Il existe plusieurs types de rançongiciels.

Les plus connus, comme WannaCry ou NotPetya, sont des logiciels malveillants hautement sophistiqués, souvent utilisés par des nations (Corée du Nord) afin de gagner de l’argent et/ou de déstabiliser des économies. Le coût de réparation pour les entreprises atteintes est souvent astronomique.

Sur son blogue de sécurité, Microsoft met en ce moment en avant un autre type de rançongiciels : les rançongiciels opérés par des humains.

S’ils sont moins sophistiqués que leurs cousins automatisés, ils n’en sont pas moins dangereux. En général, ils ne sont pas opérés par des groupes de pirates pour le compte de nations, mais pour des criminels.

Ils s’appuient sur une connaissance encyclopédique des erreurs de paramétrage d’administration de systèmes et de sécurité des réseaux. Des missions de reconnaissance sont suivies par des adaptations pour exploiter leurs découvertes sur un réseau compromis.

Ces rançongiciels sont si efficaces financièrement que souvent, leurs opérateurs ne cherchent même pas à se cacher.

Fort heureusement, Microsoft montre qu’on peut se défendre relativement facilement, et éviter les catastrophes. Sans surprise, Microsoft met en avant ses outils de protection contre les menaces avancées (Advanced Threat Protection / ATP) : Microsoft Defender ATP, Office 365 ATP, Azure ATP ou Microsoft Cloud App Sécurité.

Mais l’entreprise offre également des conseils :

  • Les professionnels de l’informatique, en particulier les administrateurs, doivent être intégrés aux équipes de cybersécurité ;
  • Des alertes rares ou isolées de logiciels malveillants communs ne doivent pas inciter au relâchement, car elles cachent souvent une montée en puissance des attaques. Il faut remédier aux infections et les traiter comme une mise en danger totale, y compris des informations de sécurité présentes sur le système ;
  • L’atténuation des risques de ces attaques modernes passe par la correction des points faibles de l’infrastructure. La plupart du temps, les opérateurs de rançongiciels attaquent les mêmes cibles encore et encore et encore. Au lieu de tenter de remédier à des alertes le plus vite possible, les organisations devraient découvrir la surface d’attaque qui a permis à une telle alerte de se manifester, ce qui nécessite la compréhension de la chaîne entière d’attaques, et conduit presque inexorablement à la découverte de failles de l’infrastructure qu’il faut colmater ;
  • Renforcer la sécurité des actifs directement connectés à internet ;
  • Pratiquer une hygiène des données de sécurité basée sur le principe du privilège le plus bas nécessaire ; éviter l’utilisation de comptes de services de niveau administrateur pour tout un domaine ; Utiliser des outils comme LAPS pour des mots de passe aléatoires, locaux et juste à temps pour les administrateurs.
  • Surveiller les événements d’attaques par force brute et les échecs trop nombreux d’identification ;
  • Surveiller l’utilisation de comptes hautement privilégiés. Les comptes d’administrateurs de domaines par exemple ne devraient pas se connecter à des stations de travail ;
  • Exploiter les pare-feu Windows et de réseaux au maximum pour limiter autant que possible les communications SMB et RPC
  • Surveiller le vidage inattendu de journaux de bord, en particulier ceux des événements de sécurité et des opérations PowerShell ;
  • Activer AMSI pour Office VBA si Office 365 est utilisé ;
  • Activer les outils de protection contre les intrusions, les protections fournies via le nuage et les règles de réduction de la surface d’attaque.

 

Pour les passionnés et les professionnels, la lecture complète du billet est recommandée. Microsoft y passe en revue des campagnes connues de rançongiciels, comme REvil, Samas ou Bitpaymer, tout en détaillant les campagnes de groupes nouvellement détectés, comme le groupe PARINACOTA, et des rançongiciels Doppelpaymer et Ryuk.