Approche de l'équipe de réponse aux incidents de Microsoft face aux rançongiciels et meilleures pratiques

Le ransomware géré par l’homme n’est pas un problème de logiciel malveillant , c’est un problème criminel humain. Les solutions utilisées pour résoudre les problèmes liés aux produits de base ne suffisent pas à prévenir une menace qui s'apparente davantage à celle d'un acteur national qui :

• Désactive ou désinstalle votre logiciel antivirus avant de crypter les fichiers
• Désactive les services de sécurité et la journalisation pour éviter la détection
• Localise et endommage ou supprime des sauvegardes avant d’envoyer une demande de rançon

Ces actions sont souvent effectuées à l’aide de programmes légitimes, tels que l’assistance rapide en mai 2024, que vous pourriez déjà avoir dans votre environnement à des fins administratives. Dans les mains criminelles, ces outils sont utilisés pour mener des attaques.

La réponse à la menace croissante des ransomware nécessite une combinaison de configuration d’entreprise moderne, de produits de sécurité up-to-date et d’un personnel de sécurité formé pour détecter et répondre aux menaces avant la perte des données.

L’équipe de réponse aux incidents Microsoft (anciennement DART/CRSP) répond aux compromis de sécurité pour aider les clients à devenir cyber-résilients. Microsoft réponse aux incidents fournit une réponse réactive aux incidents sur site et des enquêtes proactives à distance. Microsoft Réponse aux incidents utilise les partenariats stratégiques de Microsoft avec les organisations de sécurité du monde entier et les groupes de produits Microsoft internes afin de fournir l'examen le plus complet et le plus approfondi possible. Nos experts en réponse aux incidents priorisent la proactivité, utilisant les signaux quotidiens et les renseignements sur les menaces pour détecter les menaces dans chaque environnement client. Microsoft encourage les clients à établir également leur propre équipe de réponse aux incidents pour une surveillance interne maximale du périmètre.

Cet article explique comment Microsoft Réponse aux incidents gère les attaques par ransomware pour aider à guider les clients Microsoft dans les meilleures pratiques pour votre propre playbook sur les opérations de sécurité. Pour plus d’informations sur la façon dont Microsoft utilise la dernière IA pour l’atténuation des ransomwares, read notre article sur la défense Microsoft Security Copilot contre les attaques par ransomware.

Comment Microsoft réponse aux incidents utilise les services de sécurité Microsoft

Microsoft Réponse aux incidents repose fortement sur des données pour toutes les enquêtes et utilise des services de sécurité Microsoft tels que Microsoft Defender pour Office 365, Microsoft Defender pour point de terminaison, et Microsoft Defender for Cloud Apps.

Pour les dernières mises à jour des mesures de sécurité de l'équipe Réponse aux incidents de Microsoft, consultez leur Ninja Hub.

Microsoft Defender pour point de terminaison

Defender pour point de terminaison est la plateforme de sécurité de point de terminaison d'entreprise de Microsoft conçue pour aider les analystes de sécurité réseau d'entreprise à prévenir, détecter, examiner et répondre aux menaces avancées. Defender pour point de terminaison peut détecter les attaques à l’aide d’analyses comportementales avancées et du Machine Learning. Vos analystes peuvent utiliser Defender pour point de terminaison afin d’évaluer l’analytique comportementale des acteurs des menaces.

Vos analystes peuvent également effectuer des requêtes de repérage avancées pour identifier les indicateurs de compromission (IOC) ou rechercher le comportement connu de l’acteur de menace.

Defender pour Endpoint fournit un accès en temps réel à la supervision et à l’analyse par des experts de Microsoft Defender Experts pour une activité d’acteur suspecte en cours. Vous pouvez également collaborer avec des experts à la demande pour obtenir des informations supplémentaires sur les alertes et les incidents.

Microsoft Defender pour Identity

Defender pour Identity examine les comptes compromis connus pour identifier d’autres comptes potentiellement compromis dans votre organisation. Defender pour Identity envoie des alertes pour les activités malveillantes connues, telles que les attaques DCSync, les tentatives d’exécution de code distant et les attaques pass-the-hash.

Microsoft Defender for Cloud Apps (Solution de protection pour applications Cloud)

Defender for Cloud Apps (anciennement Microsoft Cloud App Security) permet à votre analyste de détecter un comportement inhabituel entre les applications cloud pour identifier les ransomwares, les utilisateurs compromis ou les applications non autorisées. Defender for Cloud Apps est la solution CASB (Cloud Access Broker) de Microsoft qui permet la surveillance des services cloud et des données accessibles par les utilisateurs dans les services cloud.

Niveau de sécurité Microsoft

Microsoft Defender XDR services fournissent des recommandations de correction dynamiques pour réduire la surface d’attaque. Niveau de sécurité Microsoft est une mesure de la posture de sécurité d'une organisation, avec un nombre plus élevé indiquant que d'autres actions d'amélioration ont été prises. Pour plus d’informations sur la façon dont votre organisation peut utiliser cette fonctionnalité pour hiérarchiser les actions de correction pour leur environnement, lisez la documentation Du score sécurisé.

L'approche de réponse aux incidents de Microsoft pour mener des enquêtes sur les incidents de ransomware.

Déterminer comment un acteur de menace a obtenu l’accès à votre environnement est essentiel pour identifier les vulnérabilités, mener une atténuation des attaques et empêcher les attaques futures. Dans certains cas, l’acteur de la menace prend des mesures pour couvrir ses traces et détruire des preuves. Il est donc possible que toute la chaîne d’événements ne soit pas évidente.

Voici trois étapes clés dans le cadre des enquêtes de Microsoft sur les ransomwares dans le cadre de la réponse aux incidents :

Étape	Objectif	Premières questions
1. Évaluer la situation actuelle	Comprendre l’étendue	Qu'est-ce qui vous a fait prendre conscience de l'existence d'une attaque de rançongiciel ? À quelle heure/date avez-vous appris l’incident ? Quels sont les journaux de bord disponibles et existe-t-il des signes que l'acteur malveillant accède actuellement aux systèmes ?
2. Identifier les applications du secteur d'activité (LOB) concernées	Remettre les systèmes en ligne	L’application a-t-elle besoin d’une identité ? Les sauvegardes de l’application, de la configuration et des données sont-elles disponibles ? Le contenu et l’intégrité des sauvegardes sont-ils régulièrement vérifiés à l’aide d’un exercice de restauration ?
3. Déterminer le processus de récupération après compromission (CR)	Supprimer l’acteur de menace de l’environnement	N.D.

Étape 1 : Évaluer la situation actuelle

Une évaluation de la situation actuelle est essentielle à la compréhension de l’étendue de l’incident et à la détermination des meilleures personnes à aider et à planifier et à définir les tâches d’investigation et de correction. Poser les questions initiales suivantes est essentielle pour aider à déterminer la source et l’étendue de la situation.

Comment avez-vous identifié l’attaque par ransomware ?

Si votre personnel informatique a identifié la menace initiale telle que les sauvegardes supprimées, les alertes antivirus, les alertes de détection et de réponse des points de terminaison (EDR) ou les modifications suspectes du système, il est souvent possible de prendre des mesures décisives rapides pour contrecarrer l’attaque. Ces mesures impliquent généralement de désactiver toutes les communications Internet entrantes et sortantes. Bien que cette mesure puisse affecter temporairement les opérations commerciales qui seraient généralement beaucoup moins impactantes que le déploiement réussi des ransomwares.

Si l'appel d'un utilisateur au support technique informatique a permis d'identifier la menace, il pourrait y avoir suffisamment d'avance pour prendre des mesures défensives afin de prévenir ou de minimiser les effets de l'attaque. Si une entité externe telle que l’application de la loi ou une institution financière a identifié la menace, il est probable que les dommages sont déjà faits. À ce stade, l’acteur de menace peut avoir un contrôle administratif de votre réseau. Cette preuve peut aller des notes de ransomware aux écrans verrouillés aux demandes de rançon.

À quelle heure/date avez-vous appris l’incident ?

L’établissement de la date et de l’heure d’activité initiales est important pour limiter l’étendue du triage initial pour l’activité de l’acteur de menace. Des questions supplémentaires peuvent inclure :

• Quelles sont les mises à jour manquantes à cette date ? Il est important d’identifier les vulnérabilités exploitées.
• Quels comptes ont été utilisés à cette date ?
• Quels nouveaux comptes ont été créés depuis cette date ?

Quels sont les journaux disponibles et existe-t-il une indication que l’acteur accède actuellement aux systèmes ?

Les journaux - tels que ceux de l'antivirus, de l'EDR et du réseau privé virtuel (VPN) - peuvent fournir des preuves d'une compromission présumée. Les questions de suivi peuvent inclure :

• Les journaux sont-ils agrégés dans une solution SIEM (Security Information and Event Management), telle que Microsoft Sentinel, Splunk, ArcSight et autres, et sont-ils à jour ? Quelle est la période de rétention des données ?
• Existe-t-il des systèmes compromis soupçonnés d’une activité inhabituelle ?
• Existe-t-il des comptes compromis suspects qui semblent être sous contrôle d’acteur de menace actif ?
• Existe-t-il des preuves de commandes et contrôles actifs (C2s) dans les journaux EDR, pare-feu, VPN, proxy web et autres logs ?

Pour évaluer la situation, vous devrez peut-être disposer d'un contrôleur de domaine services de domaine Active Directory (AD DS) qui n'a pas été compromis, d'une sauvegarde récente d'un contrôleur de domaine ou d'un contrôleur de domaine récent mis hors connexion pour la maintenance ou les mises à niveau. Déterminez également si authentification multifacteur (MFA) a été requise pour tous les membres de l’entreprise et si Microsoft Entra ID a été utilisé.

Étape 2 :Identifier les applications LOB qui ne sont pas disponibles en raison de l’incident

Cette étape est essentielle pour déterminer le moyen le plus rapide d’obtenir les systèmes en ligne tout en obtenant les preuves nécessaires.

L’application a-t-elle besoin d’une identité ?

• Comment s’effectue l’authentification ?
• Comment les informations d’identification telles que les certificats ou les secrets sont-ils stockés et gérés ?

Les sauvegardes testées de l’application, de la configuration et des données sont-elles disponibles ?

• Le contenu et l’intégrité des sauvegardes sont-ils régulièrement vérifiés à l’aide d’un exercice de restauration ? Cette vérification est importante après les modifications de gestion de la configuration ou les mises à niveau de version.

Étape 3 : Déterminer le processus de récupération compromis

Cette étape peut être nécessaire si le plan de contrôle, qui est généralement AD DS, a été compromis.

Votre investigation doit toujours fournir une sortie qui alimente directement le processus CR. CR est le processus qui supprime le contrôle de l’acteur des menaces d’un environnement et augmente tactiquement la posture de sécurité au cours d’une période définie. CR a lieu après une violation de sécurité. Pour en savoir plus sur CR, lisez l'article de blog de l'équipe Microsoft CRSP : L'équipe d'urgence qui combat les cyber-attaques aux côtés des clients.

Après avoir recueilli des réponses aux questions des étapes 1 et 2, vous pouvez créer une liste de tâches et attribuer des propriétaires. L’engagement de réponse aux incidents réussi nécessite une documentation complète et détaillée de chaque élément de travail (par exemple, le propriétaire, l’état, les résultats, la date et l’heure) pour compiler les résultats.

Microsoft recommandations en matière de réponse aux incidents et meilleures pratiques

Voici les recommandations de Microsoft en matière de réponse aux incidents et les meilleures pratiques en matière de confinement et d'activités post-incidents.

Confinement

L’isolement ne peut se produire qu’une fois que vous déterminez ce qui doit être contenu. Dans le cas d’un ransomware, l’acteur de menace vise à obtenir des informations d’identification pour le contrôle administratif sur un serveur hautement disponible, puis à déployer le ransomware. Dans certains cas, l’acteur de menace identifie les données sensibles et les exfiltrat à un emplacement qu’ils contrôlent.

La récupération tactique est unique pour l’environnement, le secteur et le niveau d’expertise et d’expérience informatiques de votre organisation. Les étapes décrites ci-dessous sont recommandées pour l’endiguement à court terme et tactique. Pour en savoir plus sur les conseils à long terme, consultez la sécurisation de l’accès privilégié. Pour une vue complète de la défense contre les ransomwares et l’extorsion, consultez le ransomware géré par l’homme.

Les étapes de confinement suivantes peuvent être effectuées à mesure que de nouveaux vecteurs de menace sont découverts.

Étape 1 : Évaluer l’étendue de la situation

• Quels comptes d’utilisateur ont été compromis ?
• Quels appareils sont affectés ?
• Quelles applications sont affectées ?

Étape 2 : Conserver les systèmes existants

• Désactivez tous les comptes d’utilisateur privilégiés à l’exception d’un petit nombre de comptes utilisés par vos administrateurs pour aider à réinitialiser l’intégrité de votre infrastructure AD DS. Si vous pensez qu’un compte d’utilisateur est compromis, désactivez-le immédiatement.
• Isolez les systèmes compromis du réseau, mais ne les désactivez pas.
• Isolez au moins un (et idéalement deux) contrôleur de domaine correct connu dans chaque domaine. Déconnectez-les du réseau ou désactivez-les pour empêcher la propagation des ransomwares aux systèmes critiques, en hiérarchisant l’identité comme vecteur d’attaque le plus vulnérable. Si tous vos contrôleurs de domaine sont virtuels, assurez-vous que le système et les lecteurs de données de la plateforme de virtualisation sont sauvegardés sur un média externe hors connexion qui n’est pas connecté au réseau.
• Isolez les serveurs d’applications critiques connus, tels que SAP, la base de données de gestion de la configuration (CMDB), la facturation et les systèmes de comptabilité.

Ces deux étapes peuvent être effectuées simultanément à mesure que de nouveaux vecteurs de menace sont découverts. Pour isoler la menace du réseau, désactivez ces vecteurs de menace, puis recherchez un système non compromis connu.

Parmi les autres actions tactiques de confinement, citons :

• Réinitialisez deux fois le mot de passe krbtgt en succession rapide. Envisagez d’utiliser un processus scripté et reproductible. Ce script vous permet de réinitialiser le mot de passe du compte krbtgt et les clés associées tout en réduisant la probabilité de problèmes d’authentification Kerberos. Pour réduire les problèmes, la durée de vie de krbtgt peut être réduite une ou plusieurs fois avant la première réinitialisation du mot de passe pour effectuer rapidement ces étapes. Tous les contrôleurs de domaine que vous envisagez de conserver dans votre environnement doivent être en ligne.

• Déployez une stratégie de groupe sur l’ensemble du ou des domaines qui empêche les connexions privilégiées (administrateurs de domaine) à tout sauf aux contrôleurs de domaine et aux stations de travail réservées à l’administration privilégiée (si présentes).

• Installez toutes les mises à jour de sécurité manquantes pour les systèmes d’exploitation et les applications. Chaque mise à jour manquante est un vecteur de menace potentiel que les acteurs de ransomware peuvent rapidement identifier et utiliser. Microsoft Defender pour point de terminaison Gestion des menaces et des vulnérabilités offre un moyen simple de voir exactement ce qui fait défaut, ainsi que l'impact de ces absences.

  • Pour les appareils Windows 10 (ou version ultérieure), vérifiez que la version actuelle (ou n-1) s’exécute sur chaque appareil.

  • Déployez des règles de réduction de la surface d’attaque (ASR) pour empêcher l’infection par les programmes malveillants.

  • Activez toutes les fonctionnalités de sécurité Windows 10.

• Vérifiez que chaque application externe, y compris l’accès VPN, est protégée par l’authentification multifacteur (MFA), de préférence à l’aide d’une application d’authentification s’exécutant sur un appareil sécurisé.

• Pour les appareils n’utilisant pas Defender pour point de terminaison comme logiciel antivirus principal, effectuez une analyse complète avec Microsoft Safety Scanner sur des systèmes fiables connus isolés avant de les reconnecter au réseau.

• Pour tous les systèmes d’exploitation hérités, effectuez une mise à niveau vers un système d’exploitation pris en charge ou désactivez ces appareils. Si ces options ne sont pas disponibles, prenez toutes les mesures possibles pour isoler ces appareils, notamment l’isolation réseau/VLAN, les règles de sécurité IPsec (Internet Protocol Security) et les restrictions de connexion. Ces étapes permettent de s’assurer que ces systèmes sont accessibles uniquement par les utilisateurs/appareils pour assurer la continuité de l’activité.

Les configurations les plus risquées consistent à exécuter des systèmes stratégiques sur des systèmes d’exploitation hérités aussi anciens que Windows NT 4.0 et les applications, tous sur du matériel hérité. Non seulement ces systèmes d’exploitation et ces applications sont non sécurisés et vulnérables, mais si ce matériel échoue, les sauvegardes ne peuvent généralement pas être restaurées sur du matériel moderne. Ces applications ne peuvent pas fonctionner sans matériel hérité. Envisagez fortement de convertir ces applications pour qu’elles s’exécutent sur des systèmes d’exploitation et du matériel actuels.

Activités post-incident

Microsoft réponse aux incidents recommande d’implémenter les recommandations de sécurité et les meilleures pratiques suivantes après chaque incident.

• Assurez-vous que les bonnes pratiques sont en place pour les solutions de messagerie et de collaboration afin d’empêcher les acteurs des menaces de les utiliser tout en permettant aux utilisateurs internes d’accéder facilement et en toute sécurité au contenu externe.

• Suivez les bonnes pratiques de sécurité Confiance nulle pour les solutions d’accès à distance aux ressources organisationnelles internes.

• Pour les administrateurs avec un impact critique, suivez les meilleures pratiques pour la sécurité des comptes, notamment à l’aide de l’authentification sans mot de passe ou de l’authentification multifacteur.

• Mettez en œuvre une stratégie globale pour réduire le risque de compromission des accès privilégiés.

  • Pour l'accès administratif au cloud et à la forêt/domaine, utilisez le modèle d'accès privilégié (PAM) de Microsoft.

  • Pour la gestion administrative des points de terminaison, utilisez la solution de mot de passe d’administration local (LAPS).

• Implémentez la protection des données pour bloquer les techniques de ransomware et confirmer la récupération rapide et fiable d’une attaque.

• Passez en revue vos systèmes critiques. Vérifier la protection et les sauvegardes contre la suppression ou le chiffrement des acteurs de la menace. Passez en revue et validez régulièrement ces sauvegardes.

• Assurez la détection et la correction rapides des attaques courantes contre le point de terminaison, l’e-mail et l’identité.

• Découvrez et améliorez continuellement le niveau de sécurité de votre environnement.

• Mettez à jour les processus organisationnels pour gérer les événements de rançongiciel majeurs et rationaliser l’externalisation pour éviter les frictions.

PAM

L'utilisation du PAM (anciennement le modèle d'administration hiérarchisé) améliore la posture de sécurité de Microsoft Entra ID, ce qui implique :

• Fractionnement des comptes d'administration dans un environnement structuré, ce qui signifie un compte pour chaque niveau (généralement quatre niveaux) :

• Plan de contrôle (anciennement niveau 0) : administration des contrôleurs de domaine et d’autres services d’identité essentiels, tels que Services ADFS (ADFS) ou Microsoft Entra Connect. Il s’agit également d’applications serveur qui nécessitent des autorisations d’administration pour AD DS, telles que Exchange Server.

• Les deux avions suivants étaient précédemment de niveau 1 :

  • Plan de gestion : Gestion des actifs, surveillance et sécurité.

  • Plan de données/charge de travail : applications et serveurs d’applications.

• Les deux plans suivants étaient anciennement de niveau 2 :

  • Accès utilisateur : droits d’accès pour les utilisateurs (tels que les comptes).

  • Accès aux applications : droits d’accès aux applications.

• Chacun de ces plans dispose d’une station de travail administrative distincte pour chaque plan et n’a accès qu’aux systèmes de ce plan. Les comptes d'autres plans se voient refuser l'accès aux stations de travail et aux serveurs des différents plans par le biais des attributions de droits d'utilisateur définies pour ces appareils.

Le PAM garantit les points suivants :

• Un compte utilisateur compromis n’a accès qu’à sa propre couche.

• Les comptes d'utilisateurs plus sensibles ne peuvent pas accéder aux stations de travail et aux serveurs ayant un niveau de sécurité inférieur. Cela permet d’empêcher le mouvement latéral de l’acteur de menace.

LAPS

Par défaut, Microsoft Windows et AD DS n’ont pas de gestion centralisée des comptes d’administration locaux sur les stations de travail et les serveurs membres. Ce manque de gestion peut entraîner un mot de passe commun pour tous ces comptes locaux, ou au moins pour les groupes d’appareils. Cette situation permet aux acteurs de menace de compromettre un compte d’administrateur local pour accéder ensuite à d’autres stations de travail ou serveurs de l’organisation.

Microsoft'LAPS atténue cette menace à l'aide d'une extension côté client de stratégie de groupe qui modifie le mot de passe administratif local à intervalles réguliers sur les stations de travail et les serveurs en fonction de l'ensemble de stratégies. Chacun de ces mots de passe est différent et stocké en tant qu’attribut dans l’objet ordinateur AD DS. Cet attribut peut être récupéré à partir d’une application cliente simple, en fonction des autorisations affectées à cet attribut.

LAPS nécessite que le schéma AD DS soit étendu pour permettre l’attribut supplémentaire, les modèles de stratégie de groupe LAPS à installer et l’installation d’une petite extension côté client sur chaque station de travail et serveur membre pour fournir des fonctionnalités côté client.

Vous pouvez télécharger LAPS à partir du Centre de téléchargement Microsoft.

Autres ressources de ransomware

Les ressources Microsoft suivantes permettent de détecter les attaques par ransomware et de protéger les ressources organisationnelles :

• Rançongiciels d'origine humaine

• Se protéger rapidement contre les rançongiciels et l'extorsion

• 2023 Microsoft Digital Defense Report (voir les pages 17-26)

• Ransomware : une menace omniprésente et en cours rapport d’analyse des menaces dans le portail Microsoft Defender

• Étude de cas sur la réponse aux incidents de rançongiciel de Microsoft

Microsoft 365 :

• Déployez la protection contre les ransomwares pour votre locataire Microsoft 365
• Optimisez la résilience contre les ransomwares avec Azure et Microsoft 365
• Récupération après une attaque par ransomware
• Protection contre les programmes malveillants et les ransomware
• Protéger votre PC Windows 10 à partir d’un ransomware
• Gestion des ransomwares dans SharePoint Online
• rapports d’analyse des menaces de ransomware dans le portail Microsoft Defender
• Leverage AI pour se défendre contre les ransomwares avec Microsoft Security Copilot

Microsoft Defender XDR :

• Rechercher des rançongiciels avec la recherche avancée

Microsoft Azure :

• Azure Défenses contre les attaques par ransomware
• Optimisez la résilience contre les ransomwares avec Azure et Microsoft 365
• Plan de sauvegarde et restauration pour la protection contre les rançongiciels
• Aidez à protéger contre les ransomwares avec Microsoft Sauvegarde Azure (vidéo de 26 minutes)
• Récupération après une compromission de l'identité systémique
• Détection avancée des attaques à plusieurs étapes dans Microsoft Sentinel
• Détection de ransomware Fusion dans Microsoft Sentinel

Microsoft Defender for Cloud Apps :

• Créer les stratégies de détection d’anomalies dans Defender for Cloud Apps