Ransomware : voici les indices qui montrent que vous êtes attaqué

Règles du forum
  • Pour avoir accès à toutes les fonctionnalités du forum .
  • Demande d'aide demande de tutoriaux la fonction répondre et 1 accès aux pièces jointes
  • Il faudra passer par 1 inscription et 1 présentation merci
Répondre
Avatar de l’utilisateur
azazel
Administrateur
Articles : 0
Messages : 6022
Inscription : 27 déc. 2019 13:02
    Windows 10 Chrome
A remercié : 3212 fois
A été remercié : 2243 fois

Ransomware : voici les indices qui montrent que vous êtes attaqué

Message par azazel »

1. Quelle est votre exposition de liens RDP ?
2. Apparition d'outils logiciels inconnus sur le réseau
3. Désactivation d'Active Directory et corruption des sauvegardes
4. Comment arrêter les agresseurs une fois qu'ils sont entrés dans le système d'information ?

Selon une estimation récente, jusqu'à 100 demandes d'indemnisation sont présentées chaque jour aux assureurs pour des attaques de ransomware. Et comme il faut en moyenne entre 60 et 120 jours pour qu'une attaque de ce type se déroule, cela signifie que des centaines d'entreprises pourraient en ce moment même avoir des pirates installés dans leurs réseaux informatiques, prêts à déclencher leur logiciels de chiffrement.

Quels sont donc les premiers indicateurs à suivre pour les entreprises qui tentent de repérer une attaque de ce type, avant qu'elle ne cause trop de dégâts ? Et que devraient-elles faire si elles découvrent une attaque en cours ?


publicité
1. Quelle est votre exposition de liens RDP ?
Le chiffrement des fichiers par des ransomwares est la dernière chose qui se produit lors d'une attaque. Avant cela, les pirates passeront des semaines, voire plus, à enquêter sur le réseau informatique de l'entreprise pour en découvrir les faiblesses. L'un des moyens les plus courants utilisés pour pénétrer dans les réseaux d'entreprise est de passer par des liens RDP (Remote Desktop Protocol) laissés ouverts sur internet.

« Regardez votre environnement et comprenez quelle est votre exposition à la RDP, et assurez-vous que vous avez une authentification à deux facteurs sur ces liens ou qu'ils se trouvent derrière un VPN », explique Jared Phipps, vice-président de la société de sécurité SentinelOne.

Le confinement dû au coronavirus a eu une incidence sur ce point. Avec la montée en puissance du télétravail, de nombreuses entreprises ont ouvert des liens RDP pour faciliter l'accès à distance. Cela ouvre la voie aux ransomwares, ajoute Jared Phipps, et l'analyse des systèmes en ligne à la recherche de ports RDP ouverts est donc une première étape pour les pirates.


2. Apparition d'outils logiciels inconnus sur le réseau
Un autre signe d'alerte pourrait être l'apparition d'outils logiciels inconnus ou inattendus sur le réseau. Les attaquants peuvent commencer par contrôler un seul PC sur un réseau – peut-être par le biais d'un courriel de phishing (une vague de courriels de phishing pourrait être un indicateur d'une attaque, et si le personnel est formé pour les repérer, cela pourrait constituer une alerte précoce). Grâce à cette emprise sur le réseau, les pirates exploreront à partir de là pour voir ce qu'ils peuvent trouver d'autre à attaquer.

Cela signifie qu'ils utilisent des scanners de réseau, tels que AngryIP ou Advanced Port Scanner. Si ceux-ci sont détectés sur le réseau, il est temps de se renseigner auprès de l'équipe de sécurité. Si personne n'admet avoir utilisé ces scanners, il est temps d'enquêter, prévient Sophos. Un autre signal d'alarme est la détection de MimiKatz, qui est l'un des outils les plus régulièrement utilisés par les pirates, avec Microsoft Process Explorer, dans leurs tentatives de voler des mots de passe et des informations de connexion.

Une fois qu'ils ont obtenu l'accès au réseau, les pirates tentent souvent ensuite d'augmenter leurs capacités en créant des comptes d'administrateur pour eux-mêmes, par exemple dans Active Directory, et ils les utilisent pour commencer à désactiver les logiciels de sécurité en utilisant des applications dédiées comme Process Hacker, IOBit Uninstaller, GMER et PC Hunter, précise Sophos. « Ces types d'outils commerciaux sont légitimes, mais s'ils sont dans de mauvaises mains, les équipes de sécurité et les administrateurs doivent se demander pourquoi ils sont soudainement apparus dans le système d'information. »

Pour éviter cela, les entreprises doivent chercher des comptes qui sont créés en dehors du système de ticketing ou de gestion des comptes, explique Jared Phipps de SentinelOne. Une fois que les attaquants ont des privilèges d'administrateur, ils tentent ensuite de se propager sur le réseau, en utilisant PowerShell.

L'ensemble du projet peut prendre des semaines, voire des mois, pour être exécuté. Cela s'explique en partie par le fait que plus ils sont lents à se déplacer sur le réseau informatique, plus ils sont difficiles à repérer. De plus, de nombreux outils de sécurité n'enregistrent le trafic sur le réseau que pendant un certain temps, ce qui signifie que si les pirates s'attardent un certain temps, il devient beaucoup plus difficile pour les équipes de sécurité de déterminer comment ils sont entrés dans le système au départ.


3. Désactivation d'Active Directory et corruption des sauvegardes
Il y a également des signes évidents qu'une attaque de ransomware est sur le point de se terminer. Les attaquants tentent souvent de désactiver Active Directory et les contrôleurs de domaine, et de corrompre toutes les sauvegardes qu'ils peuvent trouver, ainsi que de désactiver tous les systèmes de déploiement de logiciels qui pourraient être utilisés pour pousser des correctifs ou des mises à jour. « Et puis ils vous frapperont avec l'attaque de chiffrement », ajoute Jared Phipps.

Sophos note également qu'à ce stade, les pirates pourraient tenter de chiffrer quelques appareils juste pour voir si leur plan va fonctionner.


4. Comment arrêter les agresseurs une fois qu'ils sont entrés dans le système d'information ?
Alors comment arrêter les agresseurs une fois qu'ils sont entrés ? Selon Jared Phipps, le plus important est de prendre le contrôle des sessions RDP, car cela permet d'empêcher les attaquants d'entrer et de leur couper l'accès au système de commandement et de contrôle (C & C). D'autres mesures, comme le changement de mot de passe dans les systèmes centraux, peuvent être utiles, mais si les pirates peuvent utiliser un RDP pour revenir dans le réseau, de telles mesures seront inefficaces. Il est également important de surveiller l'apparition de comptes administrateurs inattendus, et les entreprises devraient envisager de surveiller ou de limiter l'utilisation de PowerShell.

Comment pouvez-vous faire de votre organisation une cible plus difficile, et donc moins attrayante ? Il est essentiel de maintenir les logiciels à jour et de les patcher ; de nombreuses attaques de ce type s'appuient sur des failles logicielles pour fonctionner, mais la plupart de ces failles ont été corrigées depuis longtemps par les sociétés de logiciels – il suffit d'administrer le correctif.

Pour les attaques par courriel, la formation du personnel à ne pas cliquer sur des liens et la combinaison de mots de passe forts et d'une authentification à deux facteurs sur le plus grand nombre possible de systèmes contribueront également à dissuader ou à ralentir les attaquants.


https://www.zdnet.fr/pratique/ransomwar ... tor=123456
.
.
.
.Cdlt
Dom
. L'expérience est le nom que chacun donne à ses erreurs.
Image

Répondre