L'inquiétude suscitée par l'attaque du ransomware Colonial Pipeline par DarkSide a dépassé le cadre de l'industrie de la cybersécurité pour s'étendre à la conscience du consommateur lambda, ce qui témoigne de l'ampleur des conséquences de cette attaque sur l'économie mondiale. En réponse, l'administration Biden a publié un décret et tenu une conférence de presse, et la communauté des pirates informatiques s'est employée à démanteler les serveurs du gang du ransomware DarkSide.
Que pouvez-vous faire pour protéger votre entreprise contre une attaque de type "ransomware-as-a-service" (RaaS) similaire à celle qui a paralysé Colonial Pipeline ? Tout d'abord, vous devez comprendre comment les attaques RaaS sont généralement menées, en privilégiant les vulnérabilités de Windows à exploiter pour l'accès initial. Dans cette vidéo, Sean Deuby, MVP Microsoft et directeur des services de Semperis, explique comment les attaquants s'introduisent dans Active Directory.
Lecture associée
Comme le souligne M. Deuby dans la vidéo, les groupes RaaS suivent un certain modèle de comportement :
- Une attaque commence par une "reconnaissance" à l'aide d'outils de pénétration pour obtenir un accès initial à vos systèmes.
- Après avoir réussi à s'implanter, les attaquants passeront des semaines à rechercher des vulnérabilités et à accéder à des comptes d'utilisateurs privilégiés.
- Le gang essaiera de maximiser l'impact après avoir verrouillé vos systèmes et demandé une rançon.
- L'attaque ne volera pas seulement vos données sensibles, mais menacera probablement de les rendre publiques si une rançon n'est pas payée dans les meilleurs délais.
Le gang des ransomwares DarkSide, en particulier, a quelques particularités qui lui sont propres :
- DarkSide a le sens des affaires. Non seulement il prétend avoir des "principes", comme celui de ne pas cibler les hôpitaux ou les écoles, mais il ne s'attaque qu'aux organisations dont il sait qu'elles peuvent payer et qu'elles le feront.
- Le gang est opportuniste et frappe lorsque les organisations sont les plus susceptibles de payer. Il est patient, effectuant des reconnaissances pendant plusieurs semaines pour localiser les joyaux de la couronne.
- Enfin, elle sait que les revenus générés par les ransomwares sont prévisibles - il n'y a aucun signe de ralentissement des ransomwares en tant que service. L'attaque de Colonial Pipeline, par exemple, montre que des groupes comme DarkSide ont déclaré la chasse ouverte aux fournisseurs d'infrastructures et aux systèmes SCADA.
Même si vous n'êtes pas une entreprise d'infrastructure, voici ce qu'il faut retenir : Les groupes d'attaque de type "Ransomware-as-a-Service" privilégient les vulnérabilités de Windows. Les conseils habituels tels que "gardez vos systèmes Windows à jour" s'appliquent tout particulièrement à ce type d'attaques. Cependant, il est également essentiel que vous recherchiez de manière proactive les configurations faibles dans vos systèmes d'identité (en particulier Active Directory) qui sont des cibles de choix pour les attaquants.
Télécharger Purple Knight Outil d'évaluation de la sécurité gratuit
Pour aider les entreprises à se prémunir contre les attaques de ransomware-as-a-service, Semperis a publié un outil d'évaluation de la sécurité gratuit, Purple KnightCet outil permet aux entreprises de sonder en toute sécurité leur environnement Microsoft Active Directory (AD) afin d'identifier les erreurs de configuration dangereuses et autres faiblesses que les attaquants peuvent exploiter pour voler des données et lancer des campagnes de logiciels malveillants. Conçu et géré par un groupe d'élite d'experts en identité Microsoft, l'outil permet aux organisations de lutter contre le déluge d'attaques croissantes ciblant AD en repérant les indicateurs d'exposition et de compromission dans leurs environnements et en fournissant des conseils correctifs pour combler les lacunes.
Purple Knight est actuellement utilisé par certaines des plus grandes organisations du monde, avec les environnements d'identité les plus complexes. Au départ, les utilisateurs ont rapporté un score d'échec moyen de 61 %, ce qui explique pourquoi AD est une cible facile pour les gangs de ransomware. Purple Knight vous aide à identifier les domaines dans lesquels la sécurité de votre système d'identité doit être prise en compte, notamment la sécurité Kerberos, la délégation AD, la sécurité des comptes, la sécurité de l'infrastructure AD et la sécurité de la stratégie de groupe.
Vous pouvez en savoir plus sur Purple Knight et demander un accès gratuit à purple-knight.com. Pour une analyse plus approfondie de l'exploitation d'Active Directory par des attaques récentes très médiatisées, consultez le séminaire en ligne "How Attackers Exploit Active Directory : Lessons Learned from High-Profile Breaches", présenté par Ran Harel (Semperis Principal Security Product Manager) et Brian Desmond (Principal of Ravenswood Technology Group).
Quelques minutes de votre temps peuvent suffire à renforcer votre système d'identité de base et à élever la barrière d'entrée pour les attaquants.
