Stratégies de Protection et d’Eradication des Ransomwares

Les ‘ransomwares’ sont une menace d’envergure mondiale qui touche tous les secteurs. L’impact d’une telle attaque pour une organisation peut être matériel – incluant l’impossibilité d’accéder à des données, des systèmes, et des interruptions d’activités. Les pertes potentielles de revenus, associées aux coûts générés par la restauration des données et la mise en œuvre de nouveaux processus et contrôles de sécurité, peuvent être considérables. Les ‘ransomwares’ sont devenus de plus en plus populaires auprès des cyber criminels au cours des dernières années, et il est facile de comprendre pourquoi, étant donnée la simplicité du déploiement de telles campagnes et l’ampleur du retour sur investissement pour les attaquants.

 « Les acteurs de menaces réalisent que plus elles perturbent les opérations de leurs victimes, plus elles peuvent leur soutirer de l’argent. Au cours de l’année passée, nous avons observé des cyber criminels spécialisés de longue date dans le vol d’identifiants de cartes de crédit abandonner cette activité pour se tourner vers le déploiement de ransomwares (FIN6 par exemple), plus lucratif que la revente de numéros de carte bancaire. Nous avons également vu un nombre accru d’acteurs de menaces dérober des données à des organisations puis leur extorquer de l’argent, utilisant souvent les réseaux sociaux et des articles de presse pour presser leurs victimes à les payer. Ces opérations peuvent générer des gains à six ou sept chiffres aux dépens des victimes.» Charles Carmakal, CTO de Mandiant, FireEye

Dans un nouveau rapport, Ransomware Protection and Containment Strategies: Practical Guidance for Endpoint Protection, Hardening, and Containment, FireEye détaille les meilleures tactiques que les organisations peuvent adopter pour protéger leur environnement informatique afin de réduire au maximum l’éventualité d’une attaque par ‘ransomware’. Ces recommandations peuvent également les aider à adopter les meilleures pratiques nécessaires pour contenir et minimiser l’impact d’un tel événement s’il se produit.

Les ‘ransomwares’ sont généralement déployés dans un environnement informatique de deux façons :

1. Propagation manuelle par un attaquant qui a réussi à pénétrer dans l’environnement et à se procurer des privilèges d’administrateur afin d’y naviguer librement :

• Exécution manuelle d’encodeurs sur les systèmes ciblés.
• Déploiement d’encodeurs dans l’environment en utilisant des fichiers batch Windows (installation de partages C$, copie de l’encodeur, et éxécution avec l’outil Microsoft PsExec).
• Déploiement des encodeurs avec les Microsoft Group Policy Objects (GPOs).
• Déploiement des encodeurs avec les outils de déploiement logiciel existants utilisés par l’organisation victime.

2. Propagation automatisée :

• Extraction d’identifiant ou d’un token Windows depuis un disque dur ou la mémoire.
• Relations de confiance entre systèmes – et exploitation de méthodes telles que Windows Management Instrumentation (WMI), SMB, ou PsExec pour s’unir à des systèmes et exécuter des contenus.
• Méthodes d’exploitation non ‘patchées’

Le rapport contient un ensemble de recommandations techniques conçues pour aider les organisations à réduire les risques associés à une attaque par ‘ransomware’, dont :

• La segmentation des postes de travail
• La protection contre les méthodes d’exploitation les plus courantes
• La réduction de l’exposition des comptes à privilèges
• Les protections contre les mots de passe en clair

A propos de FireEye :

FireEye est le spécialiste de la sécurité réseau basée sur l’intelligence. Fonctionnant comme une extension transparente et extensible des opérations de sécurité réseau du client, FireEye offre une plate-forme unique qui associe des technologies de sécurité innovantes, des capacités d’intelligence sur les menaces de niveau gouvernemental, et les services de consulting Mandiant de renommée mondiale. Grâce à cette approche, FireEye élimine la complexité et les efforts liés à la cyber sécurité pour des organisations ayant du mal à anticiper, prévenir et répondre à des cyber-attaques. FireEye compte plus de 7700 clients dans 103 pays, y compris plus de 50% des entreprises figurant dans le classement Forbes Global 2000.