Ransomware : une préparation solide en 20 mesures

Être prêt à faire face à la menace des rançongiciels suppose de couvrir la prévention en réduisant autant que possible le risque d’exécution du maliciel, mais également la réponse, notamment avec des sauvegardes bien protégées.

Pour se préparer à la menace des ransomwares, il ne suffit pas d’avoir un bon outil de protection des serveurs et postes de travail. L’histoire ne manque d’ailleurs pas d’exemples où cet outil a été désactivé par les assaillants, parfois même directement depuis la console d’administration fournie par son éditeur. Des sauvegardes ? Bien sûr. Mais combien de fois des sauvegardes en ligne, accessibles directement depuis un serveur ou des postes de travail, ont-elles été compromises elles-mêmes par les cyberdélinquants ?

Florian Roth est le directeur technique de Nextron Systems, outre-Rhin. Il œuvre dans la cybersécurité depuis 2003. Il a créé l’outil de recherche de traces d’activités malveillantes Thor Scanner, participé à la création du standard Sigma – d’écriture de règles de détection pour systèmes de gestion des informations et des événements de sécurité (SIEM) – et produit régulièrement des règles Yara d’identification de malware. Et c’est sans compter avec son outil Loki de recherche d’indicateurs de compromission. Parallèlement à toutes ces activités, il conseille les équipes de SOC Prime et maintient guides et conseils. Florian Roth nous a autorisés à synthétiser sa fiche de conseils de préparation face aux ransomwares, en 20 mesures – assorties d’indications de complexité, d’efficacité, et d’impact sur les métiers, l’administration, ou l’expérience utilisateur.

Sans surprise, la première touche aux sauvegardes, afin de pouvoir préparer une éventuelle opération de restauration : s’assurer de l’efficacité et de la rigueur des processus associés, et tester régulièrement la restauration. Parce qu’une sauvegarde, c’est un peu comme le chat de Schrödinger : « elle existe et n’existe pas en même temps, tant que l’on n’a pas essayé de restaurer à partir d’elle ».

Viennent ensuite trois mesures applicables par objets de stratégie de groupe (GPO), à efficacité élevée, pour une complexité et un impact négatif limités sur l’organisation : activer la fonction de protection contre les rançongiciels de Windows Defender ; bloquer l’exécution des macros dans les documents Office ; utiliser les règles de pare-feu de Windows pour interdire à certains exécutables clés d’accéder à Internet. Parmi ceux-ci, on trouve en tête de liste powershell.exe., mais ce n’est pas le seul. Là, il s’agit en faire d’empêcher un code malveillant de début de chaîne d’attaque d’aller récupérer ses successeurs.

Suivent alors deux mesures touchant à la messagerie électronique : il s’agit de filtrer certaines pièces jointes. Là, les plus prudents iront jusqu’à bloquer les fichiers Word ou Excel notamment, au risque d’un impact métier élevé. Mais pour certains profils utilisateurs ou postes particulièrement critiques, c’est peut-être un prix à accepter. Car les menaces venant par les fichiers bureautiques ne manquent pas.

Au-delà, Florian Roth recommande l’usage de proxy Web. Cela peut-être modérément compliqué à faire ; cela peut pénaliser certains usages ; mais l’efficacité est susceptible d’être au rendez-vous : « la plupart des maliciels ne savent pas découvrir la présence d’un proxy et essaient de se connecter directement à leur centre de commande et de contrôle ou à l’hôte Web qui abrite la charge de la phase suivante ». Et quitte à déployer un proxy Web, autant en profiter pour y bloquer le téléchargement d’exécutables – ou au moins ceux à partir de domaines inconnus ou non vérifiés/approuvés.

Et puis il convient de durcir les systèmes de l’environnement. Cela passe notamment par la protection des actions d’administration, en obligeant les utilisateurs à valider chacune d’entre elles – via GPO. À cela s’ajoutent la suppression des droits d’administration autant que possible, notamment sur les postes de travail, le blocage des communications directes entre postes de travail.

Plus loin, Florian Roth recommande de faire passer par une analyse en bac à sable les contenus entrant par la messagerie électronique. C’est indolore pour les utilisateurs, modérément complexe à mettre en œuvre, et hautement efficace. À cela, il est possible d’ajouter la prévention d’exécution – via un outil dédié gratuit ou la solution de protection des hôtes déjà déployée – ou encore le changement, par GPO, des applications par défaut pour l’ouverture de fichiers. Avec cette dernière mesure, il s’agit de rediriger les documents utilisés fréquemment pour lancer des infections vers… l’éditeur de texte Notepad. Et l’approche peut être complétée, encore par GPO, en bloquant ou restreignant l’éventail des applicatifs pouvant être exécutés.

L’exécution d’un ransomware peut en outre être détectée précocement en surveillant le système de fichiers et le registre à l’aide de Sysmon. Et il n’est pas forcément inutile de renommer vssadmin pour empêcher un rançongiciel de l’appeler directement afin d’effacer les copies fantômes d’un disque.

Enfin, Florian Roth suggère de désactiver Windows Script Host par GPO, de rediriger le dossier documents sur un dossier partagé sur un serveur afin de faciliter les sauvegardes, et encore de ne pas enrôler le serveur de sauvegarde dans le domaine afin d’empêcher que s’y propage un maliciel et le chiffre également.

Dans la pratique, Florian Roth relève que le recours à un proxy Web s’est notamment montré efficace récemment contre une campagne impliquant Trickbot – souvent utilisé en amont du déploiement de ransomware. Le blocage du téléchargement d’exécutable permet quant à lui de se protéger d’Emotet. Et la restriction des échanges entre postes de travail a permis de contenir « de nombreuses épidémies de rançongiciel dans les réseaux de nos clients ».

La moitié de ces 20 mesures suggérées présente un niveau d’efficacité élevé. Et seule l'une d’entre elles est susceptible de pénaliser fortement l’expérience des utilisateurs. Surtout, aucune ne présente en définitive un niveau de complexité élevé. Autrement dit, même s’il ne s’agit pas de disposer là d’une protection à toute épreuve, avec un effort limité et un impact contenu sur les utilisateurs il est déjà possible d’améliorer significativement sa protection et sa résilience vis-à-vis des rançongiciels. Et par les temps qui courent, cela n’a rien de négligeable.

Pour approfondir sur Protection du terminal et EDR

Close