Stratégies de protection et d’éradication des Ransomwares

Guide des Meilleures Tactiques de FireEye

Le rapport contient un ensemble de recommandations techniques conçues pour aider les organisations à réduire les risques associés à une attaque par ‘ransomware’, dont :

  • La segmentation des postes de travail
  • La protection contre les méthodes d’exploitation les plus courantes
  • La réduction de l’exposition des comptes à privilèges
  • Les protections contre les mots de passe en clair

Stratégies de Protection et d’Eradication des Ransomwares 

Les ‘ransomwares’ sont une menace d’envergure mondiale qui touche tous les secteurs. L’impact d’une telle attaque pour une organisation peut être matériel – incluant l’impossibilité d’accéder à des données, des systèmes, et des interruptions d’activités. Les pertes potentielles de revenus, associées aux coûts générés par la restauration des données et la mise en œuvre de nouveaux processus et contrôles de sécurité, peuvent être considérables.

Les ‘ransomwares’ sont devenus de plus en plus populaires auprès des cyber criminels au cours des dernières années, et il est facile de comprendre pourquoi, étant donnée la simplicité du déploiement de telles campagnes et l’ampleur du retour sur investissement pour les attaquants.

« Les acteurs de menaces réalisent que plus elles perturbent les opérations de leurs victimes, plus elles peuvent leur soutirer de l’argent. Au cours de l’année passée, nous avons observé des cyber criminels spécialisés de longue date dans le vol d’identifiants de cartes de crédit abandonner cette activité pour se tourner vers le déploiement de ransomwares (FIN6 par exemple), plus lucratif que la revente de numéros de carte bancaire. Nous avons également vu un nombre accru d’acteurs de menaces dérober des données à des organisations puis leur extorquer de l’argent, utilisant souvent les réseaux sociaux et des articles de presse pour presser leurs victimes à les payer. Ces opérations peuvent générer des gains à six ou sept chiffres aux dépens des victimes. » Charles Carmakal, CTO de Mandiant, FireEye

FireEye détaille dans un nouveau rapport, les meilleures tactiques que les organisations peuvent adopter pour protéger leur environnement informatique afin de réduire au maximum l’éventualité d’une attaque par ‘ransomware’. Ces recommandations peuvent également les aider à adopter les meilleures pratiques nécessaires pour contenir et minimiser l’impact d’un tel événement s’il se produit.

Les ‘ransomwares’ sont généralement déployés dans un environnement informatique de deux façons :

  1. Propagation manuelle par un attaquant qui a réussi à pénétrer dans l’environnement et à se procurer des privilèges d’administrateur afin d’y naviguer librement :
  • Exécution manuelle d’encodeurs sur les systèmes ciblés.
  • Déploiement d’encodeurs dans l’environnement en utilisant des fichiers batch Windows (installation de partages C$, copie de l’encodeur, et éxécution avec l’outil Microsoft PsExec).
  • Déploiement des encodeurs avec les Microsoft Group Policy Objects (GPOs).
  • Déploiement des encodeurs avec les outils de déploiement logiciel existants utilisés par l’organisation victime.

 

  1. Propagation automatisée :
  • Extraction d’identifiant ou d’un token Windows depuis un disque dur ou la mémoire.
  • Relations de confiance entre systèmes – et exploitation de méthodes telles que Windows Management Instrumentation (WMI), SMB, ou PsExec pour s’unir à des systèmes et exécuter des contenus.
  • Méthodes d’exploitation non ‘patchées’ (e.g., EternalBlue – traité via Microsoft Security Bulletin MS17-010)

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*