Contre les ransomwares, combiner préparation, prévention et détection
Introduction
Les cyberattaques avec ransomware se sont imposées comme l’une des principales menaces de ces quatre dernières années, sinon la première. Elles s’avèrent d’autant plus graves que la détonation de la charge de chiffrement n’est en fait que la partie visible d’attaques qui, désormais, s’étendent en profondeur dans le système d’information, avec des assaillants empruntant largement aux APT.
Elle peut avoir eu pour point de départ une campagne de hameçonnage, l’exploitation de vulnérabilités graves sur des équipements de périphérie du système d’information, ou le détournement d’identifiants compromis par des malwares spécialisés comme les infostealers. D’où l’importance de l’application des correctifs – même si celle-ci n’est pas nécessairement suffisante, surtout si elle s’avère tardive – et de l’authentification à facteurs multiples (MFA).
Dès lors, il est essentiel de travailler sur trois axes : la prévention, la détection et la préparation.
Pour le premier, il s’agit de restreindre les possibilités d’intrusion initiale. Le second se concentre sur la mise en place de contrôles visant à permettre de repérer les signaux faibles d’une attaque engagée, à l’instar de comportements anormaux de comptes (utilisateurs comme techniques) susceptibles de trahir des opérations de déplacement latéral et des tentatives d’élévation de privilèges.
Quant au troisième axe, il consiste surtout à se préparer à l’éventualité d’une attaque et, surtout, à son succès, afin de savoir gérer la crise efficacement et, autant que possible, rebondir au plus vite. Une crise cyber qui présente une spécificité : il est nécessaire de considérer que le système d’information est compromis en profondeur, à savoir que l’assaillant est susceptible de suivre les activités de remédiation. Des canaux tiers de communication sont alors nécessaires, mais encore faut-il qu’ils aient été prévus et que les points de contact soient disponibles immédiatement, sans dépendance à un système d’information potentiellement indisponible.
Chacun de ces trois axes a une composante technique et une composante humaine, organisationnelle, qu’il convient de ne pas négliger. Rien de tout cela n’est trivial, mais quelques conseils d’experts de la cybersécurité peuvent réduire rapidement et considérablement le risque, sans nécessiter d’efforts insurmontables ni pénaliser significativement la productivité des collaborateurs. Et certains de ces conseils n’ont rien de neuf. Il est peut-être temps de les suivre… pour ne pas venir allonger la frise chronologique ci-dessous des attaques connues, en France, depuis plus de deux ans.
1Prévention-
Se prémunir des tactiques courantes
Ransomware : une préparation solide en 20 mesures
Être prêt à faire face à la menace des rançongiciels suppose de couvrir la prévention en réduisant autant que possible le risque d’exécution du maliciel, mais également la réponse, notamment avec des sauvegardes bien protégées. Lire la suite
Menaces cyber : le grand retour du malvertising
Des acteurs malveillants utilisent de plus en plus des publicités Google pour attirer les internautes vers des maliciels voleurs de données, des infostealers. Une menace aux conséquences potentielles considérables, y compris pour les entreprises. Lire la suite
Menaces cyber : qu’est-ce qu’un loader ?
Ces logiciels ont une spécialité : la furtivité. Et une fonction : le chargement (d’où leur nom) d’une charge utile plus élaborée, comme un infostealer ou un cheval de Troie. Lire la suite
Maliciel : à la découverte de Pikabot
Apparu début 2023, Pikabot est un logiciel malveillant associé à la nébuleuse Conti, et en particulier à Black Basta. Ses modes de distribution ont varié au fil du temps, du malvertising au « malspam ». Lire la suite
DarkGate : ce qu’il faut savoir sur ce maliciel
Apparu autour de 2018, ce logiciel malveillant commercialisé en mode service présente un vaste éventail fonctionnel. Il apparaît particulièrement prisé des cybercriminels depuis l’été 2023. Lire la suite
2023, une année riche en vulnérabilités critiques
L’exploitation de vulnérabilités critiques revient en force sur le devant de la scène pour l’établissement d’un accès initial et le lancement de cyberattaques. Elles étaient nombreuses l’an dernier. Lire la suite
Infostealers : plus de 40 millions d’identifiants volés en France en 2023
La menace que représentent les infostealers a été particulièrement prononcée l’an passé, à travers le monde et notamment en France. L’année s’est achevée dans un déluge de divulgations, mais assez peu de détections. Lire la suite
Ransomware : des identifiants compromis aux avant-postes de près de 40 % des attaques
Mandiant indique que, pour près de 40 % des cyberattaques sur lesquelles ses équipes sont intervenues en 2023, et pour lesquelles le vecteur d’accès initial a été identifié, des identifiants légitimes avaient été compromis, notamment par infostealers. Lire la suite
Selon Sophos, RDP est détourné dans plus de 90 % des cyberattaques
Les acteurs malveillants continuent de remporter un franc succès en utilisant des méthodes simples et éprouvées, tandis que de nombreux défenseurs ne respectent pas les règles de base. Lire la suite
L’authentification à facteurs multiples : indispensable, mais pas infaillible
La faiblesse des mots de passe les plus robustes contre le détournement de comptes n’est plus à démontrer, surtout face à la menace des infostealers. La MFA s’impose, mais pas n’importe comment. Lire la suite
2Détection-
Traquer les signaux faibles
Ransomware : où concentrer ses efforts de détection ?
L’automne est marqué par une activité particulièrement intense des cyberdélinquants adeptes des rançongiciels. Ces derniers ne brillent toutefois pas par leur furtivité. C’est leur mode de distribution qui s’avère redoutable. Lire la suite
Contre les ransomwares, la difficile chasse aux signaux faibles
Il ne semble plus y avoir que l’épreuve de la reconstruction à craindre d’une attaque par rançongiciel. De quoi encourager au renforcement des capacités de détection. Mais cela n’a rien de généralisé. Lire la suite
Cyberattaques : en quoi consiste le déplacement latéral ?
Le monde de la cybersécurité est marqué par un jargon qui lui est bien propre. Certains termes peuvent manquer de clarté pour le non-initié. Lindsay Kaye, de Recorded Future, nous aide à décoder le concept de déplacement latéral. Lire la suite
Mimikatz, déplacement latéral : comment se protéger ?
Ce logiciel – ou du moins les techniques qu’il utilise pour dérober des données d’authentification – est souvent impliqué dans les attaques de ransomware. Son créateur, Benjamin Delpy, explique comment s’en protéger. Lire la suite
Malspam : comment faire la chasse aux comptes de messagerie détournés
Identifier des comptes compromis par des maliciels tels qu’Emotet, Trickbot ou Qakbot n’est pas trivial. Surtout a posteriori et sans beaucoup d’indices, ou lorsque le détournement est exploité discrètement. Lire la suite
Comment Mirakl a bâti son SOC sur le XDR de Sekoia.io
Avec un système d’information 100 % cloud, le spécialiste de la marketplace a fait le choix de centraliser toutes les données de ses solutions de cybersécurité SaaS vers la plateforme Sekoia.io. Un choix qui lui permet de tenir son SOC avec des effectifs très réduits. Lire la suite
La Banque Postale achève un méga déploiement de Tehtris XDR
Près de 80 000 hôtes de la Banque Postale sont désormais sous la protection de la solution XDR de l’éditeur français. Plus qu’un simple déploiement d’outil, ce projet représente une véritable construction d’un dispositif de surveillance et de protection, qui a demandé un gros investissement pour les équipes de la banque, l’intégrateur et l’éditeur. Lire la suite
EDR, XDR, ou MDR : de quoi votre entreprise a-t-elle besoin ?
Explorez les différences et les similitudes entre EDR, XDR et MDR et le rôle qu’ils jouent dans l’amélioration de l’analyse comportementale pour une meilleure réponse aux menaces. Lire la suite
3Préparation-
Réduire le risque
Active Directory : pourquoi réplication ne vaut pas sauvegarde
La réplication automatique de la base de données d’annuaire entre contrôleurs de domaine, n’a pas d’autre vocation que d’assurer une disponibilité permettant la continuité de l’activité. Lire la suite
Pourquoi les sauvegardes sur bandes redeviennent populaires
Plus capacitives qu’un disque dur, plus rapides que le cloud, les bandes reviennent en force dans les entreprises. Cet article cite les avantages et la manière de contourner les inconvénients. Lire la suite
Ransomware : les premiers enjeux de la reconstruction
Les équipes de Wavestone ont été amenées à intervenir sur plusieurs situations de crise provoquées par des infections de rançongiciel. Gérôme Billois partage son expérience avec la rédaction. Lire la suite
Ransomware : s’y retrouver dans le processus de remédiation
Si des systèmes sont bloqués par un rançongiciel, à quoi convient-il de donner la priorité ? Ce plan aide à éviter des problèmes supplémentaires avant de lancer la remédiation. Lire la suite
3 conseils pour protéger les sauvegardes des ransomwares
Les sauvegardes permettent de restaurer des données détruites par une cyberattaque... si les sauvegardes n’ont pas été elles-mêmes détruites. Voici les bonnes pratiques pour éviter que cela se produise. Lire la suite
Ransomware : toutes les façons de protéger le stockage et les sauvegardes
Cet article passe en revue les principales méthodes de protection contre les ransomwares, notamment les instantanés immuables, la détection des anomalies, la sauvegarde déconnectée, et les garanties monétaires des fournisseurs. Lire la suite
Gestion de crise : les enseignements du passé pour mieux gérer le présent
De l’ancien PDG de Cisco, qui a vécu cinq krachs, aux cabinets de conseils spécialisés en passant par les vétérans de la gestion de crises, voici quelques recommandations éprouvées par l’expérience pour naviguer au milieu des tempêtes. Lire la suite
Gestion de crise : ces erreurs qu’il est trop naturel de commettre
Ravi Bindra est un vétéran de la gestion de crises informatiques. Fort de son expérience, il présente une liste non exhaustive des erreurs de base qui sont trop aisément commises. Lire la suite