{"id":147154,"date":"2022-06-29T16:28:05","date_gmt":"2022-06-29T16:28:05","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/comment-detecter-un-ransomware\/"},"modified":"2026-03-26T08:56:38","modified_gmt":"2026-03-26T08:56:38","slug":"comment-detecter-un-ransomware","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/fr\/blog\/comment-detecter-un-ransomware\/","title":{"rendered":"Comment d\u00e9tecter les ransomwares\u00a0: 12 \u00e9l\u00e9ments de surveillance et d\u2019alerte \u00e0 automatiser"},"content":{"rendered":"<div class=\"in-context-cta\"><h2 style=\"text-align: left;\">Points cl\u00e9s<\/h2>\n<h3 style=\"text-align: left;\">Comment d\u00e9tecter un ransomware<\/h3>\n<ul style=\"text-align: left;\">\n<li><strong>La d\u00e9tection pr\u00e9coce est essentielle pour stopper les ransomwares\u00a0: <\/strong>la plupart des attaques de ce type prennent une ampleur d\u00e9mesur\u00e9e en quelques heures seulement. Il est essentiel de d\u00e9tecter les premiers signes d&rsquo;acc\u00e8s tels que le phishing, le RDP expos\u00e9 ou les scripts suspects.<\/li>\n<li><strong>Surveillez ces 12\u00a0indicateurs \u00e0 fort impact dans la cha\u00eene d&rsquo;attaque\u00a0: <\/strong>suivez les comportements tels que l&rsquo;acc\u00e8s LSASS, la cr\u00e9ation de t\u00e2ches programm\u00e9es, l&rsquo;alt\u00e9ration de l&rsquo;antivirus, le scan des ports et le trafic sortant inhabituel afin de d\u00e9tecter rapidement les menaces.<\/li>\n<li><strong>Automatisez les alertes avec les outils de gestion des terminaux\u00a0: <\/strong>utilisez des RMM comme NinjaOne pour d\u00e9ployer des scripts de d\u00e9tection, d\u00e9clencher des alertes et automatiser la r\u00e9ponse aux incidents sur tous les terminaux.<\/li>\n<li><strong>La surveillance bas\u00e9e sur le comportement est plus efficace que la d\u00e9tection bas\u00e9e sur la signature : <\/strong>s&rsquo;appuyer uniquement sur un antivirus n&rsquo;est pas suffisant. Surveillez les tactiques des attaquants, comme l&rsquo;utilisation de PsExec ou d&rsquo;outils distants non autoris\u00e9s, pour renforcer la d\u00e9fense.<\/li>\n<\/ul>\n<p style=\"text-align: left;\"><strong>Une protection abordable et \u00e9volutive est possible\u00a0: <\/strong>de nombreuses m\u00e9thodes de d\u00e9tection utilisent des outils gratuits, des journaux d&rsquo;\u00e9v\u00e9nements et des r\u00e8gles open-source, ce qui rend la surveillance efficace des ransomwares accessible aux PME.<\/p>\n<\/div>\n<p>Les <a href=\"https:\/\/en.wikipedia.org\/wiki\/WannaCry_ransomware_attack\" target=\"_blank\" rel=\"noopener\">ransomwares<\/a> sont devenus un probl\u00e8me connu du grand public lors de l&rsquo;attaque <a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-ransomware\/\">WannaCry<\/a> en 2017. Cela para\u00eet d\u00e9j\u00e0 bien loin, mais le probl\u00e8me est toujours d&rsquo;actualit\u00e9. Par exemple : compar\u00e9es aux chiffres effarants cit\u00e9s dans les rapports d&rsquo;aujourd&rsquo;hui, certaines des statistiques li\u00e9es aux ransomwares de 2017 paraissent maintenant ridicules.<\/p>\n<ul>\n<li>Au deuxi\u00e8me trimestre 2017, la demande de ran\u00e7on moyenne estim\u00e9e se <a href=\"https:\/\/www.statista.com\/statistics\/701003\/average-amount-of-ransom-requested-to-msp-clients\/#:~:text=Amount%20of%20ransom%20demanded%20during%20ransomware%20attacks%202017&amp;text=According%20to%20the%20survey%2C%2047,500%20and%202%2C000%20U.S.%20dollars.\" target=\"_blank\" rel=\"noopener\">situait entre 501 et 2\u00a0000\u00a0dollars<\/a>. Selon Coveware, rien qu&rsquo;au premier trimestre 2024,\u00a0 le <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/ransomware-payments-drop-to-record-low-of-28-percent-in-q1-2024\/\" target=\"_blank\" rel=\"noopener\">montant moyen des ran\u00e7ons pay\u00e9es s&rsquo;\u00e9levait \u00e0 381\u00a0980\u00a0dollars<\/a>.<\/li>\n<li>En 2017, Cybersecurity Ventures a estim\u00e9 que le co\u00fbt total des dommages caus\u00e9s par les ransomwares <a href=\"https:\/\/cybersecurityventures.com\/ransomware-damage-report-2017-5-billion\/\" target=\"_blank\" rel=\"noopener\">atteindrait 5\u00a0milliards de dollars pour l&rsquo;ann\u00e9e<\/a>. Leurs rapports en 2025 pr\u00e9voyaient <a href=\"https:\/\/cybersecurityventures.com\/global-ransomware-damage-costs-predicted-to-reach-250-billion-usd-by-2031\/\" target=\"_blank\" rel=\"noopener\">des co\u00fbts annuels totaux qui pourraient atteindre 57\u00a0milliards de dollars.<\/a><\/li>\n<\/ul>\n<p>Beaucoup de choses ont \u00e9videmment chang\u00e9, et avec des milliards de dollars en jeu, dire que les attaques de ransomware d&rsquo;aujourd&rsquo;hui ont m\u00fbri et \u00e9volu\u00e9 est un euph\u00e9misme.<\/p>\n<p>Comme le dit le chercheur en s\u00e9curit\u00e9 Kevin Beaumont dans un article de blog que tout le monde devrait lire\u00a0:<\/p>\n<blockquote><p><strong>\u00ab\u00a0Un groupe de ransomware <a href=\"https:\/\/www.bloomberg.com\/news\/articles\/2021-05-20\/cna-financial-paid-40-million-in-ransom-after-march-cyberattack\" target=\"_blank\" rel=\"noopener\">recevant un paiement de 40\u00a0millions de dollars pour avoir attaqu\u00e9 une compagnie d&rsquo;assurance en cybers\u00e9curit\u00e9<\/a> donne aux attaquants un budget plus important pour lancer une cyberattaque que le budget total de la plupart des moyennes et grandes entreprises pour se d\u00e9fendre contre les attaques.\u00a0\u00bb<\/strong><\/p>\n<p>&#8211; Kevin Beaumont, \u00ab\u00a0<a href=\"https:\/\/doublepulsar.com\/the-hard-truth-about-ransomware-we-arent-prepared-it-s-a-battle-with-new-rules-and-it-hasn-t-a93ad3030a54\" target=\"_blank\" rel=\"noopener\">Toute la v\u00e9rit\u00e9 sur les ransomware<\/a>\u00a0\u00bb (en anglais)<\/p><\/blockquote>\n<p>&nbsp;<\/p>\n<p>C&rsquo;est un constat qui donne \u00e0 r\u00e9fl\u00e9chir, mais de se dire que d\u00e9cid\u00e9ment, c&rsquo;\u00e9tait mieux en 2017, il convient \u00e9galement de consid\u00e9rer que, si nous avons vu les choses changer au cours des huit derni\u00e8res ann\u00e9es, tout n&rsquo;a pas non plus empir\u00e9.<\/p>\n<p>Oui, les attaques par ransomwares ont explos\u00e9, et bien s\u00fbr, les attaquants ont amass\u00e9 d&rsquo;\u00e9normes moyens financier pour acheter des zero-day et <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-30-introduces-the-first-ransomware-bug-bounty-program\/\" target=\"_blank\" rel=\"noopener\">lancer des programmes de primes pour la d\u00e9couverte de bugs<\/a>. Mais la v\u00e9rit\u00e9 est que, malgr\u00e9 tout cela, la majorit\u00e9 d&rsquo;entre eux continuent \u00e0 cibler les proies faciles. Pourquoi faire dans la sophistication quand les pi\u00e8ges qui font encore le plus mouche sont les plus simples\u00a0?<\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Colonial Pipeline\u00a0? <\/span><a href=\"https:\/\/www.crn.com\/news\/security\/colonial-pipeline-hacked-via-inactive-account-without-mfa\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Pirat\u00e9 via un compte inactif sans MFA.<\/span><\/a><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Les services de sant\u00e9 irlandais\u00a0? <\/span><a href=\"https:\/\/www.hse.ie\/eng\/services\/publications\/conti-cyber-attack-on-the-hse-full-report.pdf\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Document Excel malveillant.<\/span><\/a><span style=\"font-weight: 400;\">\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">L&rsquo;acc\u00e8s pendant 5\u00a0mois \u00e0 une agence gouvernementale am\u00e9ricaine par le groupe du ransomware LockBit\u00a0? <\/span><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">RDP compromis.<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\">L&rsquo;attaque par ransomware de 50 millions de dollars contre le g\u00e9ant du PC, Acer\u00a0? <a href=\"https:\/\/www.crn.com\/news\/security\/revil-ransomware-targets-acer-s-microsoft-exchange-server-source\" target=\"_blank\" rel=\"noopener\">Vuln\u00e9rabilit\u00e9 de Microsoft Exchange non corrig\u00e9e.<\/a><\/li>\n<\/ul>\n<p>Oui, la pr\u00e9vention est difficile pour les entreprises \u00e0 l&rsquo;heure actuelle, mais elle l&rsquo;a toujours \u00e9t\u00e9, et il n&rsquo;est pas dit qu&rsquo;elle soit <em>exponentiellement plus<\/em> difficile aujourd&rsquo;hui qu&rsquo;elle ne l&rsquo;\u00e9tait en 2017. En r\u00e9alit\u00e9, des bases solides et un renforcement basique des terminaux peuvent permettre aux PME de faire un grand pas en avant.<\/p>\n<p>M\u00eame quand on parle de d\u00e9tection, comme dans cet article. Le principe est toujours valide. La plupart des entreprises auront toujours besoin de ressources d\u00e9di\u00e9es (en interne ou externalis\u00e9es) pour d\u00e9ployer et surveiller activement les possibilit\u00e9s de d\u00e9tection que nous allons aborder ici, mais la barri\u00e8re \u00e0 l&rsquo;entr\u00e9e n&rsquo;est pas n\u00e9cessairement aussi \u00e9lev\u00e9e que certains vendeurs de produits de s\u00e9curit\u00e9 pourraient le laisser croire.<\/p>\n<p>Un exemple concret\u00a0: Voici 12 bonnes id\u00e9es de base pour la d\u00e9tection des ransomwares, qui peuvent vous permettre d&rsquo;obtenir des r\u00e9sultats sans faire un trou dans votre budget.<\/p>\n<p>Regardons \u00e7a de plus pr\u00e8s.<\/p>\n<p>Si vous pr\u00e9f\u00e9rez une vue d&rsquo;ensemble visuelle, il existe \u00e9galement une version vid\u00e9o <a href=\"https:\/\/www.ninjaone.com\/videos\/security\/how-to-detect-ransomware-monitoring-and-alerting\/\">Comment d\u00e9tecter les ransomwares\u00a0: surveillance et alerte.<\/a><\/p>\n<h2>Comment d\u00e9tecter les ransomwares\u00a0?<\/h2>\n<p>Tout d&rsquo;abord, convenons que tenter de d\u00e9tecter l&rsquo;activit\u00e9 des ransomwares apr\u00e8s leur ex\u00e9cution (les ex\u00e9cutables des ransomwares s&rsquo;ex\u00e9cutant activement et chiffrant les donn\u00e9es) est une course perdue d&rsquo;avance. Certaines des variantes de ransomware les plus prolifiques peuvent <a href=\"https:\/\/www.zdnet.com\/article\/this-is-how-fast-a-ransomware-attack-encrypts-all-your-files\/\" target=\"_blank\" rel=\"noopener\">chiffrer 100\u00a0000 fichiers en moins de cinq\u00a0minutes<\/a>.<\/p>\n<p>Les tentatives de rep\u00e9rer et de r\u00e9agir aux changements massifs et soudains des noms de fichiers, etc. seront souvent trop rares et trop tardives.<\/p>\n<p>L&rsquo;AV \/ EDR est \u00e9videmment con\u00e7u pour bloquer les ex\u00e9cutables de ransomware, mais les taux de d\u00e9tection\/blocage ne sont pas parfaits. M\u00eame s&rsquo;ils parviennent \u00e0 bloquer un ex\u00e9cutable, cela ne r\u00e9sout pas le probl\u00e8me de l&rsquo;acc\u00e8s des attaquants. S&rsquo;ils \u00e9chouent une fois, ils essaieront \u00e0 nouveau.<\/p>\n<p>Les attaquants utilisent aussi r\u00e9guli\u00e8rement des outils et des playbooks con\u00e7us pour obtenir des privil\u00e8ges \u00e9lev\u00e9s afin de d\u00e9sactiver les outils de s\u00e9curit\u00e9 (et les sauvegardes)\u00a0.<\/p>\n<p>C&rsquo;est pourquoi le meilleur moment pour d\u00e9tecter et interrompre les attaques est le d\u00e9but, id\u00e9alement lorsque vous \u00eates confront\u00e9 \u00e0 des tentatives souvent automatis\u00e9es d&rsquo;\u00e9tablir une connexion sur vos syst\u00e8mes. Il est beaucoup plus facile d&rsquo;\u00e9touffer les attaques d\u00e8s le d\u00e9part que de s&rsquo;y attaquer \u00e0 l&rsquo;\u00e9tape suivante, lorsque vous avez affaire \u00e0 un v\u00e9ritable pirate humain qui op\u00e8re avec un manuel et de nombreux outils con\u00e7us pour l&rsquo;aider \u00e0 cartographier rapidement votre r\u00e9seau et \u00e0 le contr\u00f4ler enti\u00e8rement.<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><strong>Ainsi, lorsque nous parlons de la d\u00e9tection des ransomwares, une question plus pertinente est plut\u00f4t \u00a0: \u00ab\u00a0Comment d\u00e9tecter les <em>signes avant-coureurs d&rsquo;une compromission<\/em> qui pourrait rapidement <em>aboutir \u00e0<\/em> un ransomware\u00a0?\u00a0\u00bb<\/strong><\/p><\/blockquote>\n<p>&nbsp;<\/p>\n<p>Le mot-cl\u00e9 \u00e9tant \u00ab\u00a0rapidement\u00a0\u00bb ici. Les rapports montrent qu&rsquo;\u00e0 partir de l&rsquo;acc\u00e8s initial, un ransomware peut \u00eatre d\u00e9ploy\u00e9 plusieurs jours, voire quelques heures plus tard.<\/p>\n<p>Par exemple, des groupes comme Black Basta et Clop sont connus pour d\u00e9ployer des charges utiles en moins de 4\u00a0heures.<\/p>\n<p>Consultez les rapports DFIR \u00ab\u00a0<a href=\"https:\/\/thedfirreport.com\/2021\/10\/18\/icedid-to-xinglocker-ransomware-in-24-hours\/\" target=\"_blank\" rel=\"noopener\">IcedID to XingLocker ransomware in 24 hours<\/a>\u201d et \u00ab\u00a0<a href=\"https:\/\/thedfirreport.com\/2020\/08\/31\/netwalker-ransomware-in-1-hour\/\" target=\"_blank\" rel=\"noopener\">Netwalker Ransomware in 1 Hour<\/a>.\u201d<\/p>\n<p>Avec si peu de temps pour identifier la menace et r\u00e9agir, il est essentiel de disposer d&rsquo;outils et de professionnels exp\u00e9riment\u00e9s qui surveillent activement les syst\u00e8mes et sont pr\u00eats \u00e0 r\u00e9agir (id\u00e9alement en tirant parti de l&rsquo;automatisation).<\/p>\n<h2>Quels sont les signes de ransomware et les bonnes opportunit\u00e9s de d\u00e9tection\u00a0?<\/h2>\n<p>La bonne nouvelle, c&rsquo;est que m\u00eame s&rsquo;il existe de nombreux groupes d&rsquo;attaquants et de nombreuses variantes, la majorit\u00e9 d&rsquo;entre eux s&rsquo;appuient toujours sur des outils et des playbooks courants. Gr\u00e2ce au travail de chercheurs tels que ceux du <a href=\"https:\/\/thedfirreport.com\/\" target=\"_blank\" rel=\"noopener\">rapport DFIR<\/a> et d&rsquo;autres, les d\u00e9fenseurs peuvent apprendre les TTP (tactiques, techniques et proc\u00e9dures) les plus courantes et \u00e9laborer des m\u00e9canismes de d\u00e9tection en cons\u00e9quence.<\/p>\n<p>Vous trouverez ci-dessous une liste des possibilit\u00e9s de d\u00e9tection correspondant aux sch\u00e9mas d&rsquo;attaque courants des ransomwares (<a href=\"https:\/\/thedfirreport.com\/2022\/03\/07\/2021-year-in-review\/\" target=\"_blank\" rel=\"noopener\">The DFIR Report Year in Review<\/a> de 2021). Il ne s&rsquo;agit en aucun cas d&rsquo;une liste exhaustive, mais elle devrait vous donner de bonnes indications pour commencer.<\/p>\n<p>Si vous utilisez une <a href=\"https:\/\/www.ninjaone.com\/fr\/plateforme-de-gestion-de-terminaux\/\">solution de gestion des terminaux<\/a> ou un <a href=\"https:\/\/www.ninjaone.com\/fr\/rmm\/\">RMM<\/a> comme NinjaOne, vous pouvez cr\u00e9er des conditions de surveillance et d&rsquo;alerte pour un grand nombre de ces d\u00e9tections que vous pouvez ensuite facilement d\u00e9ployer sur les terminaux, vous \u00e9pargnant ainsi, \u00e0 vous et \u00e0 votre \u00e9quipe, du travail manuel. Vous pouvez \u00e9galement \u00e9laborer des actions automatis\u00e9es que vous souhaitez que les alertes d\u00e9clenchent, comme la r\u00e9installation\/le red\u00e9marrage automatique des processus antivirus et de la d\u00e9tection et r\u00e9ponse aux menaces sur les terminaux (EDR), s&rsquo;ils sont identifi\u00e9s comme manquants\/d\u00e9sactiv\u00e9s.<\/p>\n<p>Si vous souhaitez aller plus loin, le DFIR Report a \u00e9galement partag\u00e9 <a href=\"https:\/\/thedfirreport.com\/2022\/06\/16\/sans-ransomware-summit-2022-can-you-detect-this\/\" target=\"_blank\" rel=\"noopener\">un grand nombre de r\u00e8gles Sigma extr\u00eamement utiles<\/a> que vous pouvez utiliser avec <a href=\"https:\/\/labs.f-secure.com\/tools\/chainsaw\/\" target=\"_blank\" rel=\"noopener\">Chainsaw, un outil open-source gratuit de F-Secure Labs<\/a> qui offre un moyen rapide de passer au peigne fin les journaux d&rsquo;\u00e9v\u00e9nements et de d\u00e9tecter les signes suspects d&rsquo;une attaque.<\/p>\n<div class=\"in-context-cta\"><p><strong><a href=\"https:\/\/www.ninjaone.com\/fr\/resource\/check-list-de-durcissement-des-terminaux\/\">\u2192 T\u00e9l\u00e9chargement gratuit\u00a0: Check-list pour le durcissement des terminaux<\/a><\/strong><\/p>\n<\/div>\n<h2>Types de tactiques de ransomware et comment les d\u00e9tecter\u00a0: options de d\u00e9tection par stade d&rsquo;attaque<\/h2>\n<h3>Acc\u00e8s initial<\/h3>\n<p><strong>1) Les utilisateurs finaux signalent des e-mails suspects :<\/strong> Ils ne font pas les gros titres comme les vuln\u00e9rabilit\u00e9s de type \u00ab\u00a0zero-day\u00a0\u00bb, mais les e-mails malveillants ordinaires con\u00e7us pour inciter les utilisateurs \u00e0 t\u00e9l\u00e9charger et \u00e0 ex\u00e9cuter des <a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-malware-as-a-service\/\">logiciels malveillants<\/a> continuent d&rsquo;\u00eatre <a href=\"https:\/\/www.coveware.com\/blog\/2022\/5\/3\/ransomware-threat-actors-pivot-from-big-game-to-big-shame-hunting\" target=\"_blank\" rel=\"noopener\">l&rsquo;un des vecteurs d&rsquo;attaque initiaux les plus courants.<\/a> Pourquoi\u00a0? Parce qu&rsquo;ils fonctionnent encore.<\/p>\n<ul>\n<li><strong>Comment d\u00e9tecter les e-mails suspects\u00a0:<\/strong> Les entreprises doivent former leurs employ\u00e9s \u00e0 la s\u00e9curit\u00e9 et cr\u00e9er une culture dans laquelle ils sont activement encourag\u00e9s et r\u00e9compens\u00e9s pour avoir signal\u00e9 des e-mails suspects et des erreurs potentielles sans craindre de sanction.<\/li>\n<\/ul>\n<p><strong>2) Connexions RDP suspectes\u00a0:<\/strong> L&rsquo;exposition du <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/qu-est-ce-que-le-protocole-rdp-remote-desktop-protocol\/\">RDP<\/a> est un autre vecteur d&rsquo;attaque qui peut faire lever les yeux au ciel \u00e0 certains responsables de l&rsquo;informatique et de la s\u00e9curit\u00e9, mais qui continue d&rsquo;\u00eatre l&rsquo;un des principaux points de compromission initiale dans les incidents li\u00e9s aux ransomwares.<\/p>\n<ul>\n<li><strong>Comment d\u00e9tecter les connexions RDP suspectes\u00a0:<\/strong> Cet article de NCCGroup explique <a href=\"https:\/\/research.nccgroup.com\/2021\/10\/21\/detecting-and-protecting-when-remote-desktop-protocol-rdp-is-open-to-the-internet\/\" target=\"_blank\" rel=\"noopener\">comment capturer les \u00e9v\u00e9nements de journal \u00e0 faible bruit<\/a> li\u00e9s aux sessions RDP tent\u00e9es et r\u00e9ussies. De plus, <a href=\"https:\/\/www.cyberdrain.com\/documenting-with-powershell-documenting-remote-access\/\" target=\"_blank\" rel=\"noopener\">ce script de l&rsquo;expert PowerShell Kelvin Tegelaar<\/a> va plus loin en v\u00e9rifiant si divers outils d&rsquo;acc\u00e8s \u00e0 distance sont install\u00e9s (Remote Desktop, Teamviewer, Connectwise ScreenConnect, etc.) et en consignant les connexions r\u00e9ussies.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Persistance<\/h3>\n<p><strong>1) Cr\u00e9ation suspecte de t\u00e2ches planifi\u00e9es<\/strong>\u00a0: L&rsquo;un des moyens les plus courants pour les attaquants d&rsquo;obtenir la persistance sur un syst\u00e8me.<\/p>\n<ul>\n<li><strong>Comment d\u00e9tecter la cr\u00e9ation de t\u00e2ches planifi\u00e9es suspectes\u00a0:<\/strong> Surveillez ce ph\u00e9nom\u00e8ne et d\u00e9clenchez une alerte en suivant les ID d&rsquo;\u00e9v\u00e9nements Windows 4698 et 4700 ou en <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-chapter-3-monitoring-creation-of-scheduled-tasks\/\" target=\"_blank\" rel=\"noopener\">utilisant le script PowerShell de Kelvin Tegelaar ici<\/a>.<\/li>\n<\/ul>\n<p><strong>2) Logiciel d&rsquo;acc\u00e8s \u00e0 distance inattendu\u00a0:<\/strong> Une autre tactique qui gagne du terrain consiste pour les attaquants \u00e0 installer des logiciels tiers tels que AnyDesk (de loin le plus populaire), Atera, TeamViewer et Splashtop.<\/p>\n<ul>\n<li><strong>Comment d\u00e9tecter un logiciel d&rsquo;acc\u00e8s \u00e0 distance inattendu\u00a0:<\/strong> Il s&rsquo;agit d&rsquo;outils populaires parmi les MSP, mais si vous n&rsquo;exploitez aucun d&rsquo;entre eux, il est judicieux de surveiller r\u00e9guli\u00e8rement leur pr\u00e9sence et de la signaler. L\u00e0 encore, le script de Kelvin peut \u00eatre utilis\u00e9 (voir le commentaire de Luke Whitlock\u00a0pour une modification qui surveille AnyDesk).<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Vous pouvez \u00e9galement surveiller l&rsquo;\u00e9v\u00e9nement Windows ID 7045.\u00a0 <\/span><\/p>\n<p>&nbsp;<\/p>\n<h3>Escalade de privil\u00e8ges \/ acc\u00e8s aux identifiants<\/h3>\n<p><strong>1) Extraction des informations d&rsquo;identification LSASS (local security authority subsystem) de Windows\u00a0:<\/strong> Bien que les attaquants puissent r\u00e9cup\u00e9rer les informations d&rsquo;identification d&rsquo;autres fa\u00e7ons, cette m\u00e9thode est de loin l&rsquo;une des plus courantes.<\/p>\n<ul>\n<li><strong>Comment d\u00e9tecter les abus du LSASS\u00a0:<\/strong> Un bon moyen de surveiller ou de bloquer les tentatives de vol d&rsquo;identifiants \u00e0 partir de LSASS est de tirer parti des <a href=\"https:\/\/docs.microsoft.com\/en-us\/microsoft-365\/security\/defender-endpoint\/attack-surface-reduction-rules-reference?view=o365-worldwide#block-credential-stealing-from-the-windows-local-security-authority-subsystem\" target=\"_blank\" rel=\"noopener\">r\u00e8gles de r\u00e9duction de la surface d&rsquo;exposition aux attaques de Microsoft<\/a> (Windows 10 build 1709 \/ Windows Server build 1809 ou sup\u00e9rieur requis). Remarque : D&rsquo;autres r\u00e8gles de r\u00e9duction de la surface d&rsquo;exposition aux attaques permettent \u00e9galement de bloquer diverses tentatives courantes d&rsquo;ex\u00e9cution de code malveillant et d&rsquo;obtention d&rsquo;un acc\u00e8s initial (par ex.\u00a0: blocage des programmes Office pour la cr\u00e9ation de processus, blocage de JavaScript ou VBScript pour le lancement de contenu ex\u00e9cutable t\u00e9l\u00e9charg\u00e9, etc.) Jetez un \u0153il \u00e0 cet article de l&rsquo;\u00e9quipe de s\u00e9curit\u00e9 de Palantir qui partage son <a href=\"https:\/\/blog.palantir.com\/microsoft-defender-attack-surface-reduction-recommendations-a5c7d41c3cf8\" target=\"_blank\" rel=\"noopener\">\u00e9valuation de l&rsquo;impact des r\u00e8gles de r\u00e9duction de la surface d&rsquo;exposition aux attaques et les param\u00e8tres recommand\u00e9s<\/a>. De nombreux outils EDR fournissent \u00e9galement des fonctions de blocage et de d\u00e9tection similaires pour prot\u00e9ger les LSASS.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>D\u00e9sactivation de la d\u00e9fense<\/h3>\n<p><b>1) D\u00e9sactivation \/ d\u00e9sinstallation des antivirus et autres outils de s\u00e9curit\u00e9\u00a0:<\/b><span style=\"font-weight: 400;\"> Pourquoi s&#8217;emb\u00eater \u00e0 contourner les outils de s\u00e9curit\u00e9 quand on peut tout simplement les d\u00e9sactiver\u00a0?<\/span><\/p>\n<ul>\n<li><b>Comment d\u00e9tecter la falsification de l&rsquo;antivirus\u00a0:\u00a0<\/b><a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-chapter-2-anti-virus-installation-status\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Consultez ce script de Kelvin Tegelaar<\/span><\/a><span style=\"font-weight: 400;\"> ou, si vous en avez un<\/span><a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/28-recommandations-surveillance\/\"> <span style=\"font-weight: 400;\">profitez de votre RMM<\/span><\/a><span style=\"font-weight: 400;\"> pour savoir r\u00e9guli\u00e8rement si les outils de s\u00e9curit\u00e9 sont install\u00e9s et\/ou en cours d&rsquo;ex\u00e9cution.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>D\u00e9couverte<\/h3>\n<p><b>1) Utilisation inattendue d&rsquo;outils de scan de ports et de <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/qu-est-ce-que-la-decouverte-reseau\/\">d\u00e9couverte r\u00e9seau<\/a>\u00a0: <\/b><span style=\"font-weight: 400;\">Une fois qu&rsquo;une connexion a \u00e9t\u00e9 \u00e9tablie, les attaquants doivent regarder autour d&rsquo;eux pour voir o\u00f9 ils ont atterri et identifier les meilleures opportunit\u00e9s de mouvement lat\u00e9ral. Beaucoup d&rsquo;entre eux utiliseront des utilitaires Windows int\u00e9gr\u00e9s comme nltest.exe, ipconfig, whoami, etc. ainsi que ADFind. D&rsquo;autres utiliseront des outils de scan de ports comme Advanced IP Scanner.<\/span><\/p>\n<ul>\n<li><strong>Comment d\u00e9tecter les outil de scan de ports et les outils de reconnaissance suspects\u00a0:<\/strong> Comme pour les outils d&rsquo;acc\u00e8s \u00e0 distance, vous pouvez tester la surveillance de ces outils et cr\u00e9er des alertes et des r\u00e8gles d&rsquo;automatisation pour les bloquer de mani\u00e8re proactive.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Mouvement lat\u00e9ral<\/h3>\n<p><b>1) Utilisation pr\u00e9sum\u00e9e de Cobalt Strike\u00a0: <\/b><span style=\"font-weight: 400;\">Cobalt Strike est un \u00ab\u00a0logiciel de simulation d&rsquo;adversaire\u00a0\u00bb qui est malheureusement devenu aussi populaire aupr\u00e8s des attaquants qu&rsquo;il l&rsquo;\u00e9tait aupr\u00e8s de son public cible, les testeurs de p\u00e9n\u00e9tration. Il rend un large \u00e9ventail de tactiques post-exploitation incroyablement faciles \u00e0 ex\u00e9cuter et appara\u00eet r\u00e9guli\u00e8rement comme un outil utilis\u00e9 \u00e0 mauvais escient dans les incidents de ransomware.<\/span><\/p>\n<ul>\n<li><strong>Comment d\u00e9tecter Cobalt Strike\u00a0:<\/strong> De nombreux outils EDR et chercheurs en s\u00e9curit\u00e9 ont pour objectif de d\u00e9tecter l&rsquo;utilisation de Cobalt Strike. <a href=\"https:\/\/github.com\/MichaelKoczwara\/Awesome-CobaltStrike-Defence\" target=\"_blank\" rel=\"noopener\">Vous trouverez ici une grande collection de ressources pour vous aider \u00e0 faire de m\u00eame<\/a>.<\/li>\n<\/ul>\n<p><b>2) Logiciel d&rsquo;acc\u00e8s \u00e0 distance inattendu\u00a0: <\/b><span style=\"font-weight: 400;\">Voir la section sur l&rsquo;acc\u00e8s \u00e0 distance sous \u00ab\u00a0Persistance\u00a0\u00bb ci-dessus.<\/span><\/p>\n<p><b>3) Connexions d&rsquo;acc\u00e8s \u00e0 distance suspectes\u00a0:<\/b><span style=\"font-weight: 400;\"> Cela peut inclure l&rsquo;utilisation de RDP, SMB, VNC, etc <\/span><\/p>\n<ul>\n<li><strong>Comment d\u00e9tecter les connexions d&rsquo;acc\u00e8s \u00e0 distance suspectes\u00a0:<\/strong> Consultez cette <a href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/\" target=\"_blank\" rel=\"noopener\">liste d&rsquo;id\u00e9es de surveillance de MITRE<\/a> (ex : cr\u00e9ation de connexions r\u00e9seau, acc\u00e8s aux <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/supprimer-un-partage-reseau-sous-windows\/\">partages r\u00e9seau<\/a>, etc.) et explorez les sous-techniques pour obtenir des informations sp\u00e9cifiques sur l&rsquo;abus de RDP, SMB, VNC, SSH, etc.<\/li>\n<\/ul>\n<p><b>4) Utilisation suspecte de PsExec\u00a0: <\/b><span style=\"font-weight: 400;\">PsExec est un autre outil int\u00e9gr\u00e9 de Microsoft dont les attaquants ont commenc\u00e9 \u00e0 abuser. Il vous permet d&rsquo;ex\u00e9cuter \u00e0 distance des commandes ou des scripts en tant que SYST\u00c8ME.<\/span><\/p>\n<ul>\n<li><strong>Comment d\u00e9tecter les abus de PsExec\u00a0:<\/strong> Sans surprise, <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-monitoring-psexec-execution\/\" target=\"_blank\" rel=\"noopener\">Kelvin a aussi un script pour \u00e7a<\/a>. Vous pouvez \u00e9galement trouver <a href=\"https:\/\/www.praetorian.com\/blog\/threat-hunting-how-to-detect-psexec\/\" target=\"_blank\" rel=\"noopener\">ici d&rsquo;autres identifiants d&rsquo;\u00e9v\u00e9nements Windows et des modifications de registre \u00e0 surveiller<\/a>.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Exfiltration de donn\u00e9es<\/h3>\n<p><b>1) Connexions sortantes suspectes et pics de trafic\u00a0:<\/b><span style=\"font-weight: 400;\"> Afin d&rsquo;avoir plus d&#8217;emprise sur les victimes, il est de plus en plus fr\u00e9quent que les attaquants ne se contentent pas de chiffrer les donn\u00e9es, mais de les exfiltrer d&rsquo;abord. Cela leur donne la menace suppl\u00e9mentaire de vendre les donn\u00e9es ou de les publier. <\/span><\/p>\n<ul>\n<li><strong>Comment d\u00e9tecter l&rsquo;exfiltration de donn\u00e9es\u00a0:<\/strong> Les indicateurs d&rsquo;une exfiltration potentielle de donn\u00e9es peuvent inclure des pics importants de trafic sortant, des connexions inattendues \u00e0 des adresses IP publiques, des ports utilis\u00e9s de fa\u00e7on inhabituelle, des volumes \u00e9lev\u00e9s de requ\u00eates DNS, des extensions de fichiers sources suspectes (.rar, .7z, .zip, etc.), etc. La surveillance du r\u00e9seau et les r\u00e8gles du pare-feu peuvent jouer un r\u00f4le important dans ce domaine. Pour plus d&rsquo;id\u00e9es, voir la <a href=\"https:\/\/attack.mitre.org\/tactics\/TA0010\/\" target=\"_blank\" rel=\"noopener\">section \u00ab\u00a0Exfiltration\u00a0\u00bb de MITRE ATT&amp;CK<\/a>.<\/li>\n<\/ul>\n<p><b>2) L&rsquo;utilisation abusive d&rsquo;outils de transfert de fichiers int\u00e9gr\u00e9s ou open source\u00a0:<\/b><span style=\"font-weight: 400;\"> Les attaquants adorent utiliser des outils par ailleurs l\u00e9gitimes qui peuvent les aider \u00e0 se fondre dans la masse. Pour l&rsquo;exfiltration de donn\u00e9es, cela inclut Microsoft BITS, curl.exe, Rclone, Mega (MegaSync et MegaCmd), et plus encore.<\/span><\/p>\n<ul>\n<li><strong>Comment d\u00e9tecter une utilisation suspecte du transfert de fichiers\u00a0:<\/strong> Si les attaquants peuvent se donner la peine de renommer ces programmes, certains ne le font tout simplement pas, de sorte que le blocage et\/ou la surveillance et l&rsquo;alerte concernant leur utilisation constituent un bon point de d\u00e9part. Pour des id\u00e9es de d\u00e9tection plus avanc\u00e9es\/pr\u00e9cis, consultez\u00a0: <a href=\"https:\/\/research.nccgroup.com\/2021\/05\/27\/detecting-rclone-an-effective-tool-for-exfiltration\/\" target=\"_blank\" rel=\"noopener\">d\u00e9tecter Rclone<\/a>, <a href=\"https:\/\/redcanary.com\/blog\/rclone-mega-extortion\/\" target=\"_blank\" rel=\"noopener\">d\u00e9tecter Mega et Rclone<\/a>, et <a href=\"https:\/\/attack.mitre.org\/techniques\/T1197\/\" target=\"_blank\" rel=\"noopener\">MITRE ATT&amp;CK ID T1197<\/a>.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2>Ajoutez une couche g\u00e9rable et \u00e9volutive de d\u00e9tection des ransomwares<\/h2>\n<p><span style=\"font-weight: 400;\">La surveillance active et la cr\u00e9ation d&rsquo;alertes sur ce type d&rsquo;activit\u00e9s peuvent constituer un d\u00e9fi pour les entreprises qui ne disposent pas de ressources sp\u00e9cialis\u00e9es et form\u00e9es. Dans de nombreux cas, le partenariat avec les bons experts externalis\u00e9s peut \u00eatre la solution. <\/span><\/p>\n<p><span style=\"font-weight: 400;\">Pour plus d&rsquo;exemples d&rsquo;automatisations que les \u00e9quipes informatiques peuvent exploiter avec Ninja, consultez <\/span><a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/28-recommandations-surveillance\/\"><span style=\"font-weight: 400;\">\u00ab\u00a0Que devez-vous surveiller avec votre RMM\u00a0? 28 Recommandations\u00a0\u00bb.<\/span><\/a><\/p>\n<p><span style=\"font-weight: 400;\">NinjaOne s&rsquo;associe \u00e9galement \u00e0 Bitdefender pour fournir une solution anti-ransomware int\u00e9gr\u00e9e dans le cadre de sa plateforme de gestion informatique unifi\u00e9e (UITO). En incluant<\/span><span style=\"font-weight: 400;\"> NinjaOne + Bitdefender GravityZone + NinjaOne Backup, le pack <a href=\"https:\/\/www.ninjaone.com\/fr\/solution-anti-ransomwares\/\">NinjaOne Protect<\/a> aide \u00e0 pr\u00e9venir, d\u00e9tecter et r\u00e9pondre aux attaques de ransomware, att\u00e9nuant potentiellement l&rsquo;impact des ransomwares sur votre entreprise. <\/span><\/p>\n<p><span style=\"font-weight: 400;\">Profitez d&rsquo;un <\/span><a href=\"https:\/\/www.ninjaone.com\/fr\/phase-de-test-gratuit\/\"><span style=\"font-weight: 400;\">essai gratuit<\/span><\/a><span style=\"font-weight: 400;\"> de NinjaOne Protect d\u00e8s maintenant. <\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les ransomwares sont devenus un probl\u00e8me connu du grand public lors de l&rsquo;attaque WannaCry en 2017. Cela para\u00eet d\u00e9j\u00e0 bien loin, mais le probl\u00e8me est toujours d&rsquo;actualit\u00e9. Par exemple : compar\u00e9es aux chiffres effarants cit\u00e9s dans les rapports d&rsquo;aujourd&rsquo;hui, certaines des statistiques li\u00e9es aux ransomwares de 2017 paraissent maintenant ridicules. Au deuxi\u00e8me trimestre 2017, la [&hellip;]<\/p>\n","protected":false},"author":28,"featured_media":260702,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4369],"tags":[],"class_list":["post-147154","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite"],"acf":[],"modified_by":"Laurie Mouret","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/147154","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/comments?post=147154"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/147154\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media\/260702"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media?parent=147154"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/categories?post=147154"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/tags?post=147154"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}