Voici une douzaine de façons dont les équipes informatiques de toute taille peuvent mettre en place des alertes automatisées pour détecter les attaques de ransomware avant qu’il ne soit trop tard.
Il est fou de penser qu’en Mai dernier, cinq ans se sont écoulés depuis que l’épidémie de WannaCry a contribué à faire connaître les ransomwares. D’une certaine manière, j’ai l’impression que c’était il y a une éternité (ou plus). Ex : Comparées aux chiffres effarants cités dans les rapports d’aujourd’hui, certaines des statistiques liées aux ransomwares de 2017 paraissent bien pittoresques.
- Au deuxième trimestre 2017, la demande de rançon moyenne estimée se situait entre 501 et 2 000 dollars. Selon Coveware, au premier trimestre 2022, le paiement moyen d’une rançon était de 211 529 dollars.
- En 2017, Cybersecurity Ventures a estimé que le coût total des dommages causés par les ransomwares atteindrait 5 milliards de dollars pour l’année. Leur dernier rapport estime que les coûts totaux en 2021 atteindront 20 milliards de dollars.
Beaucoup de choses ont évidemment changé, et avec des milliards de dollars en jeu, dire que les attaques de ransomware d’aujourd’hui ont mûri et évolué est un euphémisme.
Comme le dit le chercheur en sécurité Kevin Beaumont dans un article de blog que tout le monde devrait lire :
« Un groupe de ransomware recevant un paiement de 40 millions de dollars pour avoir attaqué une compagnie d’assurance en cybersécurité donne aux attaquants plus de budget pour lancer une cyberattaque que la plupart des moyennes et grandes organisations n’en ont au total pour se défendre contre les attaques. Et ce n’est qu’une seule attaque, d’un seul groupe, qui a à peine fait la une. »
– Kevin Beaumont, « La dure vérité sur les rançongiciels »
Ce constat donne à réfléchir, mais avant de se languir des jours « plus simples » de 2017, il convient également de considérer que, si les choses ont changé au cours des cinq dernières années, beaucoup de choses n’ont pas changé.
Oui, l’écosystème de la cybercriminalité a explosé autour des ransomwares, et bien sûr, les groupes d’attaque ont amassé d’énormes moyens financier pour acheter des zero-day et lancer des programmes de primes pour la découverte de bugs. Mais la vérité est que, malgré tout cela, la majorité d’entre eux continuent à cibler les proies faciles. Pourquoi faire dans la sophistication et la fantaisie quand on peut encore attraper beaucoup de gens avec les méthodes basiques ?
- Colonial Pipeline ? Piraté via un compte inactif sans MFA.
- Les services de santé irlandais ? Document Excel malveillant.
- L’accès pendant 5 mois à une agence gouvernementale américaine par le gang du ransomware LockBit ? RDP compromis.
- L’attaque par ransomware de 50 millions de dollars contre le géant du PC, Acer ? Vulnérabilité de Microsoft Exchange non corrigée.
Oui, la prévention est difficile pour les organisations d’aujourd’hui, mais elle l’a toujours été, et je ne suis pas entièrement convaincu qu’elle soit exponentiellement plus difficile aujourd’hui qu’il y a cinq ans. En réalité, des bases solides et un renforcement basique des terminaux peuvent permettre aux PME de faire un grand pas en avant.
Mais ce post est consacré à la détection, non ? Eh bien, le même point s’applique. La plupart des organisations auront toujours besoin de ressources dédiées (en interne ou en externe) pour déployer et surveiller activement les opportunités de détection que nous allons aborder ici, mais la barrière à l’entrée n’est pas nécessairement aussi élevée que certains fournisseurs de sécurité pourraient vous le faire croire.
Un exemple concret : Voici 12 bonnes idées de détection qui peuvent vous donner des résultats sans coûter une fortune.
Entrons dans le vif du sujet.
Comment détecter un ransomware (ou mieux encore, quand)
Tout d’abord, convenons que tenter de détecter l’activité des ransomwares après leur exécution (les exécutables des ransomwares s’exécutant activement et chiffrant les données) est une course perdue d’avance. Certaines des variantes de ransomware les plus prolifiques peuvent crypter 100 000 fichiers en moins de cinq minutes.
Les tentatives de repérer et de réagir aux changements massifs et soudains des noms de fichiers, etc. seront souvent trop rares et trop tardives.
Les antivirus et la détection et réponse aux menaces sur les terminaux (EDR) sont évidemment conçus pour bloquer les exécutables de ransomware, mais les taux de détection/blocage ne sont pas parfaits, et même s’ils parviennent à bloquer un exécutable, cela ne résout pas le problème de l’accès des attaquants. S’ils échouent une fois, ils essaieront à nouveau.
Il est également courant pour les attaquants d’utiliser des outils et des manuels conçus pour obtenir des privilèges élevés afin de pouvoir désactiver les outils de sécurité (et les sauvegardes).
C’est pourquoi le meilleur moment pour détecter et interrompre les attaques est le début, idéalement lorsque vous êtes confronté à des tentatives souvent automatisées d’établir une connexion sur vos systèmes. Il est beaucoup plus facile d’étouffer les attaques dès le départ que de s’y attaquer à l’étape suivante, lorsque vous avez affaire à un véritable pirate humain qui opère avec un manuel et de nombreux outils conçus pour l’aider à cartographier rapidement votre réseau et à le contrôler entièrement.
Ainsi, lorsque nous parlons de la détection des ransomwares, la meilleure question pourrait être la suivante : « Comment détecter les signes avant-coureurs d’une compromission qui pourrait rapidement aboutir à un ransomware ? »
Et l’accent est mis sur « rapidement » Les rapports montrent qu’à partir de l’accès initial, un ransomware peut être déployé plusieurs jours, voire quelques heures plus tard. Voir les analyses de The DFIR Report sur « IcedID to XingLocker ransomware in 24 hours » et « Netwalker Ransomware in 1 Hour ».
Avec si peu de temps pour identifier la menace et réagir, il est essentiel de disposer d’outils et de professionnels expérimentés qui surveillent activement les systèmes et sont prêts à réagir (idéalement en tirant parti de l’automatisation).
Mais quels sont les signes avant-coureurs des ransomwares et les bonnes opportunités de détection ?
La bonne nouvelle est que, même s’il existe une multitude de groupes d’attaque et de variantes, la majorité d’entre eux s’appuient sur des outils et des modes opératoires communs. Grâce aux travaux de chercheurs comme ceux du DFIR Report et d’autres organismes, les défenseurs peuvent apprendre les TTP (Tactiques, techniques et procédures) les plus courantes et élaborer des mécanismes de détection en conséquence.
Vous trouverez ci-dessous une liste des possibilités de détection correspondant aux schémas d’attaque courants des ransomwares (un grand coup de chapeau à l’édition 2021 de The DFIR Report Year in Review). Il ne s’agit en aucun cas d’une liste exhaustive, mais elle devrait vous donner de bonnes indications pour commencer.
Si vous utilisez une solution de gestion des terminaux ou un RMM comme NinjaOne, vous pouvez créer des conditions de surveillance et d’alerte pour un grand nombre de ces détections, que vous pouvez ensuite facilement déployer sur les terminaux, ce qui vous épargne, à vous et à votre équipe, du travail manuel. Vous pouvez également élaborer des actions automatisées que vous souhaitez que les alertes déclenchent, comme la réinstallation/le redémarrage automatique des processus antivirus et de la détection et réponse aux menaces sur les terminaux (EDR), s’ils sont identifiés comme manquants/désactivés.
Si vous souhaitez aller plus loin, le DFIR Report a également partagé un grand nombre de règles Sigma extrêmement utiles que vous pouvez utiliser avec Chainsaw, un outil open-source gratuit de F-Secure Labs qui offre un moyen rapide de passer au peigne fin les journaux d’événements et de détecter les signes suspects d’une attaque.
Types de tactiques de ransomware et comment les détecter, possibilités de détection par stade d’attaque
Accès initial
Signalements d’e-mails suspects par les utilisateurs finaux : Ils ne font pas les gros titres comme les vulnérabilités de type « zero-day », mais les e-mails malveillants ordinaires conçus pour inciter les utilisateurs à télécharger et à exécuter des logiciels malveillants restent l’un des vecteurs d’attaque initiaux les plus courants. Pourquoi ? Parce qu’ils fonctionnent toujours.
- Comment détecter les e-mails suspects : Il est important pour les organisations de fournir aux employés une formation de sensibilisation à la sécurité, mais aussi de créer une culture dans laquelle ils sont activement encouragés et récompensés pour signaler les e-mails suspects ET les erreurs potentielles sans crainte d’être sanctionnés.
Connexions RDP suspectes : L’exposition du RDP est un autre vecteur d’attaque qui peut faire sourciller certains spécialistes de l’informatique et de la sécurité, mais qui continue d’être l’un des principaux points de compromission initiale dans les incidents de ransomware.
- Comment détecter les connexions RDP suspectes : Cet article de NCCGroup explique comment capturer les événements de journal à faible bruit liés aux sessions RDP tentées et réussies. En outre, ce script de l’expert PowerShell Kelvin Tegelaar va plus loin en vérifiant si divers outils d’accès à distance sont installés (Remote Desktop, Teamviewer, Connectwise ScreenConnect, etc.) et en enregistrant les connexions réussies.
Persistance
Création d’une tâche planifiée suspecte: L’un des moyens les plus courants pour les attaquants d’obtenir la persistance sur un système.
- Comment détecter la création de tâches planifiées suspectes : Surveillez ce phénomène et déclenchez une alerte en suivant les ID d’événements Windows 4698 et 4700 ou en utilisant le script PowerShell de Kelvin Tegelaar ici.
Un logiciel d’accès à distance inattendu : Une autre tactique qui gagne du terrain consiste pour les attaquants à installer des logiciels tiers tels que AnyDesk (de loin le plus populaire), Atera, TeamViewer et Splashtop.
- Comment détecter un logiciel d’accès à distance inattendu : Il s’agit d’outils populaires parmi les entreprise d’infogérance et les fournisseurs de services gérés (MSP), mais si vous ne tirez PAS parti de certains d’entre eux, il est bon de surveiller régulièrement leur présence et de les signaler. Encore une fois, le script de Kelvin peut être utilisé pour cela (voir le commentaire de Luke Whitlock pour une modification qui surveille AnyDesk).
En outre, vous pouvez également surveiller l’événement Windows ID 7045.
Escalade de privilèges / accès aux identifiants
Extraction d’identifiants à partir du LSASS de Windows : S’il existe d’autres moyens pour les attaquants de récupérer des informations d’identification, c’est de loin l’un des plus courants.
- Comment détecter les abus du LSASS : Un bon moyen de surveiller ou de bloquer les tentatives de vol d’identifiants à partir de LSASS est de tirer parti des règles de réduction de la surface d’exposition aux attaques de Microsoft (Windows 10 build 1709 / Windows Server build 1809 ou supérieur requis). Remarque : D’autres règles réduction de la surface d’exposition aux attaques permettent également de bloquer diverses tentatives courantes d’exécution de code malveillant et d’obtention d’un accès initial (ex : blocage des programmes Office pour la création de processus, blocage de JavaScript ou VBScript pour le lancement de contenu exécutable téléchargé, etc.) Jetez un œil à cet article de l’équipe de sécurité de Palantir qui partage son évaluation de l’impact des règles de réduction de la surface d’exposition aux attaques et les paramètres recommandés. De nombreux outils EDR fournissent également des fonctions de blocage et de détection similaires pour protéger les LSASS.
Désactivation de la défense
Désactivation / désinstallation de l’antivirus et des autres outils de sécurité : Pourquoi s’embêter à contourner les outils de sécurité quand on peut simplement les désactiver ?
- Comment détecter la falsification de l’antivirus : Regardez ce script de Kelvin Tegelaar ou, si vous en avez un profitez de votre RMM pour savoir régulièrement si les outils de sécurité sont installés et/ou en cours d’exécution.
Découverte
Utilisation inattendue des outils d’analyse des ports et de découverte du réseau : Une fois qu’une connexion a été établie, les attaquants doivent regarder autour d’eux pour voir où ils ont atterri et identifier les meilleures opportunités de mouvement latéral. Beaucoup d’entre eux utiliseront des utilitaires Windows intégrés comme nltest.exe, ipconfig, whoami, etc. ainsi que ADFind. D’autres utiliseront des outils de balayage de ports comme Advanced IP Scanner.
- Comment détecter les scanners de ports et les outils de reconnaissance suspects : Comme pour les outils d’accès à distance, si vous n’utilisez pas régulièrement ces outils, vous pouvez essayer de les surveiller et de créer des alertes ainsi que des règles d’automatisation pour les bloquer de façon proactive.
Mouvement latéral
Usage suspecté de Cobalt Strike : Cobalt Strike est un « logiciel de simulation d’adversaire » qui est malheureusement devenu aussi populaire auprès des attaquants qu’il l’était auprès de son public cible, les testeurs de pénétration. Il rend un large éventail de tactiques post-exploitation incroyablement faciles à exécuter et apparaît régulièrement comme un outil utilisé à mauvais escient dans les incidents de ransomware.
- Comment détecter Cobalt Strike : De nombreux outils EDR et chercheurs en sécurité ont leurs sites pour détecter l’utilisation de Cobalt Strike. Vous trouverez ici une grande collection de ressources pour vous aider à faire de même.
Logiciel d’accès à distance inattendu : Voir la section sur l’accès à distance sous « Persistance » ci-dessus.
Connexions d’accès à distance suspectes : Cela peut inclure l’utilisation de RDP, SMB, VNC, etc
- Comment détecter les connexions d’accès à distance suspectes : Consultez cette liste d’idées de surveillance de MITRE (ex : création de connexions réseau, accès aux partages réseau, etc.) et explorez les sous-techniques pour obtenir des informations spécifiques sur l’abus de RDP, SMB, VNC, SSH, etc.
Utilisation suspecte de PsExec : PsExec est un autre outil intégré de Microsoft dont les attaquants ont commencé à abuser. Il vous permet d’exécuter à distance des commandes ou des scripts en tant que SYSTÈME.
- Comment détecter les abus de PsExec : Notre homme Kelvin a un script pour cela aussi (évidemment). Vous pouvez également trouver ici d’autres identifiants d’événements Windows et des modifications de registre à surveiller.
Exfiltration de données
Connexions sortantes suspectes et pics de trafic : Afin d’avoir plus d’emprise sur les victimes, il est de plus en plus fréquent que les attaquants ne se contentent pas de chiffrer les données, mais les exfiltrent d’abord. Cela leur donne la menace supplémentaire de vendre les données ou de les publier.
- Comment détecter l’exfiltration de données : Les indicateurs d’une exfiltration potentielle de données peuvent inclure des pics importants de trafic sortant, des connexions inattendues à des adresses IP publiques, des ports utilisés de façon inhabituelle, des volumes élevés de requêtes DNS, des extensions de fichiers sources suspectes (.rar, .7z, .zip, etc.), etc. La surveillance du réseau et les règles du pare-feu peuvent jouer un rôle important dans ce domaine. Pour plus d’idées, voir la section « Exfiltration » de MITRE ATT&CK.
Utilisation abusive des outils de transfert de fichiers intégrés et open source : Les attaquants adorent utiliser des outils par ailleurs légitimes qui peuvent les aider à se fondre dans la masse. Pour l’exfiltration de données, cela inclut Microsoft BITS, curl.exe, Rclone, Mega (MegaSync et MegaCmd), et plus encore.
- Comment détecter une utilisation suspecte du transfert de fichiers : Si les attaquants peuvent se donner la peine de renommer ces programmes, certains ne le font tout simplement pas, de sorte que le blocage et/ou la surveillance et l’alerte concernant leur utilisation constituent un bon point de départ. Pour des idées de détection plus avancées/précis, consultez : détecter Rclone, détecter Mega et Rclone, et MITRE ATT&CK ID T1197.
Ajoutez une couche gérable et évolutive de détection des ransomwares
La surveillance active et l’émission d’alertes sur ce type d’activités peuvent constituer un défi pour les organisations qui ne disposent pas de ressources spécialisées et formées. Dans de nombreux cas, le partenariat avec les bons experts externalisés peut être la solution.
Pour plus d’exemples d’automatisations que les équipes informatiques peuvent exploiter avec Ninja, consultez « Que devez-vous surveiller avec votre RMM ? 28 Recommandations ».
NinjaOne s’associe également à Bitdefender pour fournir une solution anti-ransomware intégrée dans le cadre de sa plateforme d’opérations informatiques unifées. En incluant Ninja + Bitdefender GravityZone + Ninja Data Protection, le pack NinjaOne Protect permet de prévenir, de détecter et de répondre aux attaques par ransomware, ce qui permet d’atténuer l’impact des ransomwares sur votre entreprise.
Inscrivez-vous pour profiter d’un essai gratuit de NinjaOne Protect dès aujourd’hui.
