Lisez ce document et vous apprendrez :
Cet ebook aborde tous les sujets : pourquoi la détection de l'activité des attaquants et la reconnaissance connue sous le nom de ransomOps sont essentielles pour stopper les ransomwares et quelles sont les mesures prises par les professionnels de la sécurité pour claquer la porte des tactiques actuelles de ransomware. Nous expliquerons comment les clients qui utilisent les services MDR de Vectra sont en mesure de détecter des attaques actives presque immédiatement, ainsi que certains défis, observations et recommandations que toutes les organisations devraient connaître.
Une chose est sûre, la différence entre le succès et l'échec lorsqu'il s'agit d'arrêter un ransomware se résume à la vitesse de réaction et à la rapidité d'action - arrêtons les ransomwares !
Aussi déplaisant que cela puisse paraître, les gangs de ransomware et leurs affiliés gèrent une entreprise et, comme toute autre entreprise, ils existent pour gagner de l'argent. Ils ont une mentalité de retour sur investissement et il se trouve qu'ils tirent profit de la possibilité d'atteindre des systèmes et des données qu'ils peuvent voler le plus rapidement possible, tout en vous faisant payer une forte somme pour la restitution de vos biens.
Cet état d'esprit est à l'origine d'un grand nombre d'observations présentées dans cet ebook, et la compréhension des motivations des attaquants est un élément clé de toute stratégie de sécurité. Lorsque vous savez ce qui motive les attaquants et que vous pouvez clairement identifier les systèmes et les données d'un environnement qui pourraient causer des perturbations s'ils étaient compromis, votre organisation sera en bonne position pour rendre aussi difficile que possible le déroulement d'une attaque.
Voyons pourquoi les "tabletops" peuvent aider à mettre en lumière ces aspects et comment les équipes rouges peuvent fournir une évaluation objective de l'état de préparation actuel.
Bien sûr, le meilleur résultat est d'empêcher les gangs de ransomware d'accéder à votre environnement. Et si la prévention n'est jamais infaillible, l'état d'esprit du retour sur investissement peut jouer en votre faveur. En fait, vous pouvez réduire considérablement vos risques en appliquant les principes de base de l'hygiène d'authentification et des correctifs.
En effet, l'accès initial des attaquants se fait le plus souvent par le biais d'une vulnérabilité non corrigée et exposée à la DMZ, d'un compte sans MFA ou d'un autre type d'accès facile. En fait, si les organisations ne respectent pas certaines des méthodes de prévention de base, les attaquants n'ont pas besoin d'utiliser des tactiques sophistiquées et fastidieuses pour obtenir un accès.
Le meilleur résultat est d'empêcher les gangs de ransomware d'accéder à votre environnement.
La bonne nouvelle, c'est qu'en activant l'authentification multifactorielle (MFA) sur votre VPN, votre IDP et d'autres points d'entrée, vous rendrez la vie plus difficile aux attaquants qui pourraient décider de frapper à la porte de quelqu'un d'autre à la place. Il en va de même pour la gestion des correctifs : en veillant à ce que les pratiques en matière de correctifs s'étendent à l'ensemble de votre zone démilitarisée, vous contribuerez à repousser les attaques. Bien qu'aucune stratégie de prévention ne soit infaillible, des investissements judicieux dans la prévention rendront l'accès plus difficile aux attaquants.
La sélection des éléments de base améliorera le risque, mais ne l'éliminera pas. Il y a de nombreuses raisons à cela, mais la vérité est qu'il suffit d'une erreur dans la configuration du compte, d'un correctif manqué, d'un utilisateur qui clique sur un lien qu'il ne devrait pas... ou d'un nouveau 0-day dans votre VPN de choix (financé par les masses d'argent qui se déversent dans l'écosystème des ransomwares) pour le percer. Nous avons tout vu.
Et lorsqu'un acteur du ransomware s'introduit dans votre environnement, attendez-vous à ce qu'il agisse RAPIDEMENT. Nous avons certainement répondu à des attaques qui progressaient lentement sur plusieurs jours, mais il n'est pas rare que la majeure partie d'une attaque se produise en une seule soirée, après les heures de bureau. N'oubliez pas que le temps, c'est de l'argent pour les attaquants qui ont une mentalité de retour sur investissement. Qu'ils donnent aux défenseurs le moins de temps possible pour réagir ou qu'ils jouent simplement le jeu des chiffres, nous voyons généralement peu de signes de la part des attaquants qui tentent de rester sous le radar. En fait, le temps d'attente global pour les attaques par ransomware a considérablement diminué au cours des dernières années.
La bonne nouvelle pour les défenseurs est que la vitesse rend l'attaque évidente avec la bonne technologie de détection. Comme c'est le cas avec Vectra, nous avons détecté des hôtes critiques dans les deux minutes suivant l'accès initial. Cependant, en raison de la rapidité de la progression de l'attaque, il est également crucial d'être prêt à réagir rapidement et de manière décisive afin d'arrêter la menace avant le déploiement du ransomware.
Malheureusement, cette capacité à réagir rapidement ne se limite pas aux heures de bureau. Nous avons observé une reconnaissance précoce et un mouvement latéral à toute heure, apparemment dès que l'acteur du ransomware a un peu de temps. Parfois, c'est au milieu de la journée, d'autres fois la nuit, un week-end ou même un jour férié. Cependant, d'après nos observations, la poussée finale vers l'exfiltration et le chiffrement est plus susceptible de se produire au milieu de la nuit ou pendant un week-end ou un jour férié - lorsque les capacités de réponse aux incidents sont les plus faibles.
En pratique, cela signifie qu'une surveillance 24 heures sur 24 et 7 jours sur 7 est indispensable.
La première étape de la réponse à une menace de ransomware consiste à détecter l'adversaire dans votre environnement. Il est tout aussi essentiel de savoir ce que vous ferez dans différents scénarios pour mettre fin à l'attaque. Jusqu'où êtes-vous prêt à aller ? Dans le cadre de l'une de nos missions, l'attaquant est parvenu jusqu'à l'administrateur du domaine sur le contrôleur de domaine où l'équipe de sécurité a dû prendre la décision, en une fraction de seconde, de déconnecter complètement ses systèmes d'Internet afin de gagner du temps pour réagir. Heureusement, cela a fonctionné pour eux.
Même si cette équipe a été très proche d'une attaque par ransomware, ce scénario n'est pas si rare. Il peut être utile de se poser la question suivante : si votre organisation se trouvait dans la même situation, que feriez-vous ? Ce niveau de perturbation serait-il acceptable pour l'entreprise ? Seriez-vous en mesure de réagir efficacement sans connectivité pour votre personnel de sécurité à distance ? Y a-t-il d'autres options de réponse que vous devriez acheter ?
Nous avons constaté qu'une action rapide et décisive sous pression est un ingrédient clé d'une réponse réussie. Connaître et mettre en pratique son plan d'action avant d'en avoir besoin peut faire toute la différence.
Les attaques modernes de ransomware (en fait, les ransomOps) ne déploient pas le binaire du ransomware avant la toute fin de l'attaque. Cela signifie que si vous voyez le ransomware lui-même, vous arriverez probablement trop tard.
Il s'agit d'une idée fausse, car pour stopper ces attaques en cours, vous devez détecter les étapes qui précèdent le déploiement d'un ransomware et y répondre. En réalité, il est presque certain que vous agirez sans connaître parfaitement l'adversaire ou son objectif final. Dans de nombreux cas, vous observerez une attaque qui progresse rapidement et, éventuellement, des signes révélateurs dans les outils ou l'infrastructure C2 qui vous permettront de faire une supposition éclairée sur ce qui est en train de se passer.
Dans ce cas, vos plans d'intervention devront se concentrer sur une catégorie plus générale d'intrusion et sur la progression de l'attaque, en comprenant que la fin du jeu n'est qu'une probabilité et non une certitude.
Nous avons observé des exploits utilisés pour obtenir un accès initial, et parfois pour un mouvement latéral. Mais, comme pour la plupart des attaques modernes, l'accent est mis sur les informations d'identification - comptes d'administrateur et de service. En combinaison avec les protocoles d'administration, ce sont les tactiques favorites de pratiquement tous les affiliés de ransomware.
L'objectif, comme dans de nombreuses attaques, est d'accéder à l'administrateur du domaine sur le contrôleur de domaine afin de lancer la phase finale de l'attaque. De ce point de vue, il est facile d'accéder aux données les plus précieuses. Il est également possible de déployer un ransomware à une vitesse fulgurante, en utilisant des outils d'administration tels que les GPO.
En raison de l'accent mis sur les informations d'identification, il est absolument essentiel de surveiller attentivement l'utilisation de tous les comptes à privilèges, car nous avons constaté qu'il s'agit de l'un des signaux de détection d'attaque les plus précieux.
Les analystes de Vectra ont compilé les défis liés aux utilisateurs, aux processus et à la sécurité qui étaient communs aux différents engagements des clients.
Nos équipes travaillent quotidiennement en étroite collaboration avec les équipes de sécurité, répondant aux alertes critiques générées par les solutions de détection et de réponse aux menaces basées sur le siteVectra AI. Lorsque nous entrons en contact avec les clients, il n'est pas évident de savoir s'il s'agit d'un ransomware. Au fur et à mesure que les alertes gagnent en gravité, nous sommes en mesure d'obtenir plus de clarté et de contexte sur l'attaque et de déterminer s'il s'agit bien d'un ransomware. Nous avons découvert toute une série d'outils et de pratiques de sécurité qui compliquent la tâche des adversaires lorsqu'il s'agit de mener à bien des campagnes de ransomware et, en fin de compte, de les arrêter avec certitude. Il s'agit notamment de