La bataille contre les ransomwares: leçons des premières lignes

Le fait que les attaques de ransomwares deviennent de plus en plus fréquentes est peut-être plus inquiétant. Chez Coalition, nous avons vu les demandes d'extorsion passer d'une moyenne de moins de 10000 USD pour les souches antérieures de ransomwares, y compris SamSam et Dharma , à plus de 100000 USD en 2019 avec l'introduction de Bitpaymer et Ryuk , et encore plus haut aux côtés de variantes plus récentes telles que Sodinokobi . La demande la plus élevée enregistrée depuis le début de l'année a totalisé plus de 6 millions de dollars.

Les infections par ransomware sont si perturbatrices que, même avec une assurance, le seul véritable remède est de ne jamais l'attraper. C'est pour cette raison que nous proposons nos leçons tirées des premières lignes, afin que les RSSI et les professionnels de la sécurité puissent prendre des mesures pour éviter un sort similaire à leurs propres organisations - et contenir les pertes si le pire devait arriver.

Leçon 1: Évitez le ciblage criminel

Dans une analyse de nos données sur les sinistres, nous avons découvert que les organisations n'étaient presque jamais ciblées pour qui elles sont - elles étaient des cibles d'opportunités, pas des cibles de choix.

Les deux opportunités les plus courantes d'attaquer les organisations sont le hameçonnage et les points d'accès réseau à distance, parmi lesquels le protocole RDP (Microsoft Remote Desktop Protocol ) est le plus couramment visé . Toute organisation qui exploite RDP sur l'Internet public, que ce soit sur son port standard (3389) ou sur un autre, peut être assurée qu'elle est désormais la cible d'un groupe de piratage criminel. Le moyen le plus simple d'éviter de devenir une cible d'opportunité est d'éviter d'utiliser entièrement RDP. Si ce n'est pas possible, nous recommandons que l'accès à distance soit limité aux seules adresses IP requises et associé à d'autres mesures de protection (telles qu'un VPN et une authentification multifacteur).

En refusant aux attaquants les points d'accès à distance visibles sur Internet ou en perturbant la progression d'une campagne de phishing réussie , les entreprises peuvent réduire considérablement leurs risques. Bien que la majorité des campagnes de ransomwares ciblent les environnements Windows, il y a également eu des attaques réussies contre les environnements Linux.

Leçon 2: perturber la chaîne de destruction

Les attaques de ransomware sont «bruyantes»: une fois que le ransomware s'exécute, les fichiers deviennent inaccessibles, souvent avec une nouvelle extension de fichier ajoutée, et une note de ransomware se trouve souvent dans un fichier texte ou HTML à côté des fichiers cryptés. Dans certains cas, les attaquants verrouillent le bootloader lui-même. Pour éviter une attaque de ransomware, vous devez être en mesure de repérer rapidement les précurseurs, avant le déploiement du ransomware.

Le phishing est l'un de ces précurseurs et l'une des techniques les plus fréquemment observées pour lancer des attaques de ransomware. Les e-mails de phishing incluaient généralement une pièce jointe ou un lien prenant en charge les macros, étiquetés comme une facture, un message vocal ou une facture impayée avec une extension de fichier .doc, .docx, .xml ou .pdf. Lorsqu'il est ouvert et à condition que l'utilisateur active les macros, le logiciel malveillant utilise la macro VBA AutoOpen pour les exécutions et le chargeur de fichiers utilise la méthode WebClient.DownloadFile pour installer un cheval de Troie bancaire tel qu'Emotet ou Trickbot . Alors que ces chevaux de Troie bancaires étaient traditionnellement utilisés pour collecter les informations d'identification des utilisateurs, ils sont maintenant également fréquemment utilisés comme chargeurs de logiciels malveillants pour les ransomwares.

Si vous repérez une tentative de phishing, un utilisateur activant des macros ou une infection par Emotet ou Trickbot, un ransomware est susceptible de suivre. Heureusement, il existe également une fenêtre d'opportunité pour interrompre une attaque de ransomware. Le délai entre l'infection et le ransomware a été observé entre 30 minutes et 1 an, avec un temps de suspension moyen de 30 jours.

Leçon 3: Empêcher les attaques de se produire en premier lieu

Le meilleur moyen de prévenir une attaque de ransomware est d'éliminer les interfaces d'accès et d'administration à distance qui sont connectées à l'environnement réseau principal. Si vous devez utiliser ces services, assurez-vous qu'une telle interface est sécurisée avec une authentification multifacteur, que l'accès à celle-ci est limité à des adresses IP externes spécifiques et qu'elle se trouve sur un segment de réseau distinct pour isoler davantage les systèmes contenant des données critiques. Nous encourageons également toutes les organisations à mettre en œuvre des solutions anti-hameçonnage et à former régulièrement les employés à détecter et signaler les tentatives d'hameçonnage.

L'hygiène de base reste également importante. Corrigez régulièrement les systèmes et les logiciels, ne donnez pas l'accès d'administrateur local aux employés qui n'en ont pas besoin, auditez régulièrement les utilisateurs du domaine et désactivez les comptes inactifs.

Les administrateurs de domaine doivent envisager d'utiliser la stratégie de groupe pour empêcher les utilisateurs d'activer les macros Excel et Word en définissant les clés de registre comme suit:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Excel\Security\VBAWarnings to “data:2” to disable macros with a notification to the user

Il est important de modifier ce paramètre pour Excel et Word dans la stratégie de registre GPO.

Incidemment, la recherche dans les registres système offre également une autre opportunité pour les RSSI et les administrateurs réseau de perturber la chaîne de destruction. Tout système dont la valeur ci-dessus est définie sur «1» pour Microsoft Word ou Excel peut déjà signaler un compromis actif et les administrateurs réseau devraient envisager d'étudier ce système.

Leçon 4: Sauvegardez-le

La meilleure façon de récupérer après une attaque de ransomware est d' avoir de bonnes sauvegardes . Cependant, toutes les méthodes de sauvegarde ne sont pas créées de la même manière. Nous observons régulièrement des attaquants accéder aux fichiers de sauvegarde d'une organisation et les corrompre ou les supprimer pour améliorer la probabilité qu'une organisation paie la rançon .

Nous vous recommandons d'utiliser des sauvegardes hors ligne, afin que les données critiques soient stockées séparément du réseau principal. Les sauvegardes dans le cloud avec une combinaison de nom d'utilisateur et de mot de passe non associée au domaine d'une organisation sont une autre alternative. Nos données sur les revendications suggèrent que les sauvegardes logicielles sur site sont, de loin, les moins efficaces. Les attaquants connaissent de nombreuses méthodes de sauvegarde sur site et savent exactement comment corrompre ou supprimer les sauvegardes effectuées par leur intermédiaire.

Leçon 5: Faites tout pour éviter d'avoir besoin de la leçon 5

Si vous êtes victime d'un ransomware , sans moyen de récupérer des données et confronté à une perte existentielle, vous n'aurez peut-être d'autre choix que de négocier avec un attaquant. Quoi que vous décidiez de faire, faites appel à un tiers expert et impartial. Si vous avez une cyber-assurance , ces ressources sont généralement disponibles dans le cadre de votre police d'assurance.

Impliquer une équipe spécialisée dans la réponse aux ransomwares peut faire la différence entre remettre votre organisation en marche et tout perdre à jamais. Connaître les attaquants et leurs outils, tactiques et procédures est essentiel. Nous avons vu des organisations prendre les choses en main, puis laisser la colère mettre fin aux négociations ou ne pas comprendre la profondeur des connaissances de l'attaquant (par exemple, elles ont fait semblant de ne pas pouvoir payer une rançon alors que les attaquants avaient déjà accès aux États financiers).

Dans toute interaction avec des attaquants, il est important d'aller droit au but, d'utiliser un langage simple qui est plus susceptible d'être traduit avec précision à l'aide de traducteurs en ligne, d'être gentil (ne pas mendier), d'utiliser un langage pour minimiser votre taille (je / moi et non nous / nous), et soyez réactif. La négociation est possible, mais c'est un art.


Rejoindre la conversation