Comment détecter les ransomwares : 12 éléments de surveillance et d’alerte à automatiser

Les ransomwares sont devenus un problème connu du grand public lors de l’attaque WannaCry en 2017. Cela paraît déjà bien loin, mais le problème est toujours d’actualité. Par exemple : comparées aux chiffres effarants cités dans les rapports d’aujourd’hui, certaines des statistiques liées aux ransomwares de 2017 paraissent maintenant ridicules.

• Au deuxième trimestre 2017, la demande de rançon moyenne estimée se situait entre 501 et 2 000 dollars. Selon Coveware, rien qu’au premier trimestre 2024,  le montant moyen des rançons payées s’élevait à 381 980 dollars.
• En 2017, Cybersecurity Ventures a estimé que le coût total des dommages causés par les ransomwares atteindrait 5 milliards de dollars pour l’année. Leurs rapports en 2025 prévoyaient des coûts annuels totaux qui pourraient atteindre 57 milliards de dollars.

Beaucoup de choses ont évidemment changé, et avec des milliards de dollars en jeu, dire que les attaques de ransomware d’aujourd’hui ont mûri et évolué est un euphémisme.

Comme le dit le chercheur en sécurité Kevin Beaumont dans un article de blog que tout le monde devrait lire :

« Un groupe de ransomware recevant un paiement de 40 millions de dollars pour avoir attaqué une compagnie d’assurance en cybersécurité donne aux attaquants un budget plus important pour lancer une cyberattaque que le budget total de la plupart des moyennes et grandes entreprises pour se défendre contre les attaques. »

– Kevin Beaumont, « Toute la vérité sur les ransomware » (en anglais)

 

C’est un constat qui donne à réfléchir, mais de se dire que décidément, c’était mieux en 2017, il convient également de considérer que, si nous avons vu les choses changer au cours des huit dernières années, tout n’a pas non plus empiré.

Oui, les attaques par ransomwares ont explosé, et bien sûr, les attaquants ont amassé d’énormes moyens financier pour acheter des zero-day et lancer des programmes de primes pour la découverte de bugs. Mais la vérité est que, malgré tout cela, la majorité d’entre eux continuent à cibler les proies faciles. Pourquoi faire dans la sophistication quand les pièges qui font encore le plus mouche sont les plus simples ?

• Colonial Pipeline ? Piraté via un compte inactif sans MFA.   
• Les services de santé irlandais ? Document Excel malveillant. 
• L’accès pendant 5 mois à une agence gouvernementale américaine par le groupe du ransomware LockBit ? RDP compromis.
• L’attaque par ransomware de 50 millions de dollars contre le géant du PC, Acer ? Vulnérabilité de Microsoft Exchange non corrigée.

Oui, la prévention est difficile pour les entreprises à l’heure actuelle, mais elle l’a toujours été, et il n’est pas dit qu’elle soit exponentiellement plus difficile aujourd’hui qu’elle ne l’était en 2017. En réalité, des bases solides et un renforcement basique des terminaux peuvent permettre aux PME de faire un grand pas en avant.

Même quand on parle de détection, comme dans cet article. Le principe est toujours valide. La plupart des entreprises auront toujours besoin de ressources dédiées (en interne ou externalisées) pour déployer et surveiller activement les possibilités de détection que nous allons aborder ici, mais la barrière à l’entrée n’est pas nécessairement aussi élevée que certains vendeurs de produits de sécurité pourraient le laisser croire.

Un exemple concret : Voici 12 bonnes idées de base pour la détection des ransomwares, qui peuvent vous permettre d’obtenir des résultats sans faire un trou dans votre budget.

Regardons ça de plus près.

Si vous préférez une vue d’ensemble visuelle, il existe également une version vidéo Comment détecter les ransomwares : surveillance et alerte.

Comment détecter les ransomwares ?

Tout d’abord, convenons que tenter de détecter l’activité des ransomwares après leur exécution (les exécutables des ransomwares s’exécutant activement et chiffrant les données) est une course perdue d’avance. Certaines des variantes de ransomware les plus prolifiques peuvent chiffrer 100 000 fichiers en moins de cinq minutes.

Les tentatives de repérer et de réagir aux changements massifs et soudains des noms de fichiers, etc. seront souvent trop rares et trop tardives.

L’AV / EDR est évidemment conçu pour bloquer les exécutables de ransomware, mais les taux de détection/blocage ne sont pas parfaits. Même s’ils parviennent à bloquer un exécutable, cela ne résout pas le problème de l’accès des attaquants. S’ils échouent une fois, ils essaieront à nouveau.

Les attaquants utilisent aussi régulièrement des outils et des playbooks conçus pour obtenir des privilèges élevés afin de désactiver les outils de sécurité (et les sauvegardes) .

C’est pourquoi le meilleur moment pour détecter et interrompre les attaques est le début, idéalement lorsque vous êtes confronté à des tentatives souvent automatisées d’établir une connexion sur vos systèmes. Il est beaucoup plus facile d’étouffer les attaques dès le départ que de s’y attaquer à l’étape suivante, lorsque vous avez affaire à un véritable pirate humain qui opère avec un manuel et de nombreux outils conçus pour l’aider à cartographier rapidement votre réseau et à le contrôler entièrement.

 

Ainsi, lorsque nous parlons de la détection des ransomwares, une question plus pertinente est plutôt  : « Comment détecter les signes avant-coureurs d’une compromission qui pourrait rapidement aboutir à un ransomware ? »

 

Le mot-clé étant « rapidement » ici. Les rapports montrent qu’à partir de l’accès initial, un ransomware peut être déployé plusieurs jours, voire quelques heures plus tard.

Par exemple, des groupes comme Black Basta et Clop sont connus pour déployer des charges utiles en moins de 4 heures.

Consultez les rapports DFIR « IcedID to XingLocker ransomware in 24 hours” et « Netwalker Ransomware in 1 Hour.”

Avec si peu de temps pour identifier la menace et réagir, il est essentiel de disposer d’outils et de professionnels expérimentés qui surveillent activement les systèmes et sont prêts à réagir (idéalement en tirant parti de l’automatisation).

Quels sont les signes de ransomware et les bonnes opportunités de détection ?

La bonne nouvelle, c’est que même s’il existe de nombreux groupes d’attaquants et de nombreuses variantes, la majorité d’entre eux s’appuient toujours sur des outils et des playbooks courants. Grâce au travail de chercheurs tels que ceux du rapport DFIR et d’autres, les défenseurs peuvent apprendre les TTP (tactiques, techniques et procédures) les plus courantes et élaborer des mécanismes de détection en conséquence.

Vous trouverez ci-dessous une liste des possibilités de détection correspondant aux schémas d’attaque courants des ransomwares (The DFIR Report Year in Review de 2021). Il ne s’agit en aucun cas d’une liste exhaustive, mais elle devrait vous donner de bonnes indications pour commencer.

Si vous utilisez une solution de gestion des terminaux ou un RMM comme NinjaOne, vous pouvez créer des conditions de surveillance et d’alerte pour un grand nombre de ces détections que vous pouvez ensuite facilement déployer sur les terminaux, vous épargnant ainsi, à vous et à votre équipe, du travail manuel. Vous pouvez également élaborer des actions automatisées que vous souhaitez que les alertes déclenchent, comme la réinstallation/le redémarrage automatique des processus antivirus et de la détection et réponse aux menaces sur les terminaux (EDR), s’ils sont identifiés comme manquants/désactivés.

Si vous souhaitez aller plus loin, le DFIR Report a également partagé un grand nombre de règles Sigma extrêmement utiles que vous pouvez utiliser avec Chainsaw, un outil open-source gratuit de F-Secure Labs qui offre un moyen rapide de passer au peigne fin les journaux d’événements et de détecter les signes suspects d’une attaque.

Types de tactiques de ransomware et comment les détecter : options de détection par stade d’attaque

Accès initial

1) Les utilisateurs finaux signalent des e-mails suspects : Ils ne font pas les gros titres comme les vulnérabilités de type « zero-day », mais les e-mails malveillants ordinaires conçus pour inciter les utilisateurs à télécharger et à exécuter des logiciels malveillants continuent d’être l’un des vecteurs d’attaque initiaux les plus courants. Pourquoi ? Parce qu’ils fonctionnent encore.

• Comment détecter les e-mails suspects : Les entreprises doivent former leurs employés à la sécurité et créer une culture dans laquelle ils sont activement encouragés et récompensés pour avoir signalé des e-mails suspects et des erreurs potentielles sans craindre de sanction.

2) Connexions RDP suspectes : L’exposition du RDP est un autre vecteur d’attaque qui peut faire lever les yeux au ciel à certains responsables de l’informatique et de la sécurité, mais qui continue d’être l’un des principaux points de compromission initiale dans les incidents liés aux ransomwares.

• Comment détecter les connexions RDP suspectes : Cet article de NCCGroup explique comment capturer les événements de journal à faible bruit liés aux sessions RDP tentées et réussies. De plus, ce script de l’expert PowerShell Kelvin Tegelaar va plus loin en vérifiant si divers outils d’accès à distance sont installés (Remote Desktop, Teamviewer, Connectwise ScreenConnect, etc.) et en consignant les connexions réussies.

 

Persistance

1) Création suspecte de tâches planifiées : L’un des moyens les plus courants pour les attaquants d’obtenir la persistance sur un système.

• Comment détecter la création de tâches planifiées suspectes : Surveillez ce phénomène et déclenchez une alerte en suivant les ID d’événements Windows 4698 et 4700 ou en utilisant le script PowerShell de Kelvin Tegelaar ici.

2) Logiciel d’accès à distance inattendu : Une autre tactique qui gagne du terrain consiste pour les attaquants à installer des logiciels tiers tels que AnyDesk (de loin le plus populaire), Atera, TeamViewer et Splashtop.

• Comment détecter un logiciel d’accès à distance inattendu : Il s’agit d’outils populaires parmi les MSP, mais si vous n’exploitez aucun d’entre eux, il est judicieux de surveiller régulièrement leur présence et de la signaler. Là encore, le script de Kelvin peut être utilisé (voir le commentaire de Luke Whitlock pour une modification qui surveille AnyDesk).

Vous pouvez également surveiller l’événement Windows ID 7045. 

 

Escalade de privilèges / accès aux identifiants

1) Extraction des informations d’identification LSASS (local security authority subsystem) de Windows : Bien que les attaquants puissent récupérer les informations d’identification d’autres façons, cette méthode est de loin l’une des plus courantes.

• Comment détecter les abus du LSASS : Un bon moyen de surveiller ou de bloquer les tentatives de vol d’identifiants à partir de LSASS est de tirer parti des règles de réduction de la surface d’exposition aux attaques de Microsoft (Windows 10 build 1709 / Windows Server build 1809 ou supérieur requis). Remarque : D’autres règles de réduction de la surface d’exposition aux attaques permettent également de bloquer diverses tentatives courantes d’exécution de code malveillant et d’obtention d’un accès initial (par ex. : blocage des programmes Office pour la création de processus, blocage de JavaScript ou VBScript pour le lancement de contenu exécutable téléchargé, etc.) Jetez un œil à cet article de l’équipe de sécurité de Palantir qui partage son évaluation de l’impact des règles de réduction de la surface d’exposition aux attaques et les paramètres recommandés. De nombreux outils EDR fournissent également des fonctions de blocage et de détection similaires pour protéger les LSASS.

 

Désactivation de la défense

1) Désactivation / désinstallation des antivirus et autres outils de sécurité : Pourquoi s’embêter à contourner les outils de sécurité quand on peut tout simplement les désactiver ?

• Comment détecter la falsification de l’antivirus : Consultez ce script de Kelvin Tegelaar ou, si vous en avez un profitez de votre RMM pour savoir régulièrement si les outils de sécurité sont installés et/ou en cours d’exécution.

 

Découverte

1) Utilisation inattendue d’outils de scan de ports et de découverte réseau : Une fois qu’une connexion a été établie, les attaquants doivent regarder autour d’eux pour voir où ils ont atterri et identifier les meilleures opportunités de mouvement latéral. Beaucoup d’entre eux utiliseront des utilitaires Windows intégrés comme nltest.exe, ipconfig, whoami, etc. ainsi que ADFind. D’autres utiliseront des outils de scan de ports comme Advanced IP Scanner.

• Comment détecter les outil de scan de ports et les outils de reconnaissance suspects : Comme pour les outils d’accès à distance, vous pouvez tester la surveillance de ces outils et créer des alertes et des règles d’automatisation pour les bloquer de manière proactive.

 

Mouvement latéral

1) Utilisation présumée de Cobalt Strike : Cobalt Strike est un « logiciel de simulation d’adversaire » qui est malheureusement devenu aussi populaire auprès des attaquants qu’il l’était auprès de son public cible, les testeurs de pénétration. Il rend un large éventail de tactiques post-exploitation incroyablement faciles à exécuter et apparaît régulièrement comme un outil utilisé à mauvais escient dans les incidents de ransomware.

• Comment détecter Cobalt Strike : De nombreux outils EDR et chercheurs en sécurité ont pour objectif de détecter l’utilisation de Cobalt Strike. Vous trouverez ici une grande collection de ressources pour vous aider à faire de même.

2) Logiciel d’accès à distance inattendu : Voir la section sur l’accès à distance sous « Persistance » ci-dessus.

3) Connexions d’accès à distance suspectes : Cela peut inclure l’utilisation de RDP, SMB, VNC, etc

• Comment détecter les connexions d’accès à distance suspectes : Consultez cette liste d’idées de surveillance de MITRE (ex : création de connexions réseau, accès aux partages réseau, etc.) et explorez les sous-techniques pour obtenir des informations spécifiques sur l’abus de RDP, SMB, VNC, SSH, etc.

4) Utilisation suspecte de PsExec : PsExec est un autre outil intégré de Microsoft dont les attaquants ont commencé à abuser. Il vous permet d’exécuter à distance des commandes ou des scripts en tant que SYSTÈME.

• Comment détecter les abus de PsExec : Sans surprise, Kelvin a aussi un script pour ça. Vous pouvez également trouver ici d’autres identifiants d’événements Windows et des modifications de registre à surveiller.

 

Exfiltration de données

1) Connexions sortantes suspectes et pics de trafic : Afin d’avoir plus d’emprise sur les victimes, il est de plus en plus fréquent que les attaquants ne se contentent pas de chiffrer les données, mais de les exfiltrer d’abord. Cela leur donne la menace supplémentaire de vendre les données ou de les publier.

• Comment détecter l’exfiltration de données : Les indicateurs d’une exfiltration potentielle de données peuvent inclure des pics importants de trafic sortant, des connexions inattendues à des adresses IP publiques, des ports utilisés de façon inhabituelle, des volumes élevés de requêtes DNS, des extensions de fichiers sources suspectes (.rar, .7z, .zip, etc.), etc. La surveillance du réseau et les règles du pare-feu peuvent jouer un rôle important dans ce domaine. Pour plus d’idées, voir la section « Exfiltration » de MITRE ATT&CK.

2) L’utilisation abusive d’outils de transfert de fichiers intégrés ou open source : Les attaquants adorent utiliser des outils par ailleurs légitimes qui peuvent les aider à se fondre dans la masse. Pour l’exfiltration de données, cela inclut Microsoft BITS, curl.exe, Rclone, Mega (MegaSync et MegaCmd), et plus encore.

• Comment détecter une utilisation suspecte du transfert de fichiers : Si les attaquants peuvent se donner la peine de renommer ces programmes, certains ne le font tout simplement pas, de sorte que le blocage et/ou la surveillance et l’alerte concernant leur utilisation constituent un bon point de départ. Pour des idées de détection plus avancées/précis, consultez : détecter Rclone, détecter Mega et Rclone, et MITRE ATT&CK ID T1197.

 

Ajoutez une couche gérable et évolutive de détection des ransomwares

La surveillance active et la création d’alertes sur ce type d’activités peuvent constituer un défi pour les entreprises qui ne disposent pas de ressources spécialisées et formées. Dans de nombreux cas, le partenariat avec les bons experts externalisés peut être la solution.

Pour plus d’exemples d’automatisations que les équipes informatiques peuvent exploiter avec Ninja, consultez « Que devez-vous surveiller avec votre RMM ? 28 Recommandations ».

NinjaOne s’associe également à Bitdefender pour fournir une solution anti-ransomware intégrée dans le cadre de sa plateforme de gestion informatique unifiée (UITO). En incluant NinjaOne + Bitdefender GravityZone + NinjaOne Backup, le pack NinjaOne Protect aide à prévenir, détecter et répondre aux attaques de ransomware, atténuant potentiellement l’impact des ransomwares sur votre entreprise.

Profitez d’un essai gratuit de NinjaOne Protect dès maintenant.