Ransomware: ces signes d'alerte peuvent indiquer que vous êtes attaqué.
Ransomware : Une attaque de codage de fichier pour récupérer un logiciel peut être tracée par le gang pendant des mois. C'est ce qu'il faut considérer.
On estime qu'il y a jusqu'à 100 réclamations frauduleuses contre des compagnies d'assurance chaque jour. Et comme l'attaque moyenne sur une récupération de logiciel peut prendre de 60 à 120 jours entre la faille de sécurité initiale et le déploiement réel du logiciel, des centaines d'entreprises cachent des pirates sur leurs réseaux. À tout moment, soyez prêt à déclencher le chiffrement du réseau pour les logiciels malveillants.
Quel est le principal indicateur d'une entreprise qui tente de repérer une attaque d'achat avant d'avoir fait trop de dégâts? Que devez-vous faire si vous rencontrez une attaque?
Le cryptage des fichiers à partir d'un ransomware a été la dernière chose qui s'est produite. Auparavant, les escrocs recherchaient sur Internet des vulnérabilités pendant des semaines ou plus. L'un des moyens les plus courants pour les programmes de recherche bancaire d'ouvrir la voie aux réseaux d'entreprise consiste à utiliser des liens RDP (Remote Desktop Protocol) qui restent ouverts à Internet.
«Regardez votre environnement et découvrez à quel point vous êtes exposé à RDP. Assurez-vous d'authentifier la connexion par deux facteurs ou derrière un VPN»,
a déclaré Jared Pipps, vice-président de la société de sécurité SentinelOne.
En verrouillant le coronavirus, plus d'employés travaillent à domicile, de sorte que plus d'entreprises ont ouvert des connexions RDP pour un accès à distance plus facile. Cela ouvre le gang aux ransomwares, dit Phipps, donc analyser votre système Internet à la recherche de ports RDP ouverts est la première étape.
Un autre signe d'avertissement peut être un logiciel apparaissant de manière inattendue sur le réseau. Les attaquants ne peuvent initialement contrôler qu'un seul ordinateur sur le réseau - peut-être via un e-mail de phishing (en fait, un certain nombre d'e-mails de phishing peuvent être un indicateur d'attaque et si le personnel est formé pour les détecter, ils peuvent représenter un avertissement précoce). En gardant leurs doigts sur le réseau, les pirates peuvent rechercher à partir de là ce qu'ils peuvent trouver à attaquer.
Cela signifie utiliser un scanner réseau comme AngryIP ou Advanced Port Scanner. S'ils sont trouvés en ligne, contactez votre équipe de sécurité. Si personne à la maison n'admet avoir utilisé le scanner, le moment est venu d'enquêter, selon la société de sécurité technologique Sophos, qui a montré des signes qu'une attaque de rançon pourrait être menée dans un récent article de blog.
Un autre drapeau rouge est l'invention de MimiKatz, l'un des outils les plus couramment utilisés par les pirates, avec Microsoft Process Explorer pour voler les mots de passe et les informations d'identification, a déclaré Sophos.
Une fois qu'ils ont accès au réseau, les diffuseurs de rançon essaient souvent d'étendre leur portée en créant des comptes d'administrateur pour eux-mêmes, tels que Dans Active Directory, et utilisent cette puissance supplémentaire pour commencer à désactiver le logiciel de sécurité. Selon Sophos, des applications telles que Process Hacker, IOBit Uninstaller, GMER et PC Hunter sont utilisées pour aider à la suppression forcée de logiciels. "Ce type d'outil de trading est légal, mais entre de mauvaises mains l'équipe de sécurité et les administrateurs doivent se demander pourquoi ils se sont soudainement présentés", a déclaré la société de sécurité.
Pour éviter que cela ne se produise, les entreprises doivent rechercher des comptes créés en dehors de votre système de billetterie ou de votre système de gestion de compte, selon Phipps de SentinelOne. Dès que les attaquants obtiennent des droits d'administrateur, ils essaient de se propager davantage sur le réseau à l'aide de PowerShell.
L'ensemble du projet peut prendre des semaines, voire des mois. C'est en partie parce que plus ils se déplacent lentement dans un réseau informatique, plus il est difficile à détecter. De nombreux outils de sécurité n'enregistrent le trafic vers le réseau que pendant une certaine période. Ainsi, lorsque les pirates s'attardent, il est beaucoup plus difficile pour les équipes de sécurité de comprendre comment ils sont entrés dans le système.
"C'est comme enregistrer les données de vol: si vous attendez suffisamment longtemps, l'attaque sera enregistrée et il n'y a aucune preuve que vous l'avez comprise", a déclaré Pipps. «Il est difficile pour les gens de comprendre et de mener des enquêtes car tous les outils de sécurité à leur disposition ne disposent pas d'informations d'identification.
Il existe également des preuves solides que l'attaque de la rançon touche à sa fin. Les attaquants tentent de désactiver Active Directory et les contrôleurs de domaine et éventuellement les sauvegardes qu'ils trouvent corrompues, ainsi que de désactiver tous les systèmes de livraison de logiciels pouvant être utilisés pour cliquer sur des correctifs ou des mises à jour. "Et puis ils vous frapperont avec cette attaque", a déclaré Phipps.
Sophos a également noté qu'à ce stade, le gang peut essayer de chiffrer plusieurs appareils pour voir si leur plan fonctionne:
Cela montre leurs mains et les attaquants savent que leur temps est limité.
Comment arrêter l'attaquant une fois à l'intérieur?
Selon Phipps, le plus important est de maîtriser la session RDP, car cela empêchera les attaquants d'y pénétrer et leur enlèvera l'accès de commande et de contrôle. D'autres étapes, telles que la demande de changement de mot de passe sur le système de base, peuvent être utiles. Cependant, si les pirates peuvent utiliser RDP pour revenir sur le réseau, ces étapes seront interrompues. Il est également important de garder un œil sur les comptes administrateur inattendus. Les organisations doivent envisager de surveiller ou de limiter leur utilisation de PowerShell.
Comment faire de votre organisation une cible plus difficile et donc moins attractive pour les gangs de recherche?
Ici, il est important de se tenir au courant des derniers logiciels. De nombreuses attaques logicielles à la demande impliquent des bogues logiciels, mais la plupart de ces bogues ont longtemps été corrigés par les éditeurs de logiciels - tout ce que vous avez à faire est de gérer les correctifs. Dans le cas d'une attaque de récupération d'e-mails, la formation du personnel à ne pas établir de connexions aléatoires et la combinaison de mots de passe forts avec une authentification à deux facteurs sur autant de systèmes que possible aidera également à dissuader ou à ralentir les attaquants.