Best Practices Guide

Comment stopper les ransomwares

Lisez ce document et vous apprendrez :

  • L'importance de la gestion automatisée des menaces pour détecter et stopper les attaques de ransomware.
  • Comment l'efficacité opérationnelle de l'entreprise peut être améliorée par l'utilisation d'une solution de sécurité native cloud.
  • Le rôle de la surveillance proactive et de la réaction rapide dans la prévention des perturbations désastreuses causées par les attaques de ransomware.
Comment stopper les ransomwares
Comment stopper les ransomwares
Sélectionner la langue à télécharger
Rapport d'accès

Cet ebook aborde tous les sujets : pourquoi la détection de l'activité des attaquants et la reconnaissance connue sous le nom de ransomOps sont essentielles pour stopper les ransomwares et quelles sont les mesures prises par les professionnels de la sécurité pour claquer la porte des tactiques actuelles de ransomware. Nous expliquerons comment les clients qui utilisent les services MDR de Vectra sont en mesure de détecter des attaques actives presque immédiatement, ainsi que certains défis, observations et recommandations que toutes les organisations devraient connaître.

Une chose est sûre, la différence entre le succès et l'échec lorsqu'il s'agit d'arrêter un ransomware se résume à la vitesse de réaction et à la rapidité d'action - arrêtons les ransomwares !

Avant tout, le ransomware est une activité commerciale

Aussi déplaisant que cela puisse paraître, les gangs de ransomware et leurs affiliés gèrent une entreprise et, comme toute autre entreprise, ils existent pour gagner de l'argent. Ils ont une mentalité de retour sur investissement et il se trouve qu'ils tirent profit de la possibilité d'atteindre des systèmes et des données qu'ils peuvent voler le plus rapidement possible, tout en vous faisant payer une forte somme pour la restitution de vos biens.

Cet état d'esprit est à l'origine d'un grand nombre d'observations présentées dans cet ebook, et la compréhension des motivations des attaquants est un élément clé de toute stratégie de sécurité. Lorsque vous savez ce qui motive les attaquants et que vous pouvez clairement identifier les systèmes et les données d'un environnement qui pourraient causer des perturbations s'ils étaient compromis, votre organisation sera en bonne position pour rendre aussi difficile que possible le déroulement d'une attaque.

Voyons pourquoi les "tabletops" peuvent aider à mettre en lumière ces aspects et comment les équipes rouges peuvent fournir une évaluation objective de l'état de préparation actuel.

Commencer par les bases

Bien sûr, le meilleur résultat est d'empêcher les gangs de ransomware d'accéder à votre environnement. Et si la prévention n'est jamais infaillible, l'état d'esprit du retour sur investissement peut jouer en votre faveur. En fait, vous pouvez réduire considérablement vos risques en appliquant les principes de base de l'hygiène d'authentification et des correctifs.

En effet, l'accès initial des attaquants se fait le plus souvent par le biais d'une vulnérabilité non corrigée et exposée à la DMZ, d'un compte sans MFA ou d'un autre type d'accès facile. En fait, si les organisations ne respectent pas certaines des méthodes de prévention de base, les attaquants n'ont pas besoin d'utiliser des tactiques sophistiquées et fastidieuses pour obtenir un accès.

Le meilleur résultat est d'empêcher les gangs de ransomware d'accéder à votre environnement.

La bonne nouvelle, c'est qu'en activant l'authentification multifactorielle (MFA) sur votre VPN, votre IDP et d'autres points d'entrée, vous rendrez la vie plus difficile aux attaquants qui pourraient décider de frapper à la porte de quelqu'un d'autre à la place. Il en va de même pour la gestion des correctifs : en veillant à ce que les pratiques en matière de correctifs s'étendent à l'ensemble de votre zone démilitarisée, vous contribuerez à repousser les attaques. Bien qu'aucune stratégie de prévention ne soit infaillible, des investissements judicieux dans la prévention rendront l'accès plus difficile aux attaquants.

Être prêt à réagir rapidement... de jour comme de nuit

La sélection des éléments de base améliorera le risque, mais ne l'éliminera pas. Il y a de nombreuses raisons à cela, mais la vérité est qu'il suffit d'une erreur dans la configuration du compte, d'un correctif manqué, d'un utilisateur qui clique sur un lien qu'il ne devrait pas... ou d'un nouveau 0-day dans votre VPN de choix (financé par les masses d'argent qui se déversent dans l'écosystème des ransomwares) pour le percer. Nous avons tout vu.

Et lorsqu'un acteur du ransomware s'introduit dans votre environnement, attendez-vous à ce qu'il agisse RAPIDEMENT. Nous avons certainement répondu à des attaques qui progressaient lentement sur plusieurs jours, mais il n'est pas rare que la majeure partie d'une attaque se produise en une seule soirée, après les heures de bureau. N'oubliez pas que le temps, c'est de l'argent pour les attaquants qui ont une mentalité de retour sur investissement. Qu'ils donnent aux défenseurs le moins de temps possible pour réagir ou qu'ils jouent simplement le jeu des chiffres, nous voyons généralement peu de signes de la part des attaquants qui tentent de rester sous le radar. En fait, le temps d'attente global pour les attaques par ransomware a considérablement diminué au cours des dernières années.

La bonne nouvelle pour les défenseurs est que la vitesse rend l'attaque évidente avec la bonne technologie de détection. Comme c'est le cas avec Vectra, nous avons détecté des hôtes critiques dans les deux minutes suivant l'accès initial. Cependant, en raison de la rapidité de la progression de l'attaque, il est également crucial d'être prêt à réagir rapidement et de manière décisive afin d'arrêter la menace avant le déploiement du ransomware.

Malheureusement, cette capacité à réagir rapidement ne se limite pas aux heures de bureau. Nous avons observé une reconnaissance précoce et un mouvement latéral à toute heure, apparemment dès que l'acteur du ransomware a un peu de temps. Parfois, c'est au milieu de la journée, d'autres fois la nuit, un week-end ou même un jour férié. Cependant, d'après nos observations, la poussée finale vers l'exfiltration et le chiffrement est plus susceptible de se produire au milieu de la nuit ou pendant un week-end ou un jour férié - lorsque les capacités de réponse aux incidents sont les plus faibles.

En pratique, cela signifie qu'une surveillance 24 heures sur 24 et 7 jours sur 7 est indispensable.

Prévoir un plan d'action pour la réponse

La première étape de la réponse à une menace de ransomware consiste à détecter l'adversaire dans votre environnement. Il est tout aussi essentiel de savoir ce que vous ferez dans différents scénarios pour mettre fin à l'attaque. Jusqu'où êtes-vous prêt à aller ? Dans le cadre de l'une de nos missions, l'attaquant est parvenu jusqu'à l'administrateur du domaine sur le contrôleur de domaine où l'équipe de sécurité a dû prendre la décision, en une fraction de seconde, de déconnecter complètement ses systèmes d'Internet afin de gagner du temps pour réagir. Heureusement, cela a fonctionné pour eux.

Même si cette équipe a été très proche d'une attaque par ransomware, ce scénario n'est pas si rare. Il peut être utile de se poser la question suivante : si votre organisation se trouvait dans la même situation, que feriez-vous ? Ce niveau de perturbation serait-il acceptable pour l'entreprise ? Seriez-vous en mesure de réagir efficacement sans connectivité pour votre personnel de sécurité à distance ? Y a-t-il d'autres options de réponse que vous devriez acheter ?

Nous avons constaté qu'une action rapide et décisive sous pression est un ingrédient clé d'une réponse réussie. Connaître et mettre en pratique son plan d'action avant d'en avoir besoin peut faire toute la différence.

Pour arrêter les rançongiciels, ne cherchez pas les rançongiciels

Les attaques modernes de ransomware (en fait, les ransomOps) ne déploient pas le binaire du ransomware avant la toute fin de l'attaque. Cela signifie que si vous voyez le ransomware lui-même, vous arriverez probablement trop tard.

Il s'agit d'une idée fausse, car pour stopper ces attaques en cours, vous devez détecter les étapes qui précèdent le déploiement d'un ransomware et y répondre. En réalité, il est presque certain que vous agirez sans connaître parfaitement l'adversaire ou son objectif final. Dans de nombreux cas, vous observerez une attaque qui progresse rapidement et, éventuellement, des signes révélateurs dans les outils ou l'infrastructure C2 qui vous permettront de faire une supposition éclairée sur ce qui est en train de se passer.

Dans ce cas, vos plans d'intervention devront se concentrer sur une catégorie plus générale d'intrusion et sur la progression de l'attaque, en comprenant que la fin du jeu n'est qu'une probabilité et non une certitude.

Les comptes et les outils d'administration sont essentiels

Nous avons observé des exploits utilisés pour obtenir un accès initial, et parfois pour un mouvement latéral. Mais, comme pour la plupart des attaques modernes, l'accent est mis sur les informations d'identification - comptes d'administrateur et de service. En combinaison avec les protocoles d'administration, ce sont les tactiques favorites de pratiquement tous les affiliés de ransomware.

L'objectif, comme dans de nombreuses attaques, est d'accéder à l'administrateur du domaine sur le contrôleur de domaine afin de lancer la phase finale de l'attaque. De ce point de vue, il est facile d'accéder aux données les plus précieuses. Il est également possible de déployer un ransomware à une vitesse fulgurante, en utilisant des outils d'administration tels que les GPO.

En raison de l'accent mis sur les informations d'identification, il est absolument essentiel de surveiller attentivement l'utilisation de tous les comptes à privilèges, car nous avons constaté qu'il s'agit de l'un des signaux de détection d'attaque les plus précieux.

Comportement habituel des ransomwares

Les analystes de Vectra ont compilé les défis liés aux utilisateurs, aux processus et à la sécurité qui étaient communs aux différents engagements des clients.

Prévenir les attaques de ransomware

Accès Initial

  • Les attaquants continuent de rechercher les vulnérabilités des services et systèmes accessibles au public et connectés à l'internet.
  • Les serveurs fonctionnant sous RDP, FTP ou VPN sont des cibles populaires, fournissant un accès initial aux entreprises et à cloud.
  • L'absence d'AMF est une lacune souvent ciblée.
  • Dans certains cas, la progression de l'attaque a pris quelques heures à partir de l'entrée initiale, et dans d'autres cas, des jours, voire des semaines. Les équipes de sécurité ont le temps de détecter et de réagir rapidement, mais cela nécessite une vigilance 24 heures sur 24 et 7 jours sur 7.

Command and Control (C2)

  • Cobalt Strike semble être l'outil préféré du moment.
  • Des outils populaires d'accès à distance, qu'ils soient sanctionnés ou non, ont également été utilisés pour contrôler des systèmes. Dans un cas, nous avons détecté le logiciel Cisco AnyConnect utilisé pour contrôler des machines à l'intérieur, par un humain à l'extérieur.
Détecter les ransomwares

Recon et mouvement latéral

  • Dans la plupart des cas, l'analyse était agressive et comprenait la cartographie du réseau, des requêtes rDNS et l'énumération des partages. L'analyse rapide a généralement rendu les attaques visibles dans les minutes qui ont suivi l'accès initial.
  • Les reconnaissances liées aux informations d'identification, y compris les requêtes LDAP et les appels RPC pour déterminer l'emplacement des informations d'identification, étaient également courantes.
  • Le mouvement latéral dans les premières étapes comprenait des exploits courants. Les étapes ultérieures reposaient principalement sur les informations d'identification et les protocoles d'administration.

Exfiltration

  • Les sites de partage de fichiers gratuits étaient couramment utilisés pour télécharger des informations de reconnaissance à des fins d'analyse. Il s'agit notamment de Mega Upload (mega.com) et de temp.sh.

Recommandations pour la prévention, la détection et la réponse aux ransomwares

Nos équipes travaillent quotidiennement en étroite collaboration avec les équipes de sécurité, répondant aux alertes critiques générées par les solutions de détection et de réponse aux menaces basées sur le siteVectra AI. Lorsque nous entrons en contact avec les clients, il n'est pas évident de savoir s'il s'agit d'un ransomware. Au fur et à mesure que les alertes gagnent en gravité, nous sommes en mesure d'obtenir plus de clarté et de contexte sur l'attaque et de déterminer s'il s'agit bien d'un ransomware. Nous avons découvert toute une série d'outils et de pratiques de sécurité qui compliquent la tâche des adversaires lorsqu'il s'agit de mener à bien des campagnes de ransomware et, en fin de compte, de les arrêter avec certitude. Il s'agit notamment de

La prévention

  • Évaluez régulièrement votre posture de sécurité externe et mettez en œuvre les correctifs prioritaires. Concentrez-vous en particulier sur l'infrastructure d'accès à distance et les services communément vulnérables tels que RDP et FTP, qui se sont avérés être des cibles populaires.
  • Activer le MFA dans la mesure du possible sur tous les fournisseurs d'identité ou sur l'infrastructure d'accès à distance.
  • En général, des contrôles préventifs, des règles et des politiques solides rendent plus difficile l'escalade des privilèges, même après l'accès, ce qui laisse plus de temps pour réagir.
  • Les comptes à privilèges constituent un domaine d'intérêt particulier. Bien qu'il s'agisse d'un défi opérationnel, plus il est possible de concentrer l'utilisation sur les serveurs de saut et les systèmes de gestion des comptes privilégiés, plus le chemin d'escalade sera difficile.

Détection

  • Il est possible d'arrêter l'attaque après que l'acteur du ransomware a obtenu l'accès et avant que les données ne soient exfiltrées ou que le ransomware ne soit déployé.
  • Investissez dans la détection et la réponse aux menaces sur votre réseau, votre infrastructure d'identité, cloud et endpoint pour maximiser les chances de détection précoce.

Enquête et réponse

  • Les attaques de ransomware peuvent progresser rapidement, à toute heure du jour ou de la nuit. Il est essentiel de s'assurer que vous surveillez les alertes critiques 24 heures sur 24, 7 jours sur 7 et 365 jours par an, que ce soit en renforçant les équipes internes ou en tirant parti des offres de détection et de réponse gérées (MDR) ou de MSSP.
  • L'intégration des données télémétriques provenant des journaux du réseau, de endpoint et de cloud fournit le meilleur contexte, la plus grande clarté et le plus grand enrichissement pour l'étude des menaces et la détermination de la cause première.
  • La recherche d'une activité accrue de balayage de votre zone démilitarisée avant l'accès initial, en combinaison avec l'OSINT, peut fournir une évaluation précoce de l'acteur probable de la menace et apporter plus de clarté dans la réponse.

Les entreprises du monde entier nous font confiance

Foire aux questions