Qu'est-ce qu'un ransomware ?
Un ransomware est un type de logiciel malveillant utilisé pour chiffrer des fichiers importants d'une victime, dans le but de lui soutirer le versement d'une rançon en échange du rétablissement de l'accès à ses données. Le refus d'obtempérer peut se solder par la publication des données sur le Dark Web ou le blocage définitif de l'accès à ses fichiers par des acteurs malveillants.
Les ransomwares sont généralement distribués au moyen de techniques d'ingénierie sociale, notamment via des attaques de phishing, qui consistent à amener la personne ciblée à ouvrir une pièce jointe malveillante.
Protection contre les ransomwares – Conseils pour prévenir les attaques
CrowdStrike s'est penché sur un certain nombre de pratiques et de contrôles de sécurité éprouvés, que vous pouvez mettre en place au sein de votre entreprise pour réduire considérablement le risque d'attaques de ransomwares.
Les conseils suivants s'inspirent des mesures que CrowdStrike considère comme efficaces pour prévenir et neutraliser les ransomwares :
- Adoptez une bonne hygiène IT
- Améliorez la résilience des applications Internet
- Implémentez une solution de protection de la messagerie et optimisez-la
- Renforcez la sécurité des endpoints
- Créez des sauvegardes hors ligne à l'épreuve des ransomwares
- Limitez l'accès à l'infrastructure de gestion de la virtualisation
- Implémentez un programme de gestion des identités et des accès (IAM)
- Élaborez un plan d'intervention sur incident et éprouvez-le
- Apprenez à demander de l'aide
Conseil n° 1. Adoptez une bonne hygiène IT
Limiter la surface d'attaque est primordial pour toute entreprise. De même, il est essentiel de disposer d'une visibilité sur l'ensemble des endpoints et des workloads qui s'exécutent dans l'environnement et de s'assurer que chaque surface d'attaque potentielle est identifiée et protégée.
Le principal avantage d'une bonne hygiène IT est qu'elle vous procure une visibilité totale sur le réseau, grâce à laquelle vous pouvez analyser votre environnement en détail et le nettoyer de manière proactive. Fort de ce niveau de visibilité, vous pourrez alors déterminer « qui, quoi et où », une approche qui présente des avantages considérables pour votre entreprise. Une bonne hygiène IT offre les possibilités suivantes :
- Identification des failles de votre architecture de sécurité. La visibilité qu'offre une bonne hygiène IT vous permet d'identifier les hôtes actifs dans votre environnement et de déterminer s'ils sont protégés. Grâce à cette visibilité étendue, vous pouvez déployer de manière efficace votre architecture de sécurité et vérifier qu'aucun système non approuvé ne s'exécute au sein de votre périmètre de sécurité. Face à des environnements toujours plus étendus et distribués, notamment en raison de l'intensification du télétravail, il devient de plus en plus difficile de disposer d'une visibilité sur l'ensemble des endpoints et des identités (y compris les comptes de service et utilisateurs). Identifier les ressources non managées au sein de votre environnement vous permet de cibler les vulnérabilités et de protéger vos données les plus précieuses avant qu'elles ne tombent entre les mains des cyberattaquants.
- Surveillance des programmes exécutés dans votre environnement. En identifiant de manière proactive les applications et les systèmes d'exploitation obsolètes et non corrigés, vous pouvez gérer votre inventaire d'applications et résoudre simultanément les problèmes de coût et de sécurité. La présence de systèmes d'exploitation et d'applications non corrigés est lourde de conséquences en termes de coûts et de sécurité. Assurez-vous d'identifier les applications non corrigées exécutées sur votre réseau afin de maintenir les cyberattaquants à l'écart.
- Surveillance des utilisateurs actifs au sein de votre environnement. La surveillance des comptes vous permet d'identifier les utilisateurs qui opèrent au sein de votre environnement et de vérifier qu'ils ne violent pas les autorisations associées à leurs identifiants (notamment par la détection des outils ou des comportements qui tentent de contourner ces règles). Outre le fait que les administrateurs système demeurent des cibles de choix, des règles déficientes en matière de renouvellement des mots de passe vous exposent au vol d'identifiants. En surveillant les mises à jour des mots de passe, vous pouvez éviter le détournement d'identifiants en supprimant les anciens comptes administrateur et en veillant à ce que les utilisateurs mettent régulièrement à jour leurs mots de passe. Qui plus est, une visibilité sur les comportements inhabituels des administrateurs ou sur l'élévation des privilèges peut empêcher des défaillances silencieuses, en alertant votre équipe de sécurité à la moindre activité suspecte.
- Contrôle de la conformité des utilisateurs. En veillant à ce que vos utilisateurs se conforment aux règles les plus récentes en matière de mots de passe, vous êtes assuré que tant les administrateurs que les utilisateurs respectent vos exigences de sécurité. La formation continue et cohérente des utilisateurs permet de s'assurer que les bonnes pratiques en matière de mots de passe sont suivies, tandis que la suppression des anciens comptes de votre réseau (y compris les comptes de service) peut réduire le risque de « détournement d'identifiants » par d'anciens collaborateurs.
- Ajout d'une couche de défense en profondeur. Implémentez des règles de détection en temps réel afin de surveiller toute utilisation anormale d'identifiants, y compris les déplacements latéraux sur les postes de travail où aucun agent Falcon n'est installé. Par ailleurs, mettez en place un accès conditionnel basé sur le risque, de façon à déclencher une authentification multifacteur (MFA) pour les comptes utilisateur et de service et à renforcer la conformité, sans accroître la charge de travail des utilisateurs.
Une visibilité totale et une parfaite compréhension de votre environnement vous permettront d'identifier les failles de sécurité liées à l'hygiène IT et de les corriger immédiatement. Vos équipes de sécurité pourront ainsi se concentrer sur les phases critiques d'une protection exhaustive des endpoints : la prévention, la détection, le Threat Hunting et la cyberveille. Ces fonctionnalités sont essentielles pour mettre en place une solution complète capable de protéger votre entreprise des cyberattaquants les plus motivés et les plus ingénieux. Une approche centrée sur l'hygiène IT combinée à une solution de sécurité performante vous permettra de protéger votre entreprise contre les attaques de ransomwares et de bloquer les compromissions.
Conseil n° 2. Améliorez la résilience des applications Internet
D'après les observations de CrowdStrike, les cybercriminels ont tendance à exploiter l'authentification à un seul facteur et les applications Internet non corrigées. BOSS SPIDER, l'un des premiers groupes de cybercriminels à s'être illustré dans la « chasse au gros gibier » au moyen de ransomwares, avait pris pour habitude de cibler des systèmes dont le protocole RDP (Remote Desktop Protocol) était accessible depuis Internet. D'autres cybercriminels moins avertis utilisent fréquemment des variantes du ransomware comme Dharma, Phobos ou GlobeImposter pour infiltrer les systèmes par le biais d'attaques en force à l'encontre de ce même protocole.
Conseil n° 3. Implémentez une solution de protection de la messagerie et optimisez-la
Les e-mails de phishing sont la tactique d'infiltration initiale de l'entreprise ciblée privilégiée par les cybercriminels qui pratiquent la chasse au gros gibier. En règle générale, ces e-mails suspects contiennent une URL ou un lien malveillant ayant pour but de distribuer la charge active du ransomware sur le poste de travail du destinataire.
CrowdStrike recommande d'implémenter une solution de protection de la messagerie dotée de fonctionnalités de filtrage des URL et d'analyse des pièces jointes en environnement sandbox. Pour optimiser cette solution, vous pouvez y adjoindre une fonction d'intervention automatisée assurant la mise en quarantaine rétroactive des e-mails distribués avant que l'utilisateur n'interagisse avec eux. Vous pouvez également choisir de limiter la réception des fichiers compressés protégés par des mots de passe, des fichiers exécutables, des fichiers en JavaScript ou des fichiers de package d'installation Windows aux seuls besoins professionnels légitimes de votre entreprise. L'ajout de la mention « [Externe] » dans l'objet des e-mails émanant d'expéditeurs externes à l'entreprise ainsi que d'un message d'avertissement dans le corps de l'e-mail est également un moyen de rappeler aux utilisateurs qu'ils doivent faire preuve de discrétion lors du traitement de ce type de communications.
Conseil n° 4. Renforcez la sécurité des endpoints
Le cycle de vie d'une attaque aboutissant au déploiement d'un ransomware est souvent marqué par l'utilisation d'un certain nombre de techniques d'exploitation des endpoints. Celles-ci vont de l'exploitation des erreurs de configuration d'AD à l'utilisation d'exploits disponibles dans le commerce à l'encontre de systèmes ou d'applications non corrigés.
La liste ci-dessous présente une série de mesures clés de renforcement des systèmes que peuvent mettre en place les équipes de sécurité. À noter que cette liste n'est pas exhaustive et que le renforcement des systèmes doit être réalisé de façon régulière.
- Assurez-vous que les solutions de protection des endpoints et la plateforme de détection et d'intervention couvrent l'ensemble des endpoints de votre réseau. Chaque plateforme de protection des endpoints doit disposer de dispositifs stricts de protection contre le piratage et d'un système d'alerte conçu pour signaler tout capteur mis hors ligne ou désinstallé.
- Élaborez un programme de gestion des vulnérabilités et des correctifs. Un tel programme vous aidera à vérifier que les applications et les systèmes d'exploitation de tous vos endpoints sont à jour. Les opérateurs de ransomwares exploitent les vulnérabilités des endpoints à diverses fins, notamment l'élévation des privilèges et le déplacement latéral. Les clients Falcon peuvent s'appuyer sur la solution de gestion des vulnérabilités CrowdStrike Falcon Spotlight™ pour déterminer en temps quasi réel le niveau d'exposition de leur environnement à une vulnérabilité particulière, sans avoir à déployer d'agents ou d'outils de sécurité supplémentaires.
- Respectez les bonnes pratiques de sécurité d'Active Directory. Sur la base des incidents les plus fréquents ciblant AD observés par les Services CrowdStrike dans le cadre d'attaques de ransomwares, nous vous recommandons d'adopter les bonnes pratiques suivantes :
- Évitez les mots de passe faciles à deviner combinés à des méthodes d'authentification déficientes.
- Évitez d'octroyer des privilèges administratifs locaux aux utilisateurs de domaine ordinaires et d'attribuer le même mot de passe à tout ou partie des comptes d'administration locaux de votre entreprise.
- Limitez les communications entre postes de travail. Pour ce faire, vous pouvez utiliser des objets de stratégie de groupe (GPO) ou certaines options logicielles de micro-segmentation.
- Évitez de partager des identifiants à privilèges. Le partage de comptes administrateur et l'utilisation de comptes administrateurs à des fins privées ou pour des activités professionnelles quotidiennes qui ne requièrent pas de privilèges d'administrateur sont deux exemples de pratiques de sécurité déficientes.
- Notez que les deux premiers points peuvent être mis en œuvre à l'aide AD pour un coût supplémentaire limité, voire nul. Moyennant un coût supplémentaire, l'utilisation d'une solution de gestion des accès à privilèges (PAM) (examinée plus loin dans cet article) peut constituer une alternative plus évolutive et robuste.
Conseil n° 5. Créez des sauvegardes hors ligne à l'épreuve des ransomwares
Ces dernières années, et depuis l'émergence des ransomwares comme principale méthode de monétisation des attaques, les développeurs de code malveillant sont passés maîtres dans l'art de s'assurer que ni les victimes ni les spécialistes en sécurité ne pourront décrypter les données compromises sans verser la rançon permettant d'obtenir la clé de déchiffrement. Par ailleurs, lors de la mise en place d'une infrastructure de sauvegarde à l'épreuve des ransomwares, il est primordial de garder à l'esprit que les cybercriminels ont très certainement ciblé les sauvegardes en ligne avant de déployer leur ransomware dans l'environnement.
Pour préserver les données en cas d'attaque de ransomware, la seule solution vraiment efficace consiste donc à effectuer des sauvegardes à l'épreuve des ransomwares. Par exemple, la conservation de sauvegardes hors ligne de vos données vous permettra de restaurer plus rapidement les systèmes en cas d'urgence. Lors de la création d'une infrastructure de sauvegarde hors ligne à l'épreuve des ransomwares, il convient donc de tenir compte des points suivants :
- Les sauvegardes hors ligne et les index associés (qui décrivent le contenu de chaque volume de données) doivent être conservés séparément du reste de l'infrastructure.
- L'accès à ces réseaux doit être contrôlé au moyen de listes strictes de contrôle d'accès, et l'authentification multifacteur doit être la norme.
- Les administrateurs ayant accès à la fois aux infrastructures en ligne et hors ligne doivent éviter de réutiliser les mots de passe de leurs comptes et recourir à un serveur intermédiaire (jump box) pour accéder à leur infrastructure de sauvegarde hors ligne.
- Les services de stockage cloud associés à des listes de contrôle d'accès et des règles strictes peuvent également servir d'infrastructure de sauvegarde hors ligne.
- Seules des situations d'urgence, telles qu'une attaque de ransomware, peuvent justifier que l'infrastructure hors ligne se connecte au réseau en ligne.
Conseil n° 6. Limitez l'accès à l'infrastructure de gestion de la virtualisation
Comme mentionné précédemment, les cybercriminels qui prennent part à des campagnes de ransomwares de chasse au gros gibier ne cessent d'innover afin d'accroître l'efficacité de leurs attaques. L'innovation la plus récente est la possibilité d'attaquer directement l'infrastructure virtualisée. Cette approche permet de cibler les hyperviseurs qui déploient et stockent les machines virtuelles (VMDK). Les solutions de protection des endpoints installées sur les machines virtuelles sont dès lors incapables de détecter les activités malveillantes au niveau de ces hyperviseurs.
Pour mieux comprendre à quoi pourrait ressembler une telle attaque, nous utiliserons certaines des conventions de dénomination de VMware, le produit de virtualisation le plus couramment utilisé dans les environnements d'entreprise modernes.
De nombreux systèmes ESXi (hyperviseurs VMware) ne présentent pas de protocole SSH (Secure Shell) activé par défaut et sont généralement gérés via vCenter. Lorsque le protocole SSH est désactivé, des identifiants administrateur dérobés au préalable sont utilisés pour l'activer sur tous les systèmes ESXi. Un compte valide est ensuite utilisé pour se connecter en SSH à chaque système ESXi ciblé. Avant que le ransomware Linux ne soit déployé, les VDMK hébergées sur les systèmes ESXi sont mises à l'arrêt pour permettre au fichier binaire du ransomware d'accéder aux fichiers en vue de les chiffrer. Les systèmes victimes de ce déploiement basculent hors ligne et ne sont plus accessibles aux utilisateurs.
Conseil n° 7. Implémentez un programme robuste de protection des identités
Les entreprises peuvent renforcer leur niveau de sécurité en mettant en place un programme robuste de protection des identités assurant l'hygiène des référentiels d'identités sur site et dans le cloud (par exemple, Active Directory et Azure AD). Identifiez les failles, analysez le comportement et les anomalies pour chaque compte lié au personnel (utilisateurs humains, comptes à privilèges ou comptes de service), détectez les déplacements latéraux et implémentez un accès conditionnel basé sur les risques pour détecter et bloquer les ransomwares.
Conseil n° 8. Élaborez un plan d'intervention sur incident et éprouvez-le
Il arrive que les entreprises détectent une activité malveillante au sein de leur environnement, mais qu'elles manquent de visibilité pour régler le problème ou ne disposent pas de la cyberveille nécessaire pour identifier la nature de la menace. L'identification de la menace et une intervention rapide et efficace peuvent faire toute la différence entre un quasi-incident et un incident majeur.
L'élaboration de plans d'intervention sur incident et de stratégies facilite une prise de décision rapide. Ces plans doivent couvrir toutes les phases de l'intervention à l'échelle de l'entreprise. Ils doivent par ailleurs aider l'équipe de sécurité à prendre des décisions afin d'éviter que les intervenants de première ligne ne négligent des détails importants lors du triage des alertes. Enfin, ils doivent préciser l'étendue de l'autorité de cette équipe en ce qui concerne la prise de mesures décisives en cas d'attaque imminente de ransomware, comme mettre à l'arrêt des services essentiels de l'entreprise.
Dans le cas de l'équipe de gestion des crises, les plans d'intervention doivent identifier les membres de l'équipe, leurs rôles et leurs responsabilités. Ils doivent également préciser la marche à suivre concernant des décisions importantes, par exemple quand activer un retainer pour la réponse à incidents, s'il faut informer ou non les assureurs, quand et comment impliquer un conseiller juridique interne ou externe et comment aborder les demandes de rançon avec les dirigeants.
Pensez à réaliser régulièrement des exercices de simulation de gestion d'incidents pour tester vos plans et processus d'intervention sur incident. Certaines entreprises tireront avantage des exercices simulés de type « Purple Team », durant lesquels les membres de la Red Team simulent les actions des cybercriminels à l'encontre de leurs cibles, notamment l'exfiltration de données et le déploiement de ransomwares. CrowdStrike vous recommande également de mettre régulièrement à l'épreuve vos plans d'intervention sur incident, de façon planifiée ou non, en utilisant par exemple une Red Team pour lancer une simulation d'attaque.
Conseil n° 9. Apprenez à demander de l'aide
Si vous pensez que votre entreprise a été la cible d'un ransomware, faire appel à des experts pour qu'ils enquêtent et vous aident à comprendre et à améliorer la situation peut empêcher qu'un incident minime se transforme en compromission majeure. Il arrive que les entreprises détectent une activité malveillante au sein de leur environnement, mais qu'elles manquent de visibilité pour régler le problème ou ne disposent pas de la cyberveille nécessaire pour identifier la nature de la menace. Se tenir informé des dernières menaces et demander de l'aide en contactant une équipe d'intervention sur incident ou en activant un retainer, comme ceux proposés par les Services CrowdStrike, peut permettre de détecter et de corriger les problèmes avant que les cybercriminels ne puissent déployer le ransomware ou exfiltrer des données de l'environnement.
Mieux vaut toutefois demander l'aide d'experts avant d'en avoir véritablement besoin. Une évaluation technique peut vous aider à identifier et à comprendre de manière proactive les éléments de votre réseau d'entreprise susceptibles de déclencher de futures attaques de ransomwares. Cette évaluation peut prendre différentes formes, en fonction de vos besoins du moment et du niveau de maturité de votre sécurité. Par exemple, si vous avez été victime d'une intrusion qui s'est limitée à un segment spécifique de votre réseau ou à un département déterminé, une évaluation des compromissions à l'échelle de l'entreprise pourra vous offrir l'assurance que le cyberattaquant n'a pas infiltré d'autres parties de votre environnement non couvertes par l'investigation initiale. Une évaluation de l'hygiène IT peut par ailleurs permettre d'identifier les mots de passe faibles, les erreurs de configuration d'Active Directory ou les correctifs non appliqués susceptibles de laisser la porte ouverte à d'autres cyberattaquants.