Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Comprendre les rançongiciels : Le schéma d'attaque le plus courant

Illumio Editorial
Illumio Editorial
Mars 16, 2022
23 min. lire

La transformation numérique est désormais un objectif stratégique numéro un des entreprises. De Sydney à San Francisco, les conseils d'administration réfléchissent à la meilleure façon d'exploiter la puissance du cloud, de l'IA, de l'IdO et d'autres éléments pour favoriser la réussite. Leurs efforts ne sont pas seulement essentiels pour créer de nouvelles expériences pour les clients et rationaliser les processus d'entreprise. Ils sont également essentiels pour soutenir le nouveau modèle de travail hybride qui émerge rapidement des cendres de la pandémie.

Cependant, le prix à payer par les organisations pour accroître leur empreinte numérique est souvent l'élargissement de la surface de cyberattaque. Cette situation favorise le risque cybernétique, en particulier la menace d'une violation de la loi sur les rançongiciels.

Des dizaines de développeurs de ransomwares et de groupes affiliés opèrent actuellement dans le monde entier. Cela signifie qu'il existe également une grande variété de tactiques, de techniques et de procédures d'attaque en circulation. Mais cela ne signifie pas que nous ne pouvons pas discerner un mode opératoire principal. Mieux encore, nous pouvons utiliser ce schéma d'attaque général et appliquer un processus simple en trois étapes pour réduire les risques liés aux ransomwares.

C'est la valeur de la micro-segmentation basée sur une visibilité complète des communications des actifs du réseau et des voies communes utilisées par les acteurs de la menace.

Cet article de blog répond aux questions les plus courantes sur le fonctionnement des ransomwares et sur la manière de les arrêter.

Pourquoi les rançongiciels sont-ils importants ?

Les ransomwares ont atteint des niveaux record au cours des trois premiers trimestres de 2021, un fournisseur ayant enregistré près de 500 millions de tentatives de compromission à l'échelle mondiale. Les attaques ont évolué ces dernières années au point que l'exfiltration de données est désormais la norme, ce qui ajoute un tout nouvel élément de risque pour les entreprises. Cela signifie que les organisations ne peuvent pas se contenter de sauvegarder les données et de croiser les doigts. Le risque d'atteinte aux finances et à la réputation est réel rien qu'en cas de violation de données.

Aujourd'hui, les attaques dites de "double extorsion" peuvent avoir pour conséquence.. :

  • Amendes réglementaires
  • Perte de productivité
  • Ventes perdues
  • Coûts des heures supplémentaires informatiques pour la récupération et l'enquête
  • Frais juridiques (par exemple, recours collectif en cas de violation de données)
  • Le taux d'attrition de la clientèle
  • Baisse du prix de l'action

Chaque organisation et chaque attaque sont différentes. Si certains commentateurs estiment l'impact financier moyen à près de 2 millions de dollars aujourd'hui, certains raids ont coûté aux victimes des centaines de millions. Il est donc essentiel de prendre des mesures proactives pour contrer la menace.

Comment fonctionne un ransomware ?

La bonne nouvelle, c'est qu'en dépit des nombreuses variantes et des groupes affiliés en activité aujourd'hui, nous pouvons discerner un schéma de base pour la plupart des attaques. En bref, les acteurs de la menace :

  • Se cacher dans les réseaux pendant des mois avant de frapper.
  • Exploiter les voies communes pour l'accès initial au réseau et le mouvement latéral continu.
  • Effectuer des actions à plusieurs stades pour atteindre leurs objectifs.

Approfondissons chacun d'entre eux.

Comment les attaquants peuvent-ils rester indétectés aussi longtemps ?

L'objectif des attaquants est de rester cachés jusqu'à ce qu'ils aient établi une présence suffisamment forte dans le réseau d'une victime pour voler de grandes quantités de données sensibles et déployer des ransomwares partout.

Pour ce faire, ils :

  • Violation d'un actif dont l'organisation ne savait pas qu'il était vulnérable ou exposé - qu'il s'agisse d'un appareil, d'une application ou d'une charge de travail avec une connexion ouverte à l'internet et à d'autres actifs du réseau.
  • Utiliser des voies d'accès/des flux de données dont l'organisation ignorait qu'ils étaient ouverts et qui devraient être fermés conformément à la politique de sécurité des meilleures pratiques.
  • Compromettre plusieurs systèmes couvrant plusieurs fonctions, ce qui rend difficile pour les équipes de remonter jusqu'à un seul incident.

Comment les attaquants exploitent-ils les voies communes ?

La plupart des ransomwares arrivent par le biais de courriels d'hameçonnage, d'une compromission RDP ou de l'exploitation de vulnérabilités logicielles. Pour augmenter les chances de réussite, les attaquants recherchent :

  • Un petit nombre de voies d'accès populaires à haut risque, telles que RDP ou SMB. Ils sont généralement utilisés à l'échelle de l'organisation, faciles à cartographier et souvent mal configurés.
  • Ports ouverts et ressources exploitables, via des analyses automatisées utilisant des scripts et des robots d'indexation.
  • Les moyens de se déplacer latéralement à grande vitesse, en utilisant ces voies à haut risque pour se propager à l'ensemble de l'organisation en quelques minutes seulement.

Comment fonctionnent les attaques en plusieurs étapes ?

La plupart des attaques commencent par la compromission d'un bien de faible valeur, car il est généralement plus facile à détourner. L'astuce pour les acteurs de la menace consiste alors à franchir d'autres étapes pour atteindre des actifs précieux dont ils peuvent voler les données ou qu'ils peuvent chiffrer, ce qui leur permet d'extorquer l'organisation victime.

Pour ce faire, les attaquants ont l'habitude de

  • Tirer parti du manque de visibilité, de contrôle des politiques et de segmentation d'une organisation.
  • se connecter à l'internet afin de télécharger des outils supplémentaires pour faciliter les étapes suivantes d'une attaque ou exfiltrer des données vers un serveur sous leur contrôle.
  • Les dommages les plus importants sont causés par le mouvement latéral, c'est-à-dire le fait de sauter d'un élément à l'autre du réseau.

Trois mesures simples pour stopper les ransomwares

En gardant à l'esprit ce schéma d'attaque typique, les RSSI peuvent commencer à concevoir une réponse - une nouvelle architecture de sécurité basée sur trois composants simples :

1. Développer une visibilité complète des flux de communication dans votre environnement

Vos attaquants n'auront ainsi aucun endroit où se cacher, ce qui les démasquera lorsqu'ils essaieront de compromettre l'actif initial ou lors d'un déplacement latéral.

Pour ce faire, vous devez

  • Développez une visibilité en temps réel de tous les actifs, ce qui vous permet de traiter tout flux de données non essentiel ou anormal.
  • Créez une carte en temps réel de l'environnement pour identifier les charges de travail, les applications et les points de terminaison qui doivent rester ouverts et ceux qui peuvent être fermés.
  • Créez une vue unifiée des flux de communication et des données sur les risques à partir de laquelle toutes les équipes d'exploitation peuvent travailler, réduisant ainsi les frictions internes.


2. Créer des capacités de blocage des ransomwares

Il ne suffit pas de cartographier les flux de communication et de comprendre quels actifs peuvent être fermés. Vous devez prendre des mesures pour réduire la surface d'attaque et bloquer les raids en cours.

Pour ce faire, procédez comme suit :

  • Fermer le plus grand nombre possible de voies d'accès à haut risque et surveiller en temps réel celles qui restent ouvertes.
  • Fermer tous les ports qui n'ont pas besoin d'être ouverts, ce qui réduit les chances que les analyses automatiques trouvent des actifs exposés.
  • Création d'un commutateur de confinement d'urgence qui peut être lancé en quelques secondes pour restreindre les communications du réseau en cas d'attaque.

3. Isoler les actifs critiques

La dernière étape consiste à empêcher les attaquants d'atteindre les actifs critiques, ce qui les oblige à prendre des mesures plus faciles à détecter pour progresser.

Il s'agira de :

  • Applications de clôture pour empêcher la compromission d'actifs de grande valeur.
  • Fermer les connexions sortantes vers des adresses IP non fiables et n'autoriser que celles figurant sur une "liste d'autorisation" approuvée."
  • Élaborer des mesures de sécurité après l'intrusion pour protéger les actifs critiques et empêcher les attaques de se propager.

La riposte commence ici

Aucune organisation ne peut aujourd'hui être à l'abri d'une violation à 100% - les attaquants sont trop déterminés, disposent de trop de ressources et sont trop nombreux pour cela. Mais en mettant l'accent sur la visibilité du réseau, le contrôle des politiques et la segmentation, vous pouvez mettre en place une architecture de sécurité plus intelligente, plus à même d'isoler la menace.

La plupart des acteurs de la menace sont opportunistes, à la recherche d'un retour sur investissement rapide et facile. Prenez ces trois mesures pour perturber leurs plans et vous aurez de grandes chances d'éviter un compromis sérieux.

En savoir plus :

Sujets connexes

No items found.

Articles connexes

Comment arrêter les attaques de ransomware basées sur RDP avec Illumio
Ransomware Containment

Comment arrêter les attaques de ransomware basées sur RDP avec Illumio

Découvrez comment cartographier, évaluer et bloquer l'exposition RDP à l'aide de la micro-segmentation, du MFA & et de l'application de politiques, afin d'arrêter les ransomwares avant qu'ils ne se propagent via RDP.

Read more
Démystifier les techniques de ransomware à l'aide d'assemblages .Net : Une attaque en plusieurs étapes
Ransomware Containment

Démystifier les techniques de ransomware à l'aide d'assemblages .Net : Une attaque en plusieurs étapes

Apprenez les principes fondamentaux d'une attaque par charges utiles en plusieurs étapes à l'aide d'une série de charges utiles échelonnées.

Read more
Comment Brooks utilise Illumio pour empêcher les ransomwares de sévir
Ransomware Containment

Comment Brooks utilise Illumio pour empêcher les ransomwares de sévir

Voyez pourquoi Brooks a choisi la segmentation zéro confiance d'Illumio pour assurer la fiabilité de ses activités de vente au détail et de commerce électronique.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more