Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Se défendre contre le ransomware Conti : Pourquoi la CISA recommande d'urgence la microsegmentation

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
Septembre 23, 2021
23 min. lire

En 2021, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) et le Federal Bureau of Investigation (FBI) ont publié un avis de cybersécurité commun concernant la vague actuelle d'attaques de ransomware Conti - une variante du modèle de ransomware-as-a-service (RaaS) connue pour avoir été à l'origine de plus de 400 attaques contre des organisations américaines et internationales depuis sa création en 2020.

Conti n'est que le dernier exemple en date du fléau des ransomwares. Alors que nous approchons du premier anniversaire de la faille de SolarWinds, les attaques par ransomware continuent d'évoluer et d'abonder - à une échelle sans équivoque.

Aujourd'hui plus que jamais, il est impératif que les organisations prennent les mesures nécessaires pour renforcer leur cyber-résilience - non seulement pour protéger et défendre leurs propres entreprises, mais aussi leurs clients et leurs chaînes d'approvisionnement contre la vague d'attaques de ransomware en cours.

Qu'est-ce que le ransomware Conti ?

Selon l'avis conjoint de la CISA et du FBI, "dans les attaques typiques de ransomware Conti, les cyberacteurs malveillants volent des fichiers, chiffrent des serveurs et des postes de travail et exigent le paiement d'une rançon".

L'avis indique également que les développeurs de Conti versent souvent aux personnes qui déploient le ransomware un salaire plutôt qu'un pourcentage du produit d'une attaque réussie. Cette révélation rend le modèle lui-même encore plus alarmant, car les déployeurs sont payés indépendamment de la réussite "" d'une attaque donnée.

Au début du mois, SiliconANGLE a rapporté que Conti "a été lié à une série d'attaques, dont une visant les services de santé irlandais en mai... Parmi les précédentes victimes de Conti figurent le fabricant d'ordinateurs industriels Advantech en novembre, le fabricant de matériel et de logiciels de voix sur IP Sangoma Technologies en décembre et des hôpitaux en Floride et au Texas en février".

SiliconANGLE a également noté que Conti avait fait l'objet d'un avertissement du FBI en mai, indiquant que le gang et ses affiliés ciblaient les prestataires de soins de santé - un secteur vital, en particulier dans le contexte de la poursuite de la pandémie de Covid-19.

Sauvegarde contre Conti

Afin de sécuriser les systèmes contre le ransomware Conti, CISA et le FBI recommandent les précautions suivantes - les principes de confiance zéro et de segmentation en sont les principaux :

  • Utilisez l'authentification à plusieurs facteurs pour accéder à distance aux réseaux à partir de sources externes.
  • Mettre en œuvre la segmentation du réseau et filtrer le trafic. Mettez en œuvre et assurez une segmentation solide du réseau entre les réseaux et les fonctions afin de réduire la propagation du ransomware. Filtrez le trafic réseau afin d'interdire les communications d'entrée et de sortie avec des adresses IP malveillantes connues. Activez des filtres anti-spam puissants pour empêcher les courriels d'hameçonnage d'atteindre les utilisateurs finaux.

    Les organisations devraient également envisager de mettre en œuvre un programme de formation des utilisateurs afin de les dissuader de visiter des sites web malveillants ou d'ouvrir des pièces jointes malveillantes. Les équipes informatiques devraient mettre en place une liste de blocage d'URL et/ou une liste d'autorisation pour empêcher les utilisateurs d'accéder à des sites web malveillants ; avec des outils technologiques plus avancés, cette opération peut être automatisée.
  • Recherchez les vulnérabilités et maintenez les logiciels à jour. Paramétrez les programmes antivirus et antimalware pour qu'ils effectuent des analyses régulières des ressources du réseau en utilisant des signatures actualisées. Les organisations doivent également s'assurer qu'elles mettent à jour les logiciels et les systèmes d'exploitation, les applications et les microprogrammes sur les actifs du réseau en temps voulu.
  • Supprimez les applications inutiles et appliquez des contrôles. Supprimer toute application qui n'est pas jugée nécessaire pour les opérations quotidiennes. Examinez tout logiciel non autorisé.
  • Mettre en œuvre des outils de réponse pour les points d'extrémité et la détection. Les outils de détection et de réponse des terminaux sont connus pour améliorer la visibilité que les équipes SecOps ont dans tout environnement de cybersécurité donné - ce qui signifie que les cyberacteurs malveillants et les menaces potentielles peuvent être identifiés et mieux atténués à un stade précoce.
  • Sécuriser les comptes d'utilisateurs. Auditer régulièrement les comptes d'utilisateurs administratifs et configurer les contrôles d'accès selon les principes du moindre privilège (Zero Trust) et de la séparation des tâches. Les organisations doivent également vérifier régulièrement les journaux pour s'assurer que les nouveaux comptes sont des utilisateurs légitimes.

Alors que de plus en plus de modèles RaaS et de souches de ransomware sont révélés, il est essentiel que les organisations identifient et minimisent les vecteurs de menace ou les vulnérabilités potentielles dès le début. Parmi les recommandations énoncées ci-dessus, l'une des meilleures pratiques essentielles que les organisations devraient mettre en œuvre dès aujourd'hui est la segmentation.

Comment Illumio Zero Trust Segmentation peut vous aider

Illumio stoppe les ransomwares dans leur élan et, contrairement à la segmentation réseau traditionnelle, évolue avec votre organisation en fournissant :

  • Segmentation simple et rapide. Avec Illumio, vous pouvez segmenter les applications, les utilisateurs et les actifs spécifiques en quelques minutes grâce à la création automatique de politiques.

    Dans le cas de Conti, le ransomware a exploité le server message block(SMB) et le protocole de bureau à distance(RDP) pour se déplacer latéralement. Avec Illumio Core, vous pouvez rédiger une simple politique qui bloque ces deux protocoles dans l'ensemble de votre domaine, sauf lorsqu'ils sont absolument nécessaires - réduisant ainsi rapidement et efficacement l'exposition au risque.
  • Une politique qui s'adapte à vos environnements dynamiques. Puisqu'Illumio utilise votre infrastructure existante pour appliquer les politiques, il s'adaptera à votre réseau au fur et à mesure de son évolution.
  • Segmentation au niveau de l'hôte. En utilisant les pare-feu existants basés sur l'hôte, vous pouvez gérer toutes vos politiques de segmentation à partir d'une seule instance en nuage sans avoir à toucher à l'infrastructure ou à déplacer des câbles. 


Apprenez-en davantage sur la façon dont Illumio peut réduire considérablement votre risque en limitant la portée d'une violation réussie : Lisez l'article intitulé Comment empêcher un ransomware de devenir une cyber-catastrophe et consultez l'article de blogue intitulé 9 raisons d'utiliser Illumio pour lutter contre les ransomwares

Pour plus d'informations sur le gang du ransomware Conti, consultez la page d'avis officielle. 

Sujets connexes

Ransomware Containment

Articles connexes

Étude sur le coût mondial des ransomwares : Ce que les chiffres nous apprennent
Ransomware Containment

Étude sur le coût mondial des ransomwares : Ce que les chiffres nous apprennent

Découvrez comment les attaquants s'orientent vers la perturbation des opérations, pourquoi la prévention ne suffit pas et comment la confiance zéro et la microsegmentation limitent l'impact des ransomwares.

Read more
Supposez une brèche avec une sécurité des points finaux sans confiance
Ransomware Containment

Supposez une brèche avec une sécurité des points finaux sans confiance

Apprenez pourquoi les approches traditionnelles de la sécurité des points d'accès ne sont pas suffisantes et comment Illumio Endpoint peut compléter vos outils de détection existants.

Read more
Se recentrer sur les ransomwares : 3 vérités pour construire un réseau prêt pour les ransomwares
Ransomware Containment

Se recentrer sur les ransomwares : 3 vérités pour construire un réseau prêt pour les ransomwares

Découvrez comment construire des réseaux sécurisés contre la propagation des attaques de ransomware.

Read more
Comment Brooks utilise Illumio pour empêcher les ransomwares de sévir
Ransomware Containment

Comment Brooks utilise Illumio pour empêcher les ransomwares de sévir

Voyez pourquoi Brooks a choisi la segmentation zéro confiance d'Illumio pour assurer la fiabilité de ses activités de vente au détail et de commerce électronique.

Read more
Comment contenir les attaques du ransomware LockBit avec Illumio
Ransomware Containment

Comment contenir les attaques du ransomware LockBit avec Illumio

Découvrez comment le ransomware LockBit fonctionne et comment la segmentation Illumio Zero Trust a permis de contenir une attaque de ransomware LockBit à l'été 2022.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more