Ransomware : où concentrer ses efforts de détection ?

« Microsoft Defender est plutôt bon pour détecter Ryuk ». C’est ce qu’affirme l’expert Kevin Beaumont sur Twitter. Mais alors, comment expliquer que ce ransomware ait pu faire autant de mal à Prosegur, en Espagne, la semaine dernière ? Comment expliquer qu’il ait pu rapporter à ses opérateurs plus de 3,5 M$ en quelques mois d’existence, comme l’estimait en début d’année Crowdstrike ?

Parce que détecter le rançongiciel lui-même ne sert à rien, répond sans ambages Fabian Wosar, directeur technique d’Emsisoft : les assaillants « ne cherchent même pas à cacher leurs échantillons ou à en empêcher la détection ». Pour quelle raison ? Tout simplement car « au moment où ils lancent l’attaque, ils sont déjà [infiltrés] si profond dans votre réseau et ont tant de contrôle qu’ils désactivent toute votre sécurité ».

S’il le fallait, voilà qui plaide plus que fortement en faveur du développement de capacités de détection. Car Kevin Beaumont le rappelle : que ce soit pour Ryuk, Hermes, Doppelpaymer, et d’autres encore, « les attaquants arrivent toujours quelques semaines avant de lancer une attaque. Si vous avez la possibilité de les débusquer, vous sauverez votre entreprise ».

Spécialiste du renseignement sur les menaces et de la rétro-ingénierie des maliciels, Vitali Kremez confirme : « dans de nombreux cas, une infection par Trickbot agit comme précurseur », et le déploiement de Ryuk est fait manuellement par les cyberdélinquants. Fabian Wosar va plus loin : « je suis intervenu sur des incidents de ransomware d’une valeur de 350 M$ juste pour cette année, avec en majorité Ryuk, BitPaymer/DippelPaymer/IEncrypt et Sodinokibi. Toutes les entreprises [pour lesquelles je suis intervenu] avaient des sécurités en place capables de les détecter ». Les assaillants avaient simplement désactivé ces contrôles. Alors Kevin Beaumont le rappelle : « de toute évidence, si quelqu’un est administrateur de domaine, il est aussi capable de désactiver les antivirus ».

Pour lui, « cela vaut vraiment la peine d’avoir une alerte sur son [système de gestion des informations et des événements de sécurité (SIEM)] lorsque les antivirus sont arrêtés. Si vous voyez plus de 10 de ces événements dans la journée, envoyez les camions de pompiers ». Mais pas question toutefois d’en attendre des miracles.

Car Fabian Wosar relève que les assaillants ne désactivent pas les protections des hôtes du système d’information n’importe quand : « ils désactivent l’antivirus juste avant de lancer l’attaque. Dans certains cas, ils utilisent même la console d’administration [de la solution de protection des postes de travail (EPP)] pour lancer l’attaque ». Et donc, pas question d’avoir des semaines pour réagir à une alerte déclenchée par la désactivation des outils d’EPP.

Toutefois, cette approche peut aider, et constituer un ultime filet de sécurité si l’infection initiale est passée inaperçue. Pour Kevin Beaumont, « si vous réagissez très vite, vous avez une chance de sauver quelques systèmes ». David Redekop, fondateur d’Adam Networks, confirme : « nous avons récemment sauvé la moitié d’un petit centre de calcul avec une détection avancée suivie d’une action rapide ».

Mais cela n’empêche pas les efforts de prévention. Et ils passent notamment par la désactivation des partages administratifs, éviter les droits d’administration pour les comptes des utilisateurs, maintenir son parc à jour, désactiver SMBv1, sans compter bien sûr le filtrage du courriel entrant… et la sensibilisation des utilisateurs au phishing, encore vu à l’œuvre dans la campagne Cryptomix Clop récemment illustrée par la mésaventure du CHU de Rouen.