Surmonter la crainte des ransomwares

La prolifération des attaques par ransomware met les entreprises sous pression et laisse la sensation que toute défense est futile. Mais elles peuvent reprendre le contrôle en se concentrant sur l'un des vecteurs d'attaque les plus courants : l'Active Directory (AD).

Les attaques par ransomware commencent souvent par l'exploitation des lacunes de sécurité de l'AD, telles que des configurations incorrectes ou une politique de mots de passe trop faibles, pour finalement accéder à autant de postes et de serveurs que possible.   

Aucun pirate ne veut perdre son temps pour infecter un simple ordinateur : l'idée est de neutraliser tous vos systèmes, jusqu'au dernier, pour mettre toute votre entreprise à l'arrêt. De cette façon les chances d'obtenir le paiement  d’une rançon sont bien meilleures. Toutefois, les systèmes d'exploitation Windows modernes sont généralement à jour et sécurisés, ce qui pousse les cybercriminels à s'inspirer des spécialistes des violations de données et de passer en premier par l’AD pour déployer du code ransomware malveillant dans votre environnement, accéder à vos sauvegardes, les supprimer, et  positionner des accès secondaires pour de futures attaques. 

Trop souvent, les analyses post-attaques révèlent que les précautions de sécurité de base ont été négligées pour l’AD. Les organisations qui ont une base installée et des implémentations d'AD qui datent d'une décennie ou plus sont particulièrement vulnérables, car l'application des mesures de sécurisation de l'AD reste très fastidieuse. La révision des stratégies de mot de passe et d'autorisation a généralement une priorité faible, jusqu'à ce qu'une attaque par ransomware se produise et utilise l’AD comme point d'entrée. Et même dans les entreprises qui appliquent des procédures pour pallier aux lacunes de sécurité de l'AD, les paramètres de configuration peuvent devenir moins efficace au fil du temps en raison du renouvellement de personnel, de demandes d'accès en urgence, de changements de stratégies et autres facteurs.  

Parmi les erreurs de configuration de l'AD,  associées aux failles de sécurité les plus courantes et les plus prévisibles, citons : 

·         Configuration de l'AD avec une délégation sans limites : une cible de choix pour les attaquants 

·         Utilisation inadaptée du compte Administrateur d'un domaine comme compte de service pour d'autres ressources, telles que les bases de données 

·         Autorisations risquées définies au niveau du domaine 

·         Comptes d’administration utilisant des mots de passe qui n'ont pas été changés depuis des années 

Comment défendre l’AD contre les cybercriminels ? Si aucun plan n'est imparable contre des attaquants de plus en plus déterminés et ingénieux, trois étapes clés vous aideront à renforcer votre protection :  

Supervision des modifications d'Active Directory

Nous avons déjà couvert les modifications uniques dans l’AD que des variants de ransomware tels que Ryuk, Maze, et SaveTheQueen ont exploité pour faciliter la distribution de leur code malveillant sur un maximum de terminaux. Vous devez surveiller l’AD en général, mais aussi les modifications apportées à des sections spécifiques et cruciales de l'AD (par exemple, les administrateurs de domaine, etc.). Ce dernier exemple est une évidence, mais celui qui le précède est tout aussi important, car les gens qui veulent du mal à votre environnement, recherchent constamment de nouveaux angles d'attaque via l’'AD. Vous devez surveiller et vérifier toute modification anormale, même si elle semble inoffensive.  

N'oubliez pas, les cybercriminels savent que vous êtes sur vos gardes et feront tout pour rester sous le radar, cela a été le cas du ransomware Ryuk et sa stratégie de groupe pour insérer un script de connexion. 

Développez un plan de contre-mesures

Si une modification suspecte est détectée, vous devez disposer d'un plan de remédiation. A minima, identifier l’auteur de cette modification et tentez d'identifier tout autre changement fait par ce même auteur. Pour les modifications suspectes ou illégales, appliquez une série de contre-mesures : désactivation du compte, annulation manuelle des changements, verrouillage des terminaux (si possible), etc.  

Il est peu probable que les cybercriminels se limitent à une simple modification de l'AD. Si vous détectez une modification, la contre-mesure doit appliquer le scénario du pire, car c'est exactement ce que les attaquants veulent accomplir. 

Protection d'objets spécifiques

Vous allez devoir trouver une solution externe pour réaliser cette étape, car l’AD ne prévoit rien à cet effet. Vous devez vous donner les moyens de protéger des objets spécifiques (ceux que vous considérez comme essentiels pour votre entreprise, qui ne changent pas souvent ou ne doivent pas changer) et pouvoir rétablir automatiquement la configuration précédente.  

Si les cybercriminels sont de plus en plus capables d'exploiter l’AD, ils restent limités en termes de types et de nombre d'activités malveillantes réalisables. En protégeant les sections de l'Active Directory qui ont le plus de valeur et constituent des cibles évidentes d'attaques, vous assurez une protection efficace. Et concernant les nouvelles attaques de type « zero-day » que personne n’a vu venir, si les 3 étapes ci-dessus sont implémentées sérieusement, alors ces types d’attaques seront bloquées, les remédiations opérationnelles automatiquement et les objets ciblés seront considéré comme critiques.

Bloquer la diffusion de ransomware dans votre environnement revient à anticiper une attaque et réduire au strict minimum les risques d'impact de la tentative initiale. L’AD est devenu une cible clé des attaques par ransomware. En mettant les étapes ci-dessus en pratique, vous serez mieux à même d’ anticiper, d'atténuer ou de contrer les cyberattaques ciblant l’AD.