pas vous défendre avec succès contre une attaque si l'organisation est cloisonnée en son sein. S'il y a des silos dans votre organisation, tendez la main aux équipes et établissez des relations de collaboration.

Les administrateurs de systèmes et de serveurs sont essentiels à l'audit de votre environnement Active Directory.

Les ingénieurs réseau sont responsables du temps de fonctionnement et du flux de trafic - ils savent où les paquets peuvent et ne peuvent pas aller dans un environnement.

Travaillez avec l'équipe juridique pour comprendre la position de votre organisation sur les ransomwares et les mesures d'urgence mises en place. L'équipe juridique doit également faire partie de votre plan de réponse aux incidents.

Établissez dès maintenant ces relations essentielles, car elles seront cruciales pour l'audit de votre environnement, l'amélioration des défenses et, si jamais cela se produit, la réponse et la récupération après une attaque.

 

Conseil n°3 : auditer et limiter les comptes à haut niveau de privilèges dans Active Directory

L'un des premiers objectifs des attaquants dans un environnement victime est de trouver et d'obtenir des informations d'identification élevées. Ces informations d'identification sont souvent nécessaires pour atteindre leurs objectifs - ils ont besoin de privilèges pour trouver des systèmes supplémentaires, se déplacer latéralement dans l'environnement, exécuter certaines commandes, établir la persistance, etc. Bien trop souvent, lors de nos enquêtes, nous découvrons des environnements comportant simplement trop de comptes hautement privilégiés - et les attaquants misent là-dessus.

Il existe de nombreux outils à la disposition des attaquants pour profiler Active Directory, certains trouvant même le chemin le plus court pour atteindre le compte ultime d'administrateur de domaine. Heureusement pour les défenseurs, ces outils fonctionnent dans les deux sens : Ils peuvent être utilisés en interne pour effectuer votre propre « reconnaissance » et utiliser les résultats pour limiter les comptes ayant trop de privilèges.

Parmi les outils disponibles pour aider à la lutte, on ne saurait trop recommander de sélectionner ceux qui s’attachent à :

trouver les priorités des correctifs à apporter pour une action rapide et à portée  des équipes dont les ressources sont la plupart du temps limitées. éviter la propagation des codes malveillants qui affectent les machines et pas seulement les accès privilégiés des utilisateurs.

 

Conseil n° 4 : utiliser des protections intégrées pour les comptes hautement privilégiés

Une fois que vous avez audité et limité vos comptes hautement privilégiés aux seuls comptes nécessaires, l'étape suivante consiste à utiliser des protections intégrées qui peuvent atténuer les différentes voies de vol de crédences.

Les systèmes d'exploitation Windows plus récents, par exemple, comprennent des protections telles que Credential Guard et Remote Credential Guard pour Windows 10 et Windows Sever 2016+. Utilisez-les. Pour les terminaux plus anciens, utilisez le mode administration restreinte.

Placez les comptes privilégiés non liés au service dans le groupe de sécurité Protected Users - ils seront protégés autour du domaine. Désactivez les méthodes qui stockent les informations d'identification en texte clair en mémoire. Si vous disposez d'agents de détection et de réponse aux points d'accès (EDR), vérifiez s'ils offrent des protections de compte utilisateur. La plupart des techniques utilisées par les attaquants pour voler des informations d'identification sont connues, et de nombreuses organisations n'utilisent malheureusement pas les protections disponibles pour les solutions qu'elles ont mises en place.

Conseil n° 5 : mettre en œuvre et simuler. Laver, rincer et répéter.

Une fois que vous avez mis en place des protections de compte, utilisez des outils open-source ou un fournisseur de sécurité pour tester votre environnement. Inutile de demander une rançon - concentrez-vous plutôt sur les premières étapes d'une attaque, comme le vol d'informations d'identification ou le mouvement latéral. Qu'avez-vous détecté, qu'avez-vous pu réaliser ? Des tests fréquents vous permettront non seulement de mieux connaître votre environnement, mais aussi de savoir où se situent vos lacunes en matière de détection et de couverture.

On ne peut pas simplement brancher des outils et s'attendre à être défendu en « appuyant sur un bouton ». Une bonne sécurité de l'information exige une connaissance de l'environnement ainsi que des tests et des ajustements fréquents. Si vous n'avez pas subi d'attaque, tant mieux. N'attendez pas le « si » - anticipez et minimisez plutôt le « quand ».

« Votre décision d'agir tôt pourrait littéralement valoir des millions de dollars ».

Il est triste de constater que les plus hautes instances publiques et régulatoires persistent à proposer des solutions « à taille unique », inadaptées pour 99% des organisations et entreprises, ne tenant pas compte des risques métiers, donc la plupart du temps ignorées – Cf. Accident OVH Cloud à Strasbourg -. Toutes les structures n’ont pas les moyens du CAC40 ou ne sont pas les (heureux) clients du (très) cher et flamboyant Orange (15, 17, 18) et certains (les technosachants) continuent toujours à produire « comme on fait d’habitude » c’est-à-dire du « vieux avec du neuf ». On peut sans crainte prédire le résultat. Médiocre. Le bon sens devrait amener Pareto à faire un tour de piste. D’urgence.


Source : decision-sante.com