Détecter les attaques par ransomware et y répondre

Les incidents de ransomware présentent généralement des signes d’avertissement distincts que les équipes de sécurité peuvent identifier. Contrairement à d’autres types de programmes malveillants, les ransomware produisent généralement des indicateurs très évidents qui nécessitent une investigation minimale avant de déclarer un incident. Ces déclencheurs à haut niveau de confiance sont opposés aux menaces plus subtiles qui demandent une analyse approfondie avant l’escalade. Lorsque les rançongiciels frappent, la preuve est souvent inmistakable.

En général, ces infections sont évidentes à partir du comportement du système de base, de l’absence de fichiers système ou utilisateur clés et de la demande de rançon. Dans ce cas, l’analyste doit déterminer s’il faut déclarer et remonter immédiatement l’incident, y compris prendre des mesures automatisées pour atténuer l’attaque.

Conseil / Astuce

Pour obtenir des conseils complets sur la détection et la réponse des ransomwares sur toutes les plateformes et services Microsoft, consultez Protéger votre organisation contre les ransomwares et l’extorsion. Cet article se concentre spécifiquement sur les fonctionnalités de détection et de réponse basées sur Azure.

Détection des attaques par ransomware

Microsoft Defender pour Cloud fournit des fonctionnalités de détection et de réponse des menaces de haute qualité pour les ressources Azure, également appelées détection et réponse étendues (XDR).

Vérifiez la détection et la correction rapides des attaques courantes sur des machines virtuelles Azure, des serveurs SQL, des applications web et des identités dans votre environnement Azure.

• Priorisez les points d’entrée courants : les opérateurs de ransomware (et autres) privilégient les points de terminaison, les e-mails, les identités et le protocole RDP (Remote Desktop Protocol).

  • XDR intégré - Utiliser des outils XDR (Extended Detection and Response) intégrés comme Microsoft Defender pour Cloud pour fournir des alertes de haute qualité pour les ressources Azure et réduire les frictions et les étapes manuelles pendant la réponse
  • Force brute - Surveiller les tentatives de force brute comme la pulvérisation de mot de passe sur les ressources Azure

• Surveiller la désactivation de la sécurité par une personne mal intentionnée – fait souvent partie de la chaîne d’attaque d’un ransomware exploité par l’homme (HumOR, Human-Operated Ransomware)

• Effacement des journaux d’événements , en particulier le journal des événements de sécurité et les journaux opérationnels PowerShell sur les machines virtuelles Azure

  • Désactivation des outils et des contrôles de sécurité (associés à certains groupes).

• Ne pas ignorer les malwares de base : Les attaquants par ransomware achètent souvent leur accès aux organisations cibles sur des marchés parallèles.

• Intégrez des experts externes dans des processus pour compléter l’expertise, telle que l’équipe de réponse aux incidents Microsoft.

• Isoler rapidement les machines virtuelles Azure compromises à l’aide de Defender pour point de terminaison.

Réponse aux attaques par ransomware

Déclaration d’incident

Une fois qu’une infection par ransomware réussie est confirmée, l’analyste doit vérifier s’il représente un nouvel incident ou s’il peut être lié à un incident existant. Recherchez les tickets ouverts qui indiquent des incidents similaires. Si c’est le cas, mettez à jour le ticket d’incident actuel avec les nouvelles informations dans le système de ticketing. S’il s’agit d’un nouvel incident, celui-ci doit être déclaré dans le système de tickets approprié et transmis aux équipes ou fournisseurs compétents pour en assurer la gestion et l'atténuation. Gardez à l’esprit que la gestion des incidents liés aux ransomwares peut nécessiter des mesures prises par plusieurs équipes informatiques et de sécurité. Dans la mesure du possible, assurez-vous que le ticket est clairement identifié comme un incident de ransomware afin de guider le flux de travail.

Confinement/atténuation

En général, différents logiciels anti-programmes malveillants de serveur/point de terminaison, les logiciels anti-programmes malveillants par e-mail et les solutions de protection réseau doivent être configurés pour contenir et atténuer automatiquement les ransomwares connus. Toutefois, il peut y avoir des cas où la variante de ransomware spécifique est en mesure de contourner ces protections et d’infecter correctement les systèmes cibles.

Microsoft fournit de nombreuses ressources pour vous aider à mettre à jour vos processus de réponse aux incidents sur la page Meilleures pratiques principales relatives à la sécurité Azure.

Voici les actions recommandées pour contenir ou atténuer un incident déclaré impliquant des ransomwares où les actions automatisées effectuées par les systèmes anti-programmes malveillants échouent :

1. Contacter des fournisseurs de solutions anti-programmes malveillants par des processus de support standard
2. Ajouter manuellement des hachages et d’autres informations associées aux programmes malveillants aux systèmes anti-programmes malveillants
3. Appliquer les mises à jour du fournisseur de logiciels anti-programmes malveillants
4. Contenir les systèmes concernés jusqu’à ce qu’ils puissent être corrigés
5. Désactiver les comptes compromis
6. Effectuer une analyse de la cause racine
7. Appliquer les patchs et les modifications de configuration appropriés sur les systèmes concernés
8. Bloquer les communications relatives au ransomware à l’aide de contrôles internes et externes
9. Purger le contenu mis en cache

Route vers la récupération

L’équipe de réponse aux incidents Microsoft vous aide à vous protéger contre les attaques.

Comprendre et résoudre les problèmes de sécurité fondamentaux qui ont conduit à la compromission doit être une priorité pour les cibles d’attaques par ransomware.

Intégrer des experts externes aux processus pour bénéficier de compétences supplémentaires, comme les experts de l’équipe Réponse aux incidents Microsoft. La réponse aux incidents Microsoft s’adresse aux clients du monde entier, ce qui permet de protéger et de renforcer les environnements Azure contre les attaques avant qu’elles ne se produisent, ainsi que d’examiner et de corriger lorsqu’une attaque s’est produite.

Les clients peuvent faire appel à nos experts en sécurité directement depuis le portail Microsoft Defender pour obtenir une réponse rapide et précise. Les experts fournissent les informations nécessaires pour mieux comprendre les menaces complexes qui affectent votre organisation, qu’il s’agisse de questions concernant les alertes, d’appareils potentiellement compromis, de la cause racine d’une connexion réseau suspecte ou de renseignements supplémentaires sur les campagnes en cours de menaces persistantes avancées.

Microsoft est prêt à aider votre entreprise à revenir à des opérations sûres.

Microsoft a effectué des centaines de récupérations à la suite d’une compromission et dispose d’une méthodologie éprouvée. Celle-ci vous permettra non seulement de retrouver une position plus sûre, mais aussi de réfléchir à votre stratégie à long terme plutôt que de réagir à la situation.

Microsoft propose des services de récupération rapide en cas de ransomware. Dans ce cadre, l’assistance est fournie dans tous les domaines tels que la restauration des services d’identité, la correction et le renforcement, et le déploiement de surveillance pour aider les cibles d’attaques par ransomware à revenir à l’activité normale dans le délai le plus court possible.

Nos services de récupération rapide en cas de ransomware sont considérés comme « confidentiels » pendant toute la durée de la mission. Les engagements de récupération rapide des ransomwares sont exclusivement fournis par l’équipe de réponse aux incidents Microsoft. Pour plus d’informations, vous pouvez contacter Microsoft Incident Response à Demande de contact à propos de la sécurité Azure.

Étapes suivantes

Pour obtenir des conseils complets sur la protection contre les ransomwares sur toutes les plateformes et services Microsoft, consultez Protéger votre organisation contre les ransomwares et les extorsion.

Consultez le livre blanc : Défenses Azure contre les attaques par ransomware.

Autres articles sur les ransomwares Azure :

• Protection contre les ransomwares dans Azure
• Se préparer à une attaque par ransomware
• Fonctionnalités et ressources Azure qui vous aident à protéger, détecter et répondre
• Améliorer vos défenses de sécurité pour les attaques par ransomware avec le Pare-feu Azure Premium