Contre les ransomwares, combiner préparation, prévention et détection
Introduction
Les cyberattaques par ransomware se sont imposées comme l’une des principales menaces cette année, sinon la première. Elles s’avèrent d’autant plus graves que la détonation de la charge de chiffrement n’est en fait que la partie visible d’attaques qui, désormais, s’étendent en profondeur dans le système d’information, avec des assaillants empruntant largement aux APT.
Elle peut avoir eu pour point de départ une campagne de hameçonnage, comme l’exploitation de vulnérabilités graves sur des équipements de périphérie du système d’information. D’où l’importance de l’application des correctifs – même si celle-ci n’est pas nécessairement suffisante, surtout si elle s’avère tardive.
Dès lors, il est essentiel de travailler sur trois axes : la prévention, la détection et la préparation.
Pour le premier, il s’agit de restreindre les possibilités d’intrusion initiale et de déplacement latéral dans le système d’information.
Le second se concentre sur la mise en place de contrôles visant à permettre de repérer les signaux faibles d’une attaque engagée, à l’instar de comportements anormaux de comptes – utilisateurs comme techniques – susceptibles de trahir des opérations de déplacement latéral et des tentatives d’élévation de privilèges.
Quant au troisième axe, il consiste surtout à se préparer à l’éventualité d’une attaque et, surtout, à son succès, afin de savoir gérer la crise efficacement et, autant que possible, rebondir au plus vite.
Chacun de ces trois axes a une composante technique et une composante humaine, organisationnelle, qu’il convient de ne pas négliger. Rien de tout cela n’est trivial, mais quelques conseils d’experts de la cybersécurité peuvent réduire rapidement et considérablement le risque, sans nécessiter d’efforts insurmontables ni pénaliser significativement la productivité des collaborateurs. Et certains de ces conseils n’ont rien de neuf. Il est peut-être temps de les suivre… pour ne pas venir allonger la frise chronologique ci-dessous des attaques connues, en France, pour 2020.
1Prévention-
Se prémunir des tactiques courantes
Ransomware : une préparation solide en 20 mesures
Être prêt à faire face à la menace des rançongiciels suppose de couvrir la prévention en réduisant autant que possible le risque d’exécution du maliciel, mais également la réponse, notamment avec des sauvegardes bien protégées. Lire la suite
Mimikatz, déplacement latéral : comment se protéger ?
Ce logiciel – ou du moins les techniques qu’il utilise pour dérober des données d’authentification – est souvent impliqué dans les attaques de ransomware. Son créateur, Benjamin Delpy, explique comment s’en protéger. Lire la suite
Emotet : comment éviter une cyberattaque conduite avec ce malware ?
… et se prévenir d’une éventuelle détonation ultérieure d’un ransomware. En combinant filtrages multiples, protection du poste de travail, renseignement sur les menaces, et journalisation, suivant une approche de contrôle continu. Lire la suite
Une poignée de vulnérabilités à corriger sans attendre (si ce n’est pas déjà fait)
Elles se suivent inlassablement, sans forcément se ressembler. Mais elles peuvent conduire à des exploitations aux conséquences très significatives, entre vol d’identifiants et déploiement de ransomwares, par exemple. Dans un monde idéal, les correctifs auraient déjà dû être appliqués. Lire la suite
Ransomware : un vaccin utile, mais au pouvoir limité contre la double extorsion
Baptisé Raccine par son créateur, l’expert Florian Roth, ce logiciel bloque les ransomwares qui essaient d’effacer les snapshots de Windows. L’approche est assurément prometteuse, mais ce n’est hélas pas un remède miracle. Lire la suite
Sécurité de la messagerie : de l’importance des enregistrements DNS
Certaines organisations laissent un enregistrement MX pointant directement vers leurs serveurs et non pas vers ceux de leur solution de filtrage des messages entrants. Une pratique risquée. Lire la suite
2Détection-
Traquer les signaux faibles
Ransomware : où concentrer ses efforts de détection ?
L’automne est marqué par une activité particulièrement intense des cyberdélinquants adeptes des rançongiciels. Ces derniers ne brillent toutefois pas par leur furtivité. C’est leur mode de distribution qui s’avère redoutable. Lire la suite
Contre les ransomwares, la difficile chasse aux signaux faibles
Il ne semble plus y avoir que l’épreuve de la reconstruction à craindre d’une attaque par rançongiciel. De quoi encourager au renforcement des capacités de détection. Mais cela n’a rien de généralisé. Lire la suite
Détecter Trickbot avant qu’il ne soit trop tard… et que Ryuk ne détone
Ce cheval de Troie est fréquemment utilisé dans les attaques conduisant au déploiement du ransomware Ryuk, comme Sopra Steria vient d’en faire l’expérience. Mais ce n’est pas une fatalité. Lire la suite
Malspam : comment faire la chasse aux comptes de messagerie détournés
Identifier des comptes compromis par des maliciels tels qu’Emotet, Trickbot ou Qakbot n’est pas trivial. Surtout a posteriori et sans beaucoup d’indices, ou lorsque le détournement est exploité discrètement. Lire la suite
3Préparation-
Réduire le risque
Active Directory : pourquoi réplication ne vaut pas sauvegarde
La réplication automatique de la base de données d’annuaire entre contrôleurs de domaine, n’a pas d’autre vocation que d’assurer une disponibilité permettant la continuité de l’activité. Lire la suite
Pourquoi les sauvegardes sur bandes redeviennent populaires
Plus capacitives qu’un disque dur, plus rapides que le cloud, les bandes reviennent en force dans les entreprises. Cet article cite les avantages et la manière de contourner les inconvénients. Lire la suite
Ransomware : les premiers enjeux de la reconstruction
Les équipes de Wavestone ont été amenées à intervenir sur plusieurs situations de crise provoquées par des infections de rançongiciel. Gérôme Billois partage son expérience avec la rédaction. Lire la suite
Ransomware : s’y retrouver dans le processus de remédiation
Si des systèmes sont bloqués par un rançongiciel, à quoi convient-il de donner la priorité ? Ce plan aide à éviter des problèmes supplémentaires avant de lancer la remédiation. Lire la suite