Plan B
Bien sûr, le titre peut sembler effrayant, mais il pourrait vous épargner, à vous et à votre entreprise, une expérience considérablement invalidante, douloureuse et coûteuse.
« J’ai un antivirus ; j’ai une équipe de reprise après sinistre pour cela ; j’ai des sauvegardes… »
Nous vous entendons. Mais la dure réalité, c’est qu’en cas d’attaque, rien de tout cela ne suffira, malheureusement. Si vous ne vous préparez pas à des attaques aussi délicatement codées et architecturées, la vérité est que la situation fera des ravages sur votre entreprise et sur sa réputation, et qu’elle peut aussi littéralement devenir des semaines et des mois de charge mentale et financière importante pour toute une organisation.
La fin du Jour de la marmotte
Quel est le processus le plus important et pourtant le plus simple que vous et vos employés effectuez chaque jour à votre bureau ou sur votre ordinateur portable en vous rendant à cette réunion importante? Oui, c’est vrai, vous l’avez trouvé : vous tapez votre mot de passe complexe (espérons-le) et vous vous connectez.
La plus simple des tâches et pourtant la plus banale et prise pour acquis. Nous savons tous ce que l’on ressent lorsque l’on ne peut pas se connecter ; on se sent exclu et complètement impuissant. On ne peut rien faire sans se connecter (sauf peut-être les mots croisés). Vous avez compris de quoi il est question.
Nous nous connectons et, par le biais de ce processus apparemment intangible, nous avons accès à de nombreuses sources de données et ressources importantes. Ces données sont mises à notre disposition — et même sécurisées — grâce aux mécanismes d’authentification d’Active Directory, passant inaperçus et qui tournent en boucle en arrière-plan, nous permettant de mener nos activités.
Mettons en lumière la nature d’une cyberattaque et la chaîne d’événements typique qui s’ensuit en raison d’une telle attaque contre une organisation :
- Le réseau a été compromis (ils ont le contrôle).
- Tous les fichiers et sauvegardes sont désormais cryptés et inaccessibles, dans 11 pays, 12 000 ordinateurs et 533 serveurs.
- Les employés travaillent désormais avec des stylos et du papier
- Une demande de rançon de 2,4 millions de dollars a été faite.
- Vous avez refusé à juste titre de payer la rançon.
- Le réseau est maintenant entièrement verrouillé
- Not a single employee can log on anywhere within your company… Aucun employé ne peut se connecter, peu importe l’endroit, au sein de votre entreprise.
- Des mois de temps d’arrêt, la perte de clients et des millions de dollars de revenus perdus.
Attaques de logiciels rançonneurs et Active Directory
Norsk Hydro
La chaîne d’événements ci-dessus n’est pas différente des événements qui ont eu lieu pour le producteur d’aluminium norvégien Norsk Hydro en 2019. Norsk Hydro a été frappé par un virus connu sous le nom de « LockerGoga ».
Les cybercriminels ont utilisé AdFind pour consulter Active Directory et effectuer des mouvements latéraux via le protocole RDP (Protocole de bureau à distance) ; dans les faits, Active Directory est détourné et devient un réseau de transport.
Le virus, qui est aussi communément associé à un autre nommé « Ryuk », s’est propagé à partir d’une seule usine aux États-Unis et s’est ensuite propagé à d’autres installations à travers son réseau. L’attaque par un logiciel rançonneur a contraint Norsk Hydro à faire fonctionner ses usines en utilisant des processus manuels dans un grand nombre de ses usines, qui ont été réduites à utiliser des télécopieurs, des notes autocollantes et de vieux ordinateurs à la suite de l’attaque, ce qui a coûté à l’entreprise plus de 60 millions de dollars. La police d’assurance a couvert une partie de ce coût, estimé à 3,6 millions de dollars.
ThreatGen
ThreatGen, une entreprise technologique basée aux États-Unis, a signalé que plusieurs de ses clients du secteur pétrolier et gazier ont également été touchés par le virus Ryuk. Des informations d’identification privilégiées ont été obtenues grâce à une vulnérabilité du protocole de bureau à distance (RDP). Ryuk, ayant alors accès aux systèmes, s’est inséré dans un script de connexion pour s’assurer que toutes les machines des utilisateurs se connectant au domaine (AD) étaient infectées. En conséquence, tous les appareils des utilisateurs du réseau ont été verrouillés et cryptés.
L’infection initiale et la compromission d’Active Directory ont permis aux logiciels rançonneurs de rester en dormance pendant des mois avant d’être inséré dans les scripts de connexion, permettant ainsi aux cybercriminels d’exploiter les données de l’ensemble des systèmes en toute discrétion.
Ce niveau d’attaque donne aux cybercriminels suffisamment de temps pour garantir qu’ils peuvent contrôler le réseau et s’assurer que toutes les sauvegardes et tous les systèmes ou reprises après sinistre (DR) sont également compromis et cryptés aussi efficacement que possible pour rendre une restauration impossible.
Vecteurs d’attaque
Sur la base du volume de plaintes reçues en 2020 par le Centre de traitement des plaintes contre la criminalité sur Internet (IC3), les schémas des attaques d’usurpation d’identité ou compromissions de courrier électronique d’entreprise (BEC) restent les plus coûteux, les courriels étant connus pour être les premiers vecteurs d’attaque des logiciels rançonneurs. Entre 2019 et 2020, les incidents d’hameçonnage ont augmenté de 110 %, passant de 114 702 incidents en 2019 à 241 324 incidents en 2020, selon le rapport de 2020 sur la criminalité sur Internet du Federal Bureau of Investigation (FBI). Outre les vecteurs d’attaque les plus répandus, il en existe une multitude d’autres que vous devez connaître et prendre en compte dans le cadre de votre planification globale de la sécurité.
Vecteurs d’attaque courants :
- Courriels d’hameçonnage
- Logiciels malveillants
- Logiciels du fournisseur non corrigés
- Logiciels rançonneurs
- Menaces internes
- Mots de passe faibles
- Fournisseurs tiers
- Mauvais cryptage
- Mauvaise configuration du système
Logiciels rançonneurs en tant que service (RaaS)
Parlons des logiciels rançonneurs en tant que service (RaaS). Ce n’est pas exactement le genre de service que l’on s’attend à trouver. RaaS est un modèle commercial conçu et géré par les développeurs de logiciels rançonneurs pour monétiser leurs actes illégitimes et destructeurs, qui facilitent les attaques pour un client payant.
Le client se connecte au portail RaaS, paie en cryptomonnaie et fournit les informations concernant le type de logiciel malveillant ou d’attaque et les cibles visées. Incroyablement, il a accès à toute une gamme de services d’assistance, de communautés et de documentation, et il peut même disposer de portails qui lui permettent de surveiller l’état de ses infections sur ses cibles.
Il vaut la peine de comprendre et d’être conscient que ces types de services existent. Cette connaissance peut même vous permettre de découvrir votre agresseur.
Logiciel rançonneur « Ryuk » — courte biographie
Ryuk est un exemple de l’un des logiciels rançonneurs les plus meurtriers ; il possède les capacités d’une pieuvre dont les tentacules lui permettent d’infecter les réseaux et de se propager automatiquement. Il est utilisé dans des attaques ciblées contre des entreprises et des organisations.
Type et source de virus :
Ryuk est utilisé dans des attaques ciblées contre des fichiers et des systèmes ; c’est-à-dire que les serveurs de fichiers et les sauvegardes de l’entreprise sont chiffrés et qu’une demande de rançon est faite avec la promesse de déchiffrer toutes les données. Les attaquants s’appuient sur l’accès au réseau, puis sur la cartographie de son contenu pour identifier les cibles clés.
Effets principaux:
Ryuk chiffre les fichiers présents dans l’appareil et ajoute. RYK aux noms de fichiers. Dans chaque répertoire contenant des fichiers cryptés, une demande de rançon est écrite dans l’un des formats suivants :
- un fichier texte nommé RyukReadMe.txt
- un fichier HTML nommé RyukReadMe.html
Le contenu des fichiers peut varier, mais des modèles sont présents, à savoir la signature de Ryuk suivie de la phrase « Aucun système n’est sûr ».
Ryuk maintient sa persistance grâce à la clé de registre suivante :
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\svchost (avec le chemin du fichier de Ryuk comme valeur).
Ryuk supprime finalement les copies des clichés instantanés des volumes pour empêcher toute récupération de fichiers.
Les conséquences :
Ryuk cherche à arrêter plus de 40 processus et 180 services : ceux liés aux logiciels de sécurité, aux bases de données et aux sauvegardes. Ryuk agit comme un compte-goutte qui dépose un module de cryptage de données (32 ou 64 bits).
La combinaison d’algorithmes de chiffrement symétrique (AES) et asymétrique (RSA) garantit que tous les fichiers sont chiffrés, ainsi que la clé de chiffrement, ce qui rend impossible le déchiffrement des données. Ryuk étend simplement cette attaque automatiquement à l’ensemble du réseau et à tous les systèmes connectés auxquels il peut accéder.
Le système d’exploitation est laissé en fonctionnement pendant un certain temps pour permettre aux victimes de lire les demandes de rançon, jusqu’à ce que l’accès soit entièrement verrouillé. En effet, la plupart des notes de logiciels rançonneurs s’affichent désormais à la place de l’écran de connexion.
Limitation des risques
Maintenant que nous avons vu certains des risques et mis en évidence le niveau de dommages qui peuvent survenir lors des attaques de logiciels rançonneurs, examinons les risques les plus courants et la façon dont nous pouvons les atténuer pour sécuriser nos environnements.
- Éducation et gestion des utilisateurs :
- Formation régulière des employés pour les sensibiliser aux attaques et aux risques associés.
- Formation concernant les types d’attaques qui rendent les organisations les plus vulnérables aux virus (par exemple, les attaques d’hameçonnages), la sécurité des mots de passe, etc.
- Tests quantitatifs du QI de l’hameçonnage et formation sur les exemples de contextes sociaux.
- Réduire au minimum l’appartenance à des groupes AD privilégiés
- Restriction des comptes AD privilégiés
- Gestion des correctifs :
- Tous les systèmes du matériel informatique et des logiciels connectés au réseau
- Mises à jour des pare-feux, des commutateurs, des serveurs et des ordinateurs dans l’ensemble de l’environnement
- Gestion et mécanismes de déploiement des correctifs de sécurité
- La gestion et les correctifs des logiciels et systèmes d’un tiers
- Renforcement de la sécurité :
- Analyse régulière et planifiée des vulnérabilités dans l’ensemble des environnements, y compris les environnements sur site et dans le Cloud
- Modèle administratif de niveau Active Directory
- Gestion des appareils des utilisateurs à l’aide de comptes non AD (locaux)
- Mise en œuvre de l’authentification multifactorielle (minimum)
- Mise en œuvre de la surveillance des changements dans AD
Approche de la restauration d’une attaque par logiciels rançonneurs
Il est important d’être proactif quand vous faites face à un logiciel rançonneurs. Toutefois, vous avez également besoin d’un plan de restauration d’Active Directory réactif dans le cas où vous seriez victime d’une attaque.
La sécurité d’Active Directory est au cœur de l’ensemble du réseau. C’est l’interconnexion et la passerelle qui facilite tous les accès et toutes les transactions, ce qui en fait une cible particulièrement importante pour les logiciels rançonneurs.
Pour se remettre d’une attaque AD, il faut disposer d’un plan, et d’un plan particulièrement solide, pour s’assurer que l’on puisse à nouveau accéder à son réseau. De plus, il faut que ce plan soit régulièrement testé.
Vous devez être en mesure d’identifier la cause profonde d’une attaque et de remédier au problème à partir d’une position positive de reprise de contrôle, par opposition à une position dans laquelle vous avez perdu le contrôle.
La solution de restauration proactive AD Ransomware d’Itergy
Nous avons construit une solution qui vous garantit que vous pourrez restaurer Active Directory en 4 heures ou moins en cas d’attaque, peu importe la stratégie que les pirates utiliseront.
Tout d’abord, nous sauvegardons Active Directory seul afin d’éviter de sauvegarder le logiciel rançonneur présent dans votre système d’exploitation. Pour ce faire, nous utilisons un stockage avec politique d’immuabilité pour s’assurer que vous sauvegardes sont protégées.
Ensuite, en combinaison avec vos environnements sur site ou dans le Cloud, nous tirons parti d’une solution de restauration proactive utilisant une approche isolée. Cette solution fournit un environnement de restauration hors site, qui remet simplement les services en ligne en cas d’attaque par logiciels rançonneurs.
En rétablissant la connectivité entre les sites et en restaurant la fonctionnalité des services d’authentification et de connexion Active Directory, nous pouvons minimiser les temps d’arrêt et redonner le contrôle à votre entreprise.
Avec la solution de restauration proactive AD ransomware d’Itergy, vous aurez la certitude que si l’indésirable se produit, votre entreprise reprendra rapidement le contrôle de son infrastructure. Pouvez-vous garantir que vous pourrez restaurer AD en quelques heures ou ignorez-vous cet élément critique de votre stratégie de cybersécurité?
Itergy surveille, gère, et restaure Active Directory dans 65 pays, 24h/24 et 7j/7 pour le compte de ses clients depuis plus de 20 ans. Certains de nos services Active Directory et services gérés AD incluent des bilans de santé, des conseils stratégiques, des migrations, des consolidations, des fusions et acquisitions et des cessions, ainsi que la reprise après sinistre d’Active Directory.
Nous faisons d’Active Directory l’application agile, sécurisée et mature qu’elle était censée être, celle dont votre entreprise a besoin pour réussir dans toutes ses opérations commerciales.