#74 Ransomware: Préparez-vous et ne paniquez pas.
Subscribe to get the latest
on Wed Jan 26 2022 16:00:00 GMT-0800 (Pacific Standard Time)
with Darren W Pulsipher, Stephanie Sabatini,
Darren Pulsipher, Architecte principal des solutions d'Intel, s'entretient avec Stephanie Sabatini, Directrice principale des services professionnels de Hitachi Systems Security, sur la prévention et la préparation des attaques de ransomware, ainsi que sur les mesures à prendre si votre organisation est attaquée.
Keywords
Bien que pour la plupart des organisations, une attaque de ransomware commence par une demande de rançon quelconque, l’histoire complète est généralement en préparation depuis plusieurs mois.
La demande de rançon survient après que les attaquants ont encrypté des informations à partir de systèmes compromis et les ont bloqués, ou après qu’ils ont volé des informations sensibles et menacent maintenant de les rendre publiques. Dans les deux cas, ils demandent une somme d’argent pour empêcher la divulgation ou rétablir les informations.
Le montant d’argent peut être ciblé car les attaquants connaissent les capacités financières de l’entreprise, et ils demanderont une somme massive. Les attaques moins ciblées demanderont un montant aléatoire et espéreront obtenir un résultat. De plus en plus, cependant, les attaques sont sophistiquées et les attaquants ont fait leurs devoirs. Ils peuvent avoir obtenu une traction significative, se déplaçant latéralement à travers l’environnement et compromettant plusieurs domaines. Ils savent que cela coûtera une énorme somme à l’organisation pour rétablir leurs services, donc ils peuvent demander davantage.
Mais avant que les attaquants ne réclament la rançon, ils ont été présents dans le système pendant un certain temps, en moyenne un peu moins de 300 jours, jusqu’à ce qu’ils exécutent pleinement leur plan. Ils essaient d’aller le plus loin possible dans le réseau pour rendre l’impact aussi important que possible. Par exemple, ils supprimeront le responsable des sauvegardes pour paralyser l’organisation, laissant des données de sauvegarde corrompues et inutilisables. Ils passeront également du temps à compromettre des identifiants pour une élévation de privilèges afin de se déplacer latéralement dans le réseau et dénicher toute faille.
Chaque attaque est différente, il est donc difficile de nommer la vulnérabilité la plus courante. Les attaquants trouvent n’importe quel moyen d’accès qu’ils peuvent, que ce soit une faiblesse dans la gestion des vulnérabilités ou même chez les individus, par exemple les attaques par phishing ou les tactiques d’ingénierie sociale. Ils passeront des appels téléphoniques et se feront passer pour des cadres ou utiliseront des noms similaires à ceux des cadres pour obtenir des informations et des données auprès des employés en ligne.
De nombreux acteurs de l’industrie diront que ce n’est pas une question de savoir si, mais quand vous serez attaqué. Cependant, Stephanie ne croit pas que cela soit le cas, car avec une diligence raisonnable, une sécurisation appropriée et la prise des mesures nécessaires, vous ne serez pas ciblé.
La diligence raisonnable est ce que les experts en sécurité prêchent depuis des décennies : effectuez une gestion des vulnérabilités et des correctifs, changez les mots de passe et réduisez les privilèges si possible. Formez votre personnel. Les administrateurs ne devraient pas être sur internet avec des comptes administratifs participant à des forums, par exemple. Tout est une question de compréhension des surfaces d’attaque et de leur gestion.
Que devez-vous faire si vous êtes victime d’une attaque de ransomware ? Stephanie dit que ce que les gens devraient faire et ce qu’ils font réellement sont deux choses différentes. La première réaction instinctive des services informatiques est souvent de redémarrer, de corriger ou de modifier l’environnement de manière significative. Cela ne fera qu’alerter les attaquants que leur temps est écoulé. Pour l’enquête forensique, il est extrêmement important de ne pas perturber ces environnements. Effectuez le moins de frappes au clavier possible et ne redémarrez certainement pas.
Certaines entreprises vont paniquer et se livrer à des déni de services sur elles-mêmes, passant en mode verrouillage total, en fermant tout. Au lieu de paniquer, elles devraient s’appuyer sur leurs politiques de gestion des incidents et réaliser que le problème peut être résolu même si ce ne sera pas agréable.
De toute évidence, chaque entreprise devrait avoir ces politiques de réponse aux incidents qui peuvent être rapidement mises en œuvre pour gérer les communications internes et avec les médias, et maintenir les activités de l’entreprise autant que possible. Les professionnels de la sécurité peuvent aider à mettre en place ces plans de réponse et peuvent intervenir pendant une attaque.
Leur première étape pour préserver les informations est d’observer certaines des activités douteuses qui se déroulent sur le réseau. Les attaques de ransomware ne commencent pas par le chiffrement ou le vol d’informations; il y a de nombreuses attaques préalables. Il est important d’identifier d’où elles viennent, où elles ont commencé et où elles ont été. Pour cela, les professionnels de la sécurité ont besoin de preuves et d’informations qui doivent être correctement préservées. Un bon début consiste à placer les bonnes personnes au bon endroit pour gérer ce qui se passe.
Suivant est de gérer correctement l’environnement. Malheureusement, une fois qu’il y ait un ransomware ou toute autre violation ou incident, l’organisation est très vulnérable. Cent pour cent du temps, lorsque les environnements ont subi des attaques réussies de ransomwares, médiatisées ou non, ils sont ciblés par le même groupe ou un groupe différent. C’est comme un animal blessé avec des vautours qui tournent autour. Les attaquants savent que vous êtes blessé et vulnérable. Une autre attaque est imminente.
Le plus souvent, lorsque les professionnels de la sécurité mènent leur enquête, ils découvrent d’autres indicateurs d’attaque et de compromission dans différentes parties du réseau. Ils doivent déterminer s’il s’agit de la même attaque ou d’une attaque différente. Cette enquête est une partie essentielle de la récupération des logiciels malveillants, car même lorsque vous pensez avoir éliminé une attaque et que l’entreprise fonctionne à nouveau correctement, il existe toujours un potentiel pour ces autres attaques.
Une attaque typique coûte en moyenne quatre millions et demi de dollars pour nettoyer, et cela n’inclut pas la rançon. Le montant peut être beaucoup plus élevé et est proportionnel à la taille de l’organisation.
Il est impossible d’être certain du nombre d’organisations qui paient la rançon. Beaucoup de rançons sont assorties de menaces de ne pas contacter les forces de l’ordre ou de divulguer l’attaque. Pour cette raison, les statistiques disponibles concernant le nombre d’organisations qui paient sont variées.
Certaines organisations répondent en disant qu’elles ne paieront en aucune circonstance, même si cela coûte plus cher de reconstruire, ce qui détruit ainsi la possibilité de négocier. C’est une décision émotionnelle qui peut troubler le jugement. En fin de compte, si l’objectif est de continuer à faire des affaires et à gagner de l’argent, payer une rançon faible, peut-être de dix ou vingt mille dollars, sera moins cher que les analyses médico-légales et le reste du processus. D’un autre côté, il existe des cas documentés où la rançon a été payée et les données n’ont pas été entièrement restaurées. De plus, l’organisation n’a aucune garantie de la sécurité de son environnement. Il n’y a aucune garantie lorsque vous payez une rançon; vous demandez aux criminels d’agir de bonne foi.
De nombreux gouvernements à travers le monde ont rendu illégal le fait de payer une rançon car les attaquants sont considérés comme des terroristes, et il est interdit de négocier avec des terroristes. Une autre difficulté est que les attaquants refusent parfois de traiter avec des négociateurs professionnels. Ils désignent souvent une personne au sein de l’organisation comme le seul interlocuteur avec qui ils accepteront de négocier, espérant ainsi que cette personne prendra des décisions émotionnelles.
Les menaces sont communiquées de différentes manières : par e-mail, par téléphone, et même en changeant l’arrière-plan du bureau.
La meilleure stratégie pour éviter ou atténuer une attaque est de ne pas attendre que votre organisation se retrouve dans cette situation. Au contraire, engagez-vous dans une due diligence. Effectuez des évaluations au moins une fois par an afin de repérer les failles de sécurité. Les menaces et les attaques évoluent constamment et deviennent de plus en plus sophistiquées, il est donc essentiel que la sécurité de votre organisation suive le rythme. Effectuez une surveillance continue et appliquez des correctifs. Mettez en place une gestion des vulnérabilités, changez régulièrement les mots de passe et rappelez et sensibilisez les utilisateurs aux menaces. Ces stratégies ne sont pas nouvelles. Les professionnels de la sécurité les recommandent depuis des décennies ; c’est simplement que les organisations échouent à les mettre en œuvre correctement et à évoluer.
Il est également judicieux de faire appel à des experts pour guider le processus de plans et exercices de réponse aux incidents. Tout le monde au sein de l’organisation devrait savoir quoi faire et qui appeler dans un scénario d’attaque afin d’éviter tout dommage supplémentaire.
Si votre organisation est attaquée, espérons que l’impact sera minimal, ou du moins contenu et gérable s’il y a eu une préparation. Quel que soit le temps, l’énergie et l’argent qu’une entreprise investit dans des mesures préventives représentent une fraction minime du coût d’une attaque.