Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les incidents de ransomware présentent généralement des signes d’avertissement distincts que les équipes de sécurité peuvent identifier. Contrairement à d’autres types de programmes malveillants, les ransomware produisent généralement des indicateurs très évidents qui nécessitent une investigation minimale avant de déclarer un incident. Ces déclencheurs à haut niveau de confiance sont opposés aux menaces plus subtiles qui demandent une analyse approfondie avant l’escalade. Lorsque les rançongiciels frappent, la preuve est souvent inmistakable.
En général, ces infections sont évidentes à partir du comportement du système de base, de l’absence de fichiers système ou utilisateur clés et de la demande de rançon. Dans ce cas, l’analyste doit déterminer s’il faut déclarer et remonter immédiatement l’incident, y compris prendre des mesures automatisées pour atténuer l’attaque.
Détection des attaques par ransomware
Microsoft Defender pour le cloud offre des capacités de détection des menaces et de réponse de haute qualité, également appelées Détection et réponse étendues (XDR).
Assurez-vous de la détection et de la correction rapides des attaques courantes sur les machines virtuelles, les serveurs SQL, les applications web et l’identité.
Priorisez les points d’entrée courants : les opérateurs de ransomware (et autres) privilégient les points de terminaison, les e-mails, les identités et le protocole RDP (Remote Desktop Protocol).
- XDR intégrés : Utilisez des outils Détection et réponse étendues (XDR) intégrés comme Microsoft Defender pour le cloud pour fournir des alertes de qualité et réduire les frictions et les étapes manuelles lors de la réponse.
- Force brute : Soyez attentif aux tentatives d’attaque par force brute, comme la pulvérisation de mots de passe.
Surveiller la désactivation de la sécurité par une personne mal intentionnée – fait souvent partie de la chaîne d’attaque d’un ransomware exploité par l’homme (HumOR, Human-Operated Ransomware)
Effacement des journaux d’événements : En particulier le journal des événements de sécurité et les journaux des opérations PowerShell.
- Désactivation des outils et des contrôles de sécurité (associés à certains groupes).
Ne pas ignorer les malwares de base : Les attaquants par ransomware achètent souvent leur accès aux organisations cibles sur des marchés parallèles.
Intégrer des experts externes aux processus pour bénéficier de compétences supplémentaires, comme les experts de l’équipe Réponse aux incidents Microsoft (anciennement DART/CRSP).
Isoler rapidement les appareils compromis à l’aide de Defender pour point de terminaison dans un déploiement local.
Réponse aux attaques par ransomware
Déclaration d’incident
Une fois qu’une infection par ransomware réussie est confirmée, l’analyste doit vérifier s’il représente un nouvel incident ou s’il peut être lié à un incident existant. Recherchez les tickets ouverts qui indiquent des incidents similaires. Si c’est le cas, mettez à jour le ticket d’incident actuel avec les nouvelles informations dans le système de ticketing. S’il s’agit d’un nouvel incident, celui-ci doit être déclaré dans le système de tickets approprié et transmis aux équipes ou fournisseurs compétents pour en assurer la gestion et l'atténuation. Gardez à l’esprit que la gestion des incidents liés aux ransomwares peut nécessiter des mesures prises par plusieurs équipes informatiques et de sécurité. Dans la mesure du possible, assurez-vous que le ticket est clairement identifié comme un incident de ransomware afin de guider le flux de travail.
Confinement/atténuation
En général, différents logiciels anti-programmes malveillants de serveur/point de terminaison, les logiciels anti-programmes malveillants par e-mail et les solutions de protection réseau doivent être configurés pour contenir et atténuer automatiquement les ransomwares connus. Toutefois, il peut y avoir des cas où la variante de ransomware spécifique est en mesure de contourner ces protections et d’infecter correctement les systèmes cibles.
Microsoft fournit de nombreuses ressources pour vous aider à mettre à jour vos processus de réponse aux incidents sur la page Meilleures pratiques principales relatives à la sécurité Azure.
Voici les actions recommandées pour contenir ou atténuer un incident déclaré impliquant des ransomwares où les actions automatisées effectuées par les systèmes anti-programmes malveillants échouent :
- Contacter des fournisseurs de solutions anti-programmes malveillants par des processus de support standard
- Ajouter manuellement des hachages et d’autres informations associées aux programmes malveillants aux systèmes anti-programmes malveillants
- Appliquer les mises à jour du fournisseur de logiciels anti-programmes malveillants
- Contenir les systèmes concernés jusqu’à ce qu’ils puissent être corrigés
- Désactiver les comptes compromis
- Effectuer une analyse de la cause racine
- Appliquer les patchs et les modifications de configuration appropriés sur les systèmes concernés
- Bloquer les communications relatives au ransomware à l’aide de contrôles internes et externes
- Purger le contenu mis en cache
Route vers la récupération
L’équipe de détection et de réponse Microsoft vous protège contre les attaques
Comprendre et résoudre les problèmes de sécurité fondamentaux qui ont conduit à la compromission doit être une priorité pour les cibles d’attaques par ransomware.
Intégrer des experts externes aux processus pour bénéficier de compétences supplémentaires, comme les experts de l’équipe Réponse aux incidents Microsoft. Microsoft Incident Response s'engage avec des clients dans le monde entier, elle aide à protéger et à renforcer contre les attaques avant qu'elles ne se produisent, ainsi qu'à enquêter et à remédier lorsqu'une attaque a eu lieu.
Les clients peuvent faire appel à nos experts en sécurité directement depuis le portail Microsoft Defender pour obtenir une réponse rapide et précise. Les experts fournissent les informations nécessaires pour mieux comprendre les menaces complexes qui affectent votre organisation, qu’il s’agisse de questions concernant les alertes, d’appareils potentiellement compromis, de la cause racine d’une connexion réseau suspecte ou de renseignements supplémentaires sur les campagnes en cours de menaces persistantes avancées.
Microsoft est prêt à aider votre entreprise à revenir à des opérations sûres.
Microsoft a effectué des centaines de récupérations à la suite d’une compromission et dispose d’une méthodologie éprouvée. Celle-ci vous permettra non seulement de retrouver une position plus sûre, mais aussi de réfléchir à votre stratégie à long terme plutôt que de réagir à la situation.
Microsoft propose des services de récupération rapide en cas de ransomware. Dans ce cadre, une assistance est fournie dans tous les domaines tels que les services d’identité, la correction et le renforcement ainsi que le déploiement du monitoring, afin d’aider les cibles d’attaques par ransomware à reprendre une activité normale dans les plus brefs délais.
Nos services de récupération rapide en cas de ransomware sont considérés comme « confidentiels » pendant toute la durée de la mission. Les missions de récupération rapide en cas de ransomware sont exclusivement assurées par l’équipe de récupération après compromission (CRSP, Compromise Recovery Security Practice), qui fait partie du domaine Cloud et intelligence artificielle Azure. Pour plus d’informations, vous pouvez contacter l’équipe CRSP sur la page Demande de contact concernant la sécurité Azure.
Étapes suivantes
Consultez le livre blanc : Défenses Azure contre les attaques par ransomware.
Autres articles de cette série :