Ransomware : voici les indices qui montrent que vous êtes attaqué

Le chiffrement des fichiers par des ransomware est la dernière chose qui se produit lors d’une attaque. Avant cela, les pirates passeront des semaines, voire plus, à enquêter sur le réseau informatique de l’entreprise pour en découvrir les faiblesses. L’un des moyens les plus courants utilisés pour pénétrer dans les réseaux d’entreprise est de passer par des liens RDP (Remote Desktop Protocol) laissés ouverts sur Internet.

“Regardez votre environnement et comprenez quelle est votre exposition à la RDP, et assurez-vous que vous avez une authentification à deux facteurs sur ces liens ou qu’ils se trouvent derrière un VPN”, a déclaré Jared Phipps, vice-président de la société de sécurité SentinelOne.

Le confinement du au Coronavirus a eu une incidence sur ce point. Avec la montée en puissance du télétravail, de nombreuses entreprises ont ouvert des liens RDP pour faciliter l’accès à distance. Cela ouvre la voie aux ransomware explique M. Phipps, et l’analyse de vos systèmes en ligne à la recherche de ports RDP ouverts est donc une première étape pour les pirates.

2. Apparition d’outils logiciels inconnus sur le réseau

Un autre signe d’alerte pourrait être l’apparition d’outils logiciels inconnus ou inattendus sur le réseau. Les attaquants peuvent commencer par contrôler un seul PC sur un réseau – peut-être par le biais d’un courriel de phishing (une vague de courriels de phishing pourrait être un indicateur d’une attaque, et si le personnel est formé pour les repérer, cela pourrait constituer une alerte précoce). Grâce à cette emprise sur le réseau, les pirates exploreront à partir de là pour voir ce qu’ils peuvent trouver d’autre à attaquer.

Cela signifie qu’ils utilisent des scanners de réseau, tels que AngryIP ou Advanced Port Scanner. Si ceux-ci sont détectés sur le réseau, il est temps de vous renseigner auprès de votre équipe de sécurité. Si personne n’admet avoir utilisé ces scanners, il est temps d’enquêter explique Sophos. Un autre signal d’alarme est la détection de MimiKatz, qui est l’un des outils les plus régulièrement utilisés par les pirates, avec Microsoft Process Explorer, dans leurs tentatives de voler des mots de passe et des informations de connexion.

Une fois qu’ils ont obtenu l’accès au réseau, les pirates tentent souvent ensuite d’augmenter leurs capacités en créant des comptes d’administrateur pour eux-mêmes, par exemple dans Active Directory, et utilisent cela pour commencer à désactiver les logiciels de sécurité en utilisant des applications dédiées comme Process Hacker, IOBit Uninstaller, GMER, et PC Hunter, explique Sophos. “Ces types d’outils commerciaux sont légitimes, mais s’ils sont dans de mauvaises mains, les équipes de sécurité et les administrateurs doivent se demander pourquoi ils sont soudainement apparus dans le système d’information”.

Pour éviter cela, les entreprises doivent chercher des comptes qui sont créés en dehors de votre système de ticketing ou de gestion des comptes, explique M. Phipps de SentinelOne. Une fois que les attaquants ont des privilèges d’administrateur, ils tentent ensuite de se propager sur le réseau, en utilisant PowerShell.

L’ensemble du projet peut prendre des semaines, voire des mois, pour être exécuté. Cela s’explique en partie par le fait que plus ils sont lents à se déplacer sur le réseau informatique, plus ils sont difficiles à repérer. De plus, de nombreux outils de sécurité n’enregistrent le trafic sur le réseau que pendant un certain temps, ce qui signifie que si les pirates s’attardent un certain temps, il devient beaucoup plus difficile pour les équipes de sécurité de déterminer comment ils sont entrés dans le système au départ.

3. Désactivation d’Active Directory et corruption des sauvegardes

Il y a également des signes évidents qu’une attaque de ransomware est sur le point de se terminer. Les attaquants tentent souvent désactiver Active Directory et les contrôleurs de domaine, et de corrompre toutes les sauvegardes qu’ils peuvent trouver, ainsi que de désactiver tous les systèmes de déploiement de logiciels qui pourraient être utilisés pour pousser des correctifs ou des mises à jour. “Et puis ils vous frapperont avec l’attaque de chiffrement” déclare M. Phipps.

Sophos note également qu’à ce stade, les pirates pourraient tenter de chiffrer quelques appareils juste pour voir si leur plan va fonctionner.

4. Comment arrêter les agresseurs une fois qu’ils sont entrés dans le système d’information ?

Alors comment arrêter les agresseurs une fois qu’ils sont entrés ? Selon M. Phipps, le plus important est de prendre le contrôle des sessions RDP, car cela permet d’empêcher les attaquants d’entrer et de leur couper l’accès au système de commandement et de contrôle (C&C). D’autres mesures, comme le changement de mot de passe dans les systèmes centraux, peuvent être utiles, mais si les pirates peuvent utiliser RDP pour revenir dans le réseau, de telles mesures seront inefficaces. Il est également important de surveiller l’apparition de comptes d’administration inattendus, et les entreprises devraient envisager de surveiller ou de limiter l’utilisation de PowerShell.

Comment pouvez-vous faire de votre organisation une cible plus difficile, et donc moins attrayante ? Il est essentiel de maintenir les logiciels à jour et de les patcher ; de nombreuses attaques de ce type s’appuient sur des failles logicielles pour fonctionner, mais la plupart de ces failles ont été corrigées depuis longtemps par les sociétés de logiciels – il suffit d’administrer le correctif.

Pour les attaques par courriel, la formation du personnel à ne pas cliquer sur des liens et la combinaison de mots de passe forts et d’une authentification à deux facteurs sur le plus grand nombre possible de systèmes contribueront également à dissuader ou à ralentir les attaquants.

Leave a Reply

Your email address will not be published. Required fields are marked *