Stratégies de Protection et d’Eradication des Ransomwares : FireEye Publie un Guide des Meilleures Tactiques
L’impact d’une telle attaque pour une organisation peut être matériel - incluant l’impossibilité d’accéder à des données, des systèmes, et des interruptions d’activités. Les pertes potentielles de revenus, associées aux coûts générés par la restauration des données et la mise en œuvre de nouveaux processus et contrôles de sécurité, peuvent être considérables.
Les ‘ransomwares’ sont devenus de plus en plus populaires auprès des cyber criminels au cours des dernières années, et il est facile de comprendre pourquoi, étant donnée la simplicité du déploiement de telles campagnes et l’ampleur du retour sur investissement pour les attaquants.
« Les acteurs de menaces réalisent que plus elles perturbent les opérations de leurs victimes, plus elles peuvent leur soutirer de l’argent. Au cours de l’année passée, nous avons observé des cyber criminels spécialisés de longue date dans le vol d’identifiants de cartes de crédit abandonner cette activité pour se tourner vers le déploiement de ransomwares (FIN6 par exemple), plus lucratif que la revente de numéros de carte bancaire. Nous avons également vu un nombre accru d’acteurs de menaces dérober des données à des organisations puis leur extorquer de l’argent, utilisant souvent les réseaux sociaux et des articles de presse pour presser leurs victimes à les payer. Ces opérations peuvent générer des gains à 6 ou 7 chiffres aux dépens des victimes », explique Charles Carmakal, CTO de Mandiant, FireEye.
Dans un nouveau rapport, Ransomware Protection and Containment Strategies: Practical Guidance for Endpoint Protection, Hardening, and Containment, FireEye détaille les meilleures tactiques que les organisations peuvent adopter pour protéger leur environnement informatique afin de réduire au maximum l’éventualité d’une attaque par ‘ransomware’. Ces recommandations peuvent également les aider à adopter les meilleures pratiques nécessaires pour contenir et minimiser l’impact d’un tel événement s’il se produit.
Les ‘ransomwares’ sont généralement déployés dans un environnement informatique de 2 façons :
1/ Propagation manuelle par un attaquant qui a réussi à pénétrer dans l’environnement et à se procurer des privilèges d’administrateur afin d’y naviguer librement :
- Exécution manuelle d’encodeurs sur les systèmes ciblés.
- Déploiement d’encodeurs dans l’environment en utilisant des fichiers batch Windows (installation de partages C$, copie de l’encodeur, et éxécution avec l’outil Microsoft PsExec).
- Déploiement des encodeurs avec les Microsoft Group Policy Objects (GPOs).
- Déploiement des encodeurs avec les outils de déploiement logiciel existants utilisés par l’organisation victime.
2/ Propagation automatisée :
- Extraction d’identifiant ou d’un token Windows depuis un disque dur ou la mémoire.
- Relations de confiance entre systèmes – et exploitation de méthodes telles que Windows Management Instrumentation (WMI), SMB, ou PsExec pour s’unir à des systèmes et éxécuter des contenus.
- Méthodes d’exploitation non ‘patchées’ (e.g., EternalBlue - traité via Microsoft Security Bulletin MS17-010.
Ce rapport contient un ensemble de recommandations techniques conçues pour aider les organisations à réduire les risques associés à une attaque par ‘ransomware’, dont :
- La segmentation des postes de travail
- La protection contre les méthodes d’exploitation les plus courantes
- La réduction de l’exposition des comptes à privilèges
- Les protections contre les mots de passe en clair
Le rapport FireEye complet est disponible ici.