Détecter les attaques par ransomware et y répondre

Plusieurs déclencheurs potentiels peuvent indiquer un incident de ransomware. Contrairement à de nombreux autres types de programmes malveillants, la plupart seront des déclencheurs à haut niveau de confiance (pour lesquels peu d’investigations ou d’analyses supplémentaires sont nécessaires avant la déclaration d’un incident) plutôt que des déclencheurs à faible niveau de confiance (pour lesquels des investigations ou des analyses supplémentaires plus importantes sont nécessaires avant la déclaration d’un incident).

En général, de telles infections sont évidentes du fait d’une différence par rapport au comportement de base du système, de l’absence de fichiers clés du système ou de l’utilisateur et de la demande de rançon. Dans ce cas, l’analyste doit se demander s’il faut immédiatement déclarer et faire remonter l’incident, y compris en prenant toute mesure automatisée pour atténuer l’attaque.

Détection des attaques par ransomware

Microsoft Defender pour le cloud offre des capacités de détection des menaces et de réponse de haute qualité, également appelées Détection et réponse étendues (XDR).

Assurez-vous de la détection et de la correction rapides des attaques courantes sur les machines virtuelles, les serveurs SQL, les applications web et l’identité.

• Priorité aux points d’entrée courants : Les opérateurs de ransomware (et autres) privilégient les entrées sur les points de terminaison, les adresses e-mail, les identités et le protocole Bureau à distance (RDP).

  • XDR intégrés : Utilisez des outils Détection et réponse étendues (XDR) intégrés comme Microsoft Defender pour le cloud pour fournir des alertes de qualité et réduire les frictions et les étapes manuelles lors de la réponse.
  • Force brute : Soyez attentif aux tentatives d’attaque par force brute, comme la pulvérisation de mots de passe.

• Monitorer la désactivation de la sécurité par une personne mal intentionnée, car cela fait souvent partie de la chaîne d’attaque d’un ransomware exploité par l’homme (HumOR, Human-Operated Ransomware).

• Effacement des journaux d’événements : En particulier le journal des événements de sécurité et les journaux des opérations PowerShell.

  • Désactivation des outils et des contrôles de sécurité (associés à certains groupes).

• Ne pas ignorer les programmes malveillants comme marchandises : Il est fréquent que les attaquants par ransomwares achètent leur accès aux organisations cibles sur des marchés parallèles.

• Intégrer des experts externes aux processus pour bénéficier de compétences supplémentaires, comme les experts de l’équipe Réponse aux incidents Microsoft (anciennement DART/CRSP).

• Isoler rapidement les appareils compromis à l’aide de Defender pour point de terminaison dans un déploiement local.

Réponse aux attaques par ransomware

Déclaration d’incident

Une fois qu’une infection de ransomware a été confirmée, l’analyste doit vérifier s’il s’agit d’un nouvel incident ou si cette infection peut être liée à un incident existant. Recherchez les tickets ouverts qui indiquent des incidents similaires. Si c’est le cas, mettez à jour le ticket d’incident actuel avec les nouvelles informations dans le système de ticketing. S’il s’agit d’un nouvel incident, un incident doit être déclaré dans le système de ticketing pertinent et transmis aux équipes ou aux fournisseurs appropriés pour contenir et atténuer l’incident. Gardez à l’esprit que la gestion des incidents liés aux ransomwares peut nécessiter des mesures prises par plusieurs équipes informatiques et de sécurité. Dans la mesure du possible, assurez-vous que le ticket est clairement identifié comme un incident de ransomware afin de guider le flux de travail.

Endiguement/atténuation

En général, les diverses solutions de protection anti-programme malveillant des serveurs/points de terminaison, des e-mails et du réseau doivent être configurées pour contenir et atténuer automatiquement les ransomwares connus. Il peut toutefois arriver que la variante spécifique d’un ransomware parvienne à contourner ces protections et à infecter les systèmes cibles.

Microsoft fournit de nombreuses ressources pour vous aider à mettre à jour vos processus de réponse aux incidents sur la page Meilleures pratiques principales relatives à la sécurité Azure.

Les actions suivantes sont recommandées pour contenir ou atténuer un incident déclaré impliquant un ransomware lorsque les actions automatisées prises par les systèmes anti-programme malveillant ont échoué :

1. Impliquer les fournisseurs de logiciels anti-programme malveillant par le biais de processus de support standard
2. Ajouter manuellement des codes de hachage et d’autres informations associées aux programmes malveillants aux systèmes anti-programme malveillant
3. Appliquer les mises à jour des fournisseurs de logiciels anti-programme malveillant
4. Contenir les systèmes concernés jusqu’à ce qu’ils puissent être corrigés
5. Désactiver les comptes compromis
6. Effectuer une analyse de la cause racine
7. Appliquer les patchs et les modifications de configuration appropriés sur les systèmes concernés
8. Bloquer les communications relatives au ransomware à l’aide de contrôles internes et externes
9. Vider le contenu mis en cache

Route vers la récupération

L’équipe de détection et de réponse de Microsoft vous aidera à vous protéger des attaques.

Comprendre et résoudre les problèmes de sécurité fondamentaux qui ont conduit à la compromission doit être une priorité pour les cibles d’attaques par ransomware.

Intégrer des experts externes aux processus pour bénéficier de compétences supplémentaires, comme les experts de l’équipe Réponse aux incidents Microsoft. La réponse aux incidents Microsoft s’est engagée avec des clients dans le monde entier, elle aide à se protéger et se renforcer contre les attaques avant qu’elles ne se produisent, ainsi qu’à examiner et à corriger le moment quand une attaque a eu lieu.

Les clients peuvent faire appel à nos experts en sécurité directement depuis le portail Microsoft Defender pour obtenir une réponse rapide et précise. Les experts fournissent les informations nécessaires pour mieux comprendre les menaces complexes qui affectent votre organisation, qu’il s’agisse de questions concernant les alertes, d’appareils potentiellement compromis, de la cause racine d’une connexion réseau suspecte ou de renseignements supplémentaires sur les campagnes en cours de menaces persistantes avancées.

Microsoft est prêt à aider votre entreprise à revenir à des opérations sûres.

Microsoft a effectué des centaines de récupérations à la suite d’une compromission et dispose d’une méthodologie éprouvée. Celle-ci vous permettra non seulement de retrouver une position plus sûre, mais aussi de réfléchir à votre stratégie à long terme plutôt que de réagir à la situation.

Microsoft propose des services de récupération rapide en cas de ransomware. Dans ce cadre, une assistance est fournie dans tous les domaines tels que les services d’identité, la correction et le renforcement ainsi que le déploiement du monitoring, afin d’aider les cibles d’attaques par ransomware à reprendre une activité normale dans les plus brefs délais.

Nos services de récupération rapide en cas de ransomware sont considérés comme « confidentiels » pendant toute la durée de la mission. Les missions de récupération rapide en cas de ransomware sont exclusivement assurées par l’équipe de récupération après compromission (CRSP, Compromise Recovery Security Practice), qui fait partie du domaine Cloud et intelligence artificielle Azure. Pour plus d’informations, vous pouvez contacter l’équipe CRSP sur la page Demande de contact concernant la sécurité Azure.

Étapes suivantes

Consultez le livre blanc : Livre blanc Azure Defenses for Ransomware Attack.

Autres articles de cette série :

• Protection contre les ransomwares dans Azure
• Se préparer à une attaque par ransomware
• Fonctionnalités et ressources Azure qui vous aident à protéger, détecter et répondre