Comment atténuer les attaques de ransomwares opérées par l'homme : infographie

Auparavant, si quelqu'un devait pirater votre ordinateur, cela était généralement possible en mettant la main sur votre ordinateur, soit en étant physiquement présent, soit en utilisant un accès à distance. Alors que le monde a progressé avec l'automatisation, la sécurité informatique s'est renforcée, une chose qui n'a pas changé, ce sont les erreurs humaines. C'est là que les attaques de ransomwares opérées par(Human-operated Ransomware Attacks) l'homme entrent en scène. Ce sont des attaques artisanales qui trouvent une vulnérabilité ou une sécurité mal configurée sur l'ordinateur et y accèdent. Microsoft a proposé une étude de cas exhaustive qui conclut que l'administrateur informatique peut atténuer ces attaques de Ransomware(Ransomware attacks) opérées par l'homme avec une marge significative.

atténuer les attaques de Ransomware opérées par l'homme

Atténuation des attaques de ransomwares opérées par l'homme(Human-operated Ransomware Attacks)

Selon Microsoft , la meilleure façon d'atténuer ces types de rançongiciels et de campagnes artisanales est de bloquer toutes les communications inutiles entre les terminaux. Il est également important de suivre les meilleures pratiques en matière d'hygiène des informations d'identification, telles que l'authentification multifacteur(Multi-Factor Authentication) , la surveillance des tentatives de force brute, l'installation des dernières mises à jour de sécurité, etc. Voici la liste complète des mesures de défense à prendre :

  • Assurez-vous d'appliquer les paramètres de configuration recommandés(recommended configuration settings) par Microsoft pour protéger les ordinateurs connectés à Internet.
  • Defender ATP offre une gestion des menaces et des vulnérabilités(threat and vulnerability management) . Vous pouvez l'utiliser pour auditer régulièrement les machines à la recherche de vulnérabilités, de mauvaises configurations et d'activités suspectes.
  • Utilisez la passerelle MFA(MFA gateway) telle qu'Azure Multi-Factor Authentication(Azure Multi-Factor Authentication) ( MFA ) ou activez l'authentification au niveau du réseau ( NLA ).
  • Offrez le moindre privilège aux comptes(least-privilege to accounts) et autorisez l'accès uniquement lorsque cela est nécessaire. Tout compte avec un accès de niveau administrateur à l'échelle du domaine doit être au minimum ou nul.
  • Des outils tels que l'outil LAPS ( Local Administrator Password Solution ) peuvent configurer des mots de passe aléatoires uniques pour les comptes d'administrateur. Vous pouvez les stocker dans Active Directory (AD) et les protéger à l'aide d' ACL .
  • Surveillez les tentatives de force brute. Vous devriez être alarmé, surtout s'il y a beaucoup de tentatives d'authentification infructueuses. (failed authentication attempts. )Filtrez(Filter) à l'aide de l' ID d'événement 4625(ID 4625) pour trouver ces entrées.
  • Les attaquants effacent généralement les journaux des événements de sécurité et le journal opérationnel PowerShell(Security Event logs and PowerShell Operational log) pour supprimer toutes leurs empreintes. Microsoft Defender ATP génère un ID d'événement 1102(Event ID 1102) lorsque cela se produit.
  • Activez les fonctionnalités de protection antialtération(Tamper protection)(Tamper protection) pour empêcher les attaquants de désactiver les fonctionnalités de sécurité.
  • Examinez(Investigate) l'ID d' événement 4624(ID 4624) pour trouver où les comptes avec des privilèges élevés se connectent. S'ils pénètrent dans un réseau ou un ordinateur compromis, cela peut constituer une menace plus importante.
  • Activez la protection fournie par le cloud(Turn on cloud-delivered protection) et l'envoi automatique d'échantillons sur l' antivirus Windows Defender(Windows Defender Antivirus) . Il vous protège des menaces inconnues.
  • Activez les règles de réduction de la surface d'attaque. Parallèlement à cela, activez des règles qui bloquent le vol d'informations d'identification, l'activité de ransomware et l'utilisation suspecte de PsExec et WMI .
  • Activez  AMSI pour Office VBA  si vous avez Office 365.
  • Dans la mesure du possible, empêchez les communications RPC(Prevent RPC) et SMB entre les terminaux.

Lire(Read) : Protection contre les ransomwares dans Windows 10(Ransomware protection in Windows 10) .

Microsoft a mis en place une étude de cas sur Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

  • Wadhrama est livré en utilisant des forces brutes pour se frayer un chemin dans des serveurs dotés de Remote Desktop . Ils découvrent généralement des systèmes non corrigés et utilisent les vulnérabilités divulguées pour obtenir un accès initial ou élever des privilèges.
  • Doppelpaymer se propage manuellement via des réseaux compromis à l'aide d'informations d'identification volées pour des comptes privilégiés. C'est pourquoi il est essentiel de suivre les paramètres de configuration recommandés pour tous les ordinateurs.
  • Ryuk distribue la charge utile par e-mail ( Trickboat ) en trompant l'utilisateur final sur autre chose. Récemment, des pirates ont utilisé la peur du coronavirus pour tromper l'utilisateur final. L'un d'eux a également été en mesure de livrer la charge utile Emotet .

La chose commune à chacun d'eux(common thing about each of them) est qu'ils sont construits en fonction des situations. Ils semblent exécuter des tactiques de gorille où ils se déplacent d'une machine à une autre pour livrer la charge utile. Il est essentiel que les administrateurs informatiques gardent non seulement un œil sur l'attaque en cours, même si elle est à petite échelle, et éduquent les employés sur la manière dont ils peuvent aider à protéger le réseau.

J'espère que tous les administrateurs informatiques pourront suivre la suggestion et s'assurer d'atténuer les attaques de Ransomware opérées par l'homme .

Lecture connexe(Related read) : Que faire après une attaque de Ransomware sur votre ordinateur Windows ?(What to do after a Ransomware attack on your Windows computer?)



About the author

Je suis un réviseur de logiciels et un expert en productivité. Je révise et rédige des critiques de logiciels pour diverses applications logicielles, telles qu'Excel, Outlook et Photoshop. Mes critiques sont bien informées et fournissent des informations objectives sur la qualité de l'application. J'écris des critiques de logiciels depuis 2007.



Related posts