Voici les indices qui montrent que vous êtes attaqué …



Voici les indices qui montrent que vous êtes attaqué

Les hackers peuvent mettre des mois à préparer des attaques de rançongiciel. Voici ce à quoi il faut faire attention si vous pensez que vous pouvez être une cible.

Selon une estimation récente, jusqu’à 100 demandes d’indemnisation sont présentées chaque jour aux assureurs pour des attaques de ransomware. Et comme il faut en moyenne entre 60 et 120 jours pour qu’une attaque de ce type se déroule, cela signifie que des centaines d’entreprises pourraient en ce moment même avoir des pirates installés dans leurs réseaux informatiques, prêts à déclencher leur logiciels de chiffrement.


Quels sont donc les premiers indicateurs à suivre pour les entreprises qui tentent de repérer une attaque de ce type, avant qu’elle ne cause trop de dégâts ? Et que devraient-elles faire si elles découvrent une attaque en cours ?

Une procédure de contournement de cette faille est par ailleurs fournie par l’équipe de vCenter. Elle peut être utilisée de façon temporaire en attendant que les mises à jour puissent être déployées. Les versions de vCenter concernées sont les suivantes : 7.0 antérieures à 7.0 U1c, 6.7 antérieures à 6.7 U3I et 6.5 antérieures à 6.5 U3n.


1. Quelle est votre exposition de liens RDP ?

Le chiffrement des fichiers par des ransomwares est la dernière chose qui se produit lors d’une attaque. Avant cela, les pirates passeront des semaines, voire plus, à enquêter sur le réseau informatique de l’entreprise pour en découvrir les faiblesses. L’un des moyens les plus courants utilisés pour pénétrer dans les réseaux d’entreprise est de passer par des liens RDP (Remote Desktop Protocol) laissés ouverts sur internet.« Regardez votre environnement et comprenez quelle est votre exposition à la RDP, et assurez-vous que vous avez une authentification à deux facteurs sur ces liens ou qu’ils se trouvent derrière un VPN », explique Jared Phipps, vice-président de la société de sécurité SentinelOne.Le confinement dû au coronavirus a eu une incidence sur ce point. Avec la montée en puissance du télétravail, de nombreuses entreprises ont ouvert des liens RDP pour faciliter l’accès à distance. Cela ouvre la voie aux ransomwares, ajoute Jared Phipps, et l’analyse des systèmes en ligne à la recherche de ports RDP ouverts est donc une première étape pour les pirates.

2. Apparition d’outils logiciels inconnus sur le réseau

Un autre signe d’alerte pourrait être l’apparition d’outils logiciels inconnus ou inattendus sur le réseau. Les attaquants peuvent commencer par contrôler un seul PC sur un réseau – peut-être par le biais d’un courriel de phishing (une vague de courriels de phishing pourrait être un indicateur d’une attaque, et si le personnel est formé pour les repérer, cela pourrait constituer une alerte précoce). Grâce à cette emprise sur le réseau, les pirates exploreront à partir de là pour voir ce qu’ils peuvent trouver d’autre à attaquer.

Cela signifie qu’ils utilisent des scanners de réseau, tels que AngryIP ou Advanced Port Scanner. Si ceux-ci sont détectés sur le réseau, il est temps de se renseigner auprès de l’équipe de sécurité. Si personne n’admet avoir utilisé ces scanners, il est temps d’enquêter, prévient Sophos. Un autre signal d’alarme est la détection de MimiKatz, qui est l’un des outils les plus régulièrement utilisés par les pirates, avec Microsoft Process Explorer, dans leurs tentatives de voler des mots de passe et des informations de connexion.

Une fois qu’ils ont obtenu l’accès au réseau, les pirates tentent souvent ensuite d’augmenter leurs capacités en créant des comptes d’administrateur pour eux-mêmes, par exemple dans Active Directory, et ils les utilisent pour commencer à désactiver les logiciels de sécurité en utilisant des applications dédiées comme Process Hacker, IOBit Uninstaller, GMER et PC Hunter, précise Sophos. « Ces types d’outils commerciaux sont légitimes, mais s’ils sont dans de mauvaises mains, les équipes de sécurité et les administrateurs doivent se demander pourquoi ils sont soudainement apparus dans le système d’information. »

Pour éviter cela, les entreprises doivent chercher des comptes qui sont créés en dehors du système de ticketing ou de gestion des comptes, explique Jared Phipps de SentinelOne. Une fois que les attaquants ont des privilèges d’administrateur, ils tentent ensuite de se propager sur le réseau, en utilisant PowerShell.

L’ensemble du projet peut prendre des semaines, voire des mois, pour être exécuté. Cela s’explique en partie par le fait que plus ils sont lents à se déplacer sur le réseau informatique, plus ils sont difficiles à repérer. De plus, de nombreux outils de sécurité n’enregistrent le trafic sur le réseau que pendant un certain temps, ce qui signifie que si les pirates s’attardent un certain temps, il devient beaucoup plus difficile pour les équipes de sécurité de déterminer comment ils sont entrés dans le système au départ.

3. Désactivation d’Active Directory et corruption des sauvegardes

Il y a également des signes évidents qu’une attaque de ransomware est sur le point de se terminer. Les attaquants tentent souvent de désactiver Active Directory et les contrôleurs de domaine, et de corrompre toutes les sauvegardes qu’ils peuvent trouver, ainsi que de désactiver tous les systèmes de déploiement de logiciels qui pourraient être utilisés pour pousser des correctifs ou des mises à jour. « Et puis ils vous frapperont avec l’attaque de chiffrement », ajoute Jared Phipps.

Sophos note également qu’à ce stade, les pirates pourraient tenter de chiffrer quelques appareils juste pour voir si leur plan va fonctionner.

4. Comment arrêter les agresseurs une fois qu’ils sont entrés dans le système d’information ?

Alors comment arrêter les agresseurs une fois qu’ils sont entrés ? Selon Jared Phipps, le plus important est de prendre le contrôle des sessions RDP, car cela permet d’empêcher les attaquants d’entrer et de leur couper l’accès au système de commandement et de contrôle (C & C). D’autres mesures, comme le changement de mot de passe dans les systèmes centraux, peuvent être utiles, mais si les pirates peuvent utiliser un RDP pour revenir dans le réseau, de telles mesures seront inefficaces. Il est également important de surveiller l’apparition de comptes administrateurs inattendus, et les entreprises devraient envisager de surveiller ou de limiter l’utilisation de PowerShell.

Comment pouvez-vous faire de votre organisation une cible plus difficile, et donc moins attrayante ? Il est essentiel de maintenir les logiciels à jour et de les patcher ; de nombreuses attaques de ce type s’appuient sur des failles logicielles pour fonctionner, mais la plupart de ces failles ont été corrigées depuis longtemps par les sociétés de logiciels – il suffit d’administrer le correctif.

Pour les attaques par courriel, la formation du personnel à ne pas cliquer sur des liens et la combinaison de mots de passe forts et d’une authentification à deux facteurs sur le plus grand nombre possible de systèmes contribueront également à dissuader ou à ralentir les attaquants.


Pour plus d’information : https://www.zdnet.fr/pratique/ransomware-voici-les-indices-qui-montrent-que-vous-etes-attaque-39908063.htm

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Catégories :

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité