Afficher le sommaire Masquer le sommaire
Par Norman Girard, Vice-Président et Directeur Europe Continentale de Varonis
Les ransomwares de type « chasse au gros » se distinguent de leurs prédécesseurs qui frappaient sans distinction. L’activité la plus courante en matière de ransomware reste l’escroquerie peu sophistiquée ciblant à très grande échelle. Mais de plus en plus de groupes cybercriminels disposent des ressources pour élaborer des campagnes beaucoup plus sophistiquées et de temps pour s’introduire en profondeur dans les systèmes d’information, pour en dresser le plan et identifier les ressources les plus précieuses, puis tout détruire seulement après avoir rentabilisé leur investissement.
Ces attaques de ransomware de type « chasse au gros » présentent un danger peut-être moins fréquent mais bien plus grave pour l’entreprise victime. Pour cette raison, la détection préventive est devenue extrêmement importante pour les entreprises. Cet article explique pourquoi :
Les précédentes vagues étaient différentes
Les anciennes campagnes de ransomware comme Locky, frappaient sans distinction et n’avaient pas le degré de sophistication des attaques modernes. Leurs auteurs ciblaient le plus grand nombre, souvent dans le cadre de campagnes de phishing de grande ampleur. Les destinataires peu méfiants cliquaient sur un lien malveillant. Le ransomware pouvait alors gagner du terrain, jusqu’à chiffrer les fichiers stockés sur leur machine ou dans le cas des entreprises, sur leur datacenter. Cela suffisait généralement à collecter des montants conséquents en très peu d’efforts.
La très médiatisée attaque WannaCry a marqué le début d’une deuxième vague de ransomware. Se propageant sans discernement, celle-ci s’est avérée toutefois plus dangereuse, car elle exploitait des vulnérabilités de manière plus sophistiquée. WannaCry et NotPetya se sont répandus de pair à pair et hors des limites de l’entreprise, en s’infiltrant dans les systèmes non corrigés et en prenant en otage, à la fois ces derniers et les données. Si les cybercriminels n’ont pas forcément obtenu des fortunes en échange de leurs efforts, ces attaques ont été dévastatrices et annonciatrices d’un avenir inquiétant.
À quoi faut-il s’attendre concernant les ransomwares de type « chasse au gros » ?
Les ransomwares manquent toujours de subtilité. Loin d’un détournement de fonds par petits montants réguliers ou de l’espionnage discret de communications d’entreprise, ils s’apparentent plutôt à un braquage à main armée. L’objectif est d’être vu, d’effrayer et d’être payé. Les ransomwares ne sont pas non plus spécialement furtifs, surtout une fois qu’ils ont commencé à chiffrer des fichiers ou à désactiver des systèmes.
À l’inverse, les ransomwares de type « chasse au gros » infectent discrètement de nombreux systèmes sur le réseau de la victime avant de faire du bruit, restant silencieux jusqu’à l’étape de destruction.
Le télétravail massif mis en place pendant la crise du COVID-19, a permis à de nombreux attaquants d’infiltrer encore plus facilement des réseaux et de prendre ensuite le temps de préparer des attaques plus sophistiquées… que nous pourrions voir apparaître dans les prochains mois.
L’Active Directory, clé de voute des nouvelles attaques de ransomware
Nous avons récemment étudié un nouveau type de ransomware appelé Save the Queen, qui se propage à partir des serveurs Active Directory (les contrôleurs de domaine) de la victime.
Les contrôleurs de domaine détiennent les clés du royaume numérique. Quasiment tous les autres systèmes s’y connectent, ce qui leur confère une grande importance et en font une cible de choix pour la distribution de ransomwares. Du fait de leur importance, la manipulation des serveurs Active Directory nécessite des droits d’accès étendus, précisément ce dont bénéficiaient les cybercriminels dans ce cas. L’ANSSI s’intéresse – et alerte – depuis longtemps sur ce sujet, et vient d’ailleurs de publier un recueil sur la sécurité de l’AD : https://www.cert.ssi.gouv.fr/uploads/guide-ad.html
L’accès est l’une des raisons pour lesquelles les ransomwares de type « chasse au gros » sont si inquiétants. Pour les cybercriminels, s’infiltrer au sein d’un réseau est un jeu d’enfant. Ils peuvent facilement accéder à des applications de niveau supérieur ou à des comptes d’administration. Ils peuvent également utiliser leur propre infrastructure contre leur victime. Les auteurs de Save the Queen ont d’ailleurs procédé de la sorte.
Avec tous ces accès, les attaquants peuvent atteindre des données extrêmement sensibles : informations financières, propriété intellectuelle, monnayer ces informations confidentielles, copier des fichiers importants avant de les chiffrer pour pouvoir ensuite menacer de les divulguer. Il faudrait être naïf pour penser qu’ils s’en abstiennent, et le phénomène est suffisamment grave pour mériter d’être remonté à la direction. Certains cybercriminels n’ont pas forcément envie de se donner la peine de fouiller lorsqu’ils peuvent se contenter d’un simple vol par effraction, rapide et efficace. Mais plus ces groupes deviendront organisés et efficaces en matière de monétisation des biens d’autrui, plus il est probable qu’ils ne laisseront plus la moindre miette à leurs victimes.
Quatre mesures pour protéger l’entreprise
- Connaître l’emplacement de stockage des données de propriété intellectuelle, des informations financières, des données personnelles et des e-mails sensibles avant que les cybercriminels ne tentent de les voler, les divulguer ou les chiffrer. Limiter l’accès à ceux qui en ont impérativement besoin afin de réduire la surface d’attaque.
- Identifier la période pendant laquelle l’indisponibilité d’un système ou de données aurait les pires conséquences, par exemple les jours précédant la semaine la plus chargée de l’année. Les cybercriminels s’intéressent à ce genre d’informations concernant leurs victimes. Mieux vaut avoir élaboré un plan de continuité/reprise d’activité plutôt que de devoir improviser sous pression.
- Une grande partie de la prévention des ransomwares repose sur les sauvegardes. Si elles sont bien sûr essentielles, la difficulté consiste à déterminer celles qui doivent être restaurées, surtout s’agissant de fichiers. En l’absence de suivi des activités des systèmes de fichiers, beaucoup d’entreprises doivent mettre la main sur les demandes de rançon pour savoir ce qui a été crypté et à quel moment. Si le registre de l’activité des fichiers n’existe pas, il convient de le créer. Cela permet alors d’obtenir des informations sur les activités des utilisateurs infectés.
- Tirer parti de l’automatisation. Des journaux d’activité et d’analyses adéquats, permettent de détecter et arrêter les attaques potentielles avant leur propagation. Consigner et analyser en priorité, les activités portant sur les jeux de données et les systèmes stratégiques tels que les magasins de données volumineux, Active Directory et d’autres données télémétriques pouvant avertir lorsqu’un cybercriminel s’est introduit au sein du réseau.
À l’heure actuelle, les collaborateurs en télétravail offrent un moyen d’accès simple aux ressources, notamment à cause des fonctionnalités de recherche et de filtrage offertes par les outils collaboratifs utilisés. Dans le même temps, la plupart des entreprises ne sont pas préparées pour détecter les activités inhabituelles générées par ces utilisateurs distants. L’objectif principal de toute entreprise est de détecter le plus rapidement possible les cybercriminels qui cherchent à en profiter pour neutraliser leurs activités.
