Comment les organismes de santé peuvent se protéger contre les ransomwares pendant la crise COVID-19 ?
Article rédigé par l’équipe de renseignements sur la protection contre les menaces de Microsoft conjointement avec le Centre de renseignements sur les menaces de Microsoft (MSTIC)
Les campagnes de rançonnement opérées par l’homme sont à l’affût de la moindre entrave pour s’infiltrer dans les organisations cibles. En cette période de crise, alors que les organisations ont développé le télétravail, les opérateurs de ransomwares ont identifié leur cible : les dispositifs de réseau tels que les passerelles et les appareils de réseau privé virtuel (VPN). Malheureusement, un des secteurs les plus exposés à ces attaques est celui de la santé.
Dans le cadre de l’intensification de la surveillance et du démantèlement des menaces qui exploitent la crise COVID-19, Microsoft a mis l’accent sur la protection des services essentiels, en particulier les hôpitaux. Aujourd’hui plus que jamais, les hôpitaux ont besoin d’être protégés contre les attaques qui peuvent entraver l’accès aux services essentiels au bon fonctionnement des hôpitaux, causer des temps d’arrêt ou même dérober des informations sensibles.
Lire aussi : Cybersécurité et coronavirus
Pourquoi les pirates utilisent des ransomwares opérés par l’homme ?
Alors qu’un grand nombre de pirates exploitent les failles des dispositifs de réseau, de plus en plus de campagnes de ransomwares opérées par l’homme voient là une opportunité en or et se joignent au mouvement. REvil (également connu sous le nom de Sodinokibi) est l’une des campagnes de ransomwares qui exploite activement les failles des passerelles et des VPN pour prendre pied dans les organisations cibles. Après s’y être infiltrés, les pirates volent des identifiants, s’octroient des droits d’accès plus large et se déplacent sur les réseaux endommagés avant de déployer des ransomwares ou d’autres logiciels malveillants.
Microsoft a traqué le ransomware REvil dans le cadre d’une surveillance plus large des attaques de ransomwares opérées par l’homme. Nos informations sur les campagnes de ransomwares montrent un chevauchement entre l’infrastructure des logiciels malveillants que REvil utilisait l’année dernière et l’infrastructure utilisée lors d’attaques VPN plus récentes. Cela indique une tendance continue des pirates à réutiliser les anciennes tactiques, techniques et procédures (TTP) pour de nouvelles attaques tirant profit de la crise actuelle. Nous n’avons pas vu d’innovations techniques dans ces nouvelles attaques, mais seulement des tactiques d’ingénierie sociale (pratique visant à obtenir, par manipulation mentale, une information confidentielle) conçues pour tirer profit des peurs des individus et de leur besoin urgent d’information en situation de crise.
Les pirates utilisent donc des méthodes d’attaques humaines pour cibler les organisations les plus vulnérables aux perturbations. Parmi celles-ci, les organisations qui ne disposaient pas, en amont de la crise, du temps ou des ressources nécessaires pour vérifier leur hygiène en termes de sécurité, comme l’installation des derniers correctifs, la mise à jour des pares-feux et la vérification des niveaux d’autorisations des utilisateurs et des points d’accès. Tout un tas de négligences qui augmentent la probabilité pour les pirates de réussir leurs attaques. Point de vigilance : les attaques de ransomwares opérées par l’homme sont bien plus élaborées que les attaques de ransomwares ordinaires. En effet, les auteurs de ces attaques disposent d’une connaissance approfondie de la gestion des systèmes et des erreurs de configuration courantes en matière de sécurité des réseaux. Des erreurs qui ne sont souvent pas définies comme étant des priorités à corriger.
Une fois que les pirates ont infiltré un réseau, ils effectuent une reconnaissance approfondie et adaptent les opérations d’octroiement des droits d’accès et les activités de mouvement latéral, c’est-à-dire le déplacement du cybercriminel à l’intérieur du réseau depuis l’ordinateur piraté, en fonction des failles du système de sécurité.
Lors de ces attaques, les pirates continuent généralement à circuler sur les réseaux sans être détectés, parfois même pendant plusieurs mois, et déploient le ransomware plus tard. Un type de ransomwares plus difficile à combattre car il peut être difficile pour les personnes en charge de la sécurité d’identifier les endroits où les pirates ont établi leur présence et de déterminer quelles boîtes de réception, identifiants, points d’accès ou applications ont été piratés.
Comment détecter, protéger et empêcher ce type de ransomware ?
Conscients que cette période est stressante et difficile pour tous, y compris pour les personnes en charge de la sécurité informatique, nous recommandons aux organisations de se focaliser immédiatement sur la diminution des risques liés aux attaques tirant profit des failles des réseaux et VPNs. Pour ce faire :
- Installez toutes les mises à jour de sécurité disponibles pour les configurations de pare-feu et VPN.
- Surveillez et accordez une attention particulière à votre infrastructure d’accès à distance. Toute anomalie repérée par les systèmes de sécurités doit faire l’objet d’une enquête immédiate. En cas de connexion effectuée sur un dispositif non reconnu, assurez-vous que tout compte utilisé sur ce dispositif a un mot de passe réinitialisé, les informations d’identification pouvant avoir été exfiltrées.
- Activez les règles de réduction de la surface d’attaque, y compris les règles qui bloquent les ransomwares et le vol d’identifiants. Pour lutter contre les activités malveillantes émanant de documents Office trafiqués, utilisez des règles qui bloquent l’activité avancée des macros, du contenu exécutable, de la création de processus et de la création de processus initiée par les applications Office. Pour évaluer l’impact de ces règles, déployez-les en mode audit.
- Activez l’interface d’analyse contre les logiciels malveillants (AMSI) pour Office VBA si vous disposez d’Office 365.
Source : L’Agence de Cybersécurité et de Sécurité des Infrastructures et l’Institut national des normes et des technologies
Pour aider les organisations à renforcer leur sécurité contre les ransomwares opérés par l’homme, nous avons également publié un rapport complet des conseils pour rendre les réseaux résistants à ces menaces et aux cyberattaques de façon plus générale. Parmi ces conseils :
- Renforcez les ressources en ligne et assurez-vous qu’elles disposent des dernières mises à jour de sécurité. Utilisez la gestion des menaces pour vérifier régulièrement ces ressources afin de détecter les failles, les mauvaises configurations et les activités suspectes.
- Sécurisez la passerelle de bureau à distance en utilisant des solutions comme l’Authentification Multi-Facteurs (MFA) d’Azure. Si vous ne disposez pas d’une passerelle MFA, activez l’Authentification au Niveau du Réseau (NLA).
- Pratiquez le principe de « moindre privilège » et maintenez l’hygiène des accès données. Évitez d’utiliser des comptes de service de niveau administrateur pour l’ensemble du domaine. Choisissez des mots de passe administrateur aléatoires et renforcés. Pour ce faire, utiliser des outils comme LAPS
- Contrôler les tentatives d’authentification excessives qui ont échoué (Windows Événement ID 4625). Surveiller l’effacement des Journaux d’Événements, en particulier le Journal des Événements de sécurité et les Journaux Opérationnels PowerShell. Pour ce faire, Microsoft Defender ATP émet automatiquement l’alerte « Le Journal d’Événements a été effacé » et Windows génère un ID d’événement 1102 lorsque cela se produit.
- Déterminez où les comptes hautement sécurisés se connectent et exposent leurs informations d’identification. Surveiller les événements de connexion (événement ID 4624) et enquêter sur les caractéristiques des types de connexion. Les comptes d’administrateur de domaine et autres comptes hautement sécurisés ne doivent pas rester présents sur les postes de travail.
- Utilisez le pare-feu Windows Defender et le pare-feu de votre réseau pour empêcher les communications Remote Procedure Call (RPC) et Server Message Block (SMB) entre les points d’extrémité dans la mesure du possible. Cela limite les mouvements latéraux ainsi que les autres attaques.
Nous continuons à travailler avec nos clients, nos partenaires et la communauté des chercheurs pour suivre de très près les ransomwares opérés par l’homme ainsi que les autres techniques utilisées par les pirates pour tirer profit de cette crise mondiale.