Non classé

Réalités de la rançon: cinq personnages que vous êtes sur le point d'être attaqués – Bien monter son serveur

Le 22 décembre 2020 - 6 minutes de lecture


Par Peter Mackenzie

Lorsque nous travaillons avec des victimes de rançon, nous passons un peu de temps à parcourir nos enregistrements de télémétrie qui couvrent la semaine ou les deux dernières. La télémétrie détecte parfois des anomalies de comportement qui (à elles seules) peuvent ne pas être intrinsèquement malveillantes, mais dans le contexte d'une attaque qui a déjà eu lieu, peuvent être considérées comme un indicateur précoce d'un acteur menaçant effectuant des opérations sur le réseau de la victime.

Si nous voyons l'un de ces cinq indicateurs, nous sautons dessus tout de suite. Certains de ceux qui ont été découverts lors d'une enquête indiquent presque certainement que les attaquants ont erré sur le réseau avant l'attaque: avoir une idée de la configuration du réseau et apprendre à obtenir les comptes et l'accès dont ils ont besoin pour démarrer un ransomware -attaques.

Les attaquants utilisent des outils d'administration légitimes pour préparer le terrain aux attaques de ransomware. Sans savoir quels outils les administrateurs utilisent normalement sur leurs ordinateurs, on peut facilement ignorer ces données. Rétrospectivement, ces cinq indicateurs représentent des signaux d'alarme exploratoires.

Un scanner réseau, en particulier sur un serveur

Les attaques commencent généralement lorsqu'un attaquant prend le contrôle d'une machine qu'il peut utiliser comme point de départ, à partir de laquelle il commence à profiler l'organisation cible: s'agit-il d'un poste de travail Mac ou Windows; quel est le domaine et le nom de l'entreprise; le type de privilèges d'administrateur dont dispose l'ordinateur. Les attaquants sauront alors ce qu'il y a d'autre sur le réseau et à quoi ils peuvent accéder. Le moyen le plus simple de le savoir est de scanner le réseau. Si vous découvrez un scanner réseau, tel que AngryIP ou Advanced Port Scanner, demandez à votre personnel administratif de s'assurer qu'il n'est pas responsable de le laisser là. Si personne ne se souvient d'utiliser le scanner, il est temps de le vérifier.

Outils de désactivation du logiciel antivirus

Lorsque les attaquants ont des privilèges d'administrateur, ils essaient souvent de désactiver les logiciels de sécurité à l'aide d'applications créées pour aider à la suppression forcée de logiciels tels que Process Hacker, IOBit Uninstaller, GMER ou PC Hunter. Ces types d'outils commerciaux sont légitimes, mais entre de mauvaises mains, les équipes de sécurité et les administrateurs doivent se demander pourquoi ils sont soudainement apparus.

La présence de MimiKatz

Toute découverte de l'outil de récupération de mot de passe MimiKatz n'importe où doit être étudiée. Si personne dans une équipe d'administrateurs ne peut se porter garant de l'utilisation de MimiKatz, c'est un signal d'alarme car c'est l'un des outils de piratage les plus utilisés pour les informations d'identification. Les attaquants utilisent également Microsoft Process Explorer, l'un des outils Windows Sysinternals, qui peut vider LSASS.exe de la mémoire et créer un fichier .dmp. Ensuite, ils peuvent extraire les mots de passe directement sur la machine à sous, ou effectuer le vidage de la mémoire dans l'environnement et utiliser MimiKatz pour extraire en toute sécurité le nom d'utilisateur et le mot de passe sur leur propre machine.

Modèles de comportement suspect

Toute découverte qui se produit à la même heure chaque jour, ou selon un rythme ou un rythme répété ou régulier, est souvent une indication que quelque chose d'autre se produit, même si des fichiers malveillants ont été découverts et supprimés. Les équipes de sécurité devraient se demander «pourquoi revient-il?» Les intervenants en cas d'incident savent que cela signifie normalement qu'une autre malveillance s'est produite qui n'a pas (encore) été identifiée.

Attaque de test

Parfois, des attaquants déploient de petites attaques de test sur quelques ordinateurs pour voir si la méthode de déploiement et le ransomware fonctionnent correctement ou si les outils de sécurité les arrêtent. Si les outils de sécurité bloquent l'attaque, ils changent de tactique et réessaient. Cela montre leur main, et les attaquants savent que leur temps est désormais limité. Ce n'est souvent qu'une question d'heures avant de lancer une attaque beaucoup plus importante.

Les solutions de cybersécurité de nouvelle génération de Sophos pour arrêter les ransomwares

Sophos offre une sécurité informatique à plusieurs niveaux pour se défendre contre la dernière rançon. Sophos fournit non seulement la meilleure protection à chaque point, mais fournit également le partage des informations sur les menaces entre tous ces points de sécurité avec une sécurité synchronisée.

Sophos XG Firewall empêche les attaques d'entrer dans un réseau. Si un ransomware pénètre accidentellement dans un réseau, Sophos XG Firewall peut automatiquement arrêter la mort du ransomware dans son

track grâce à l'intégration avec Sophos Intercept X.

Sophos Intercept X Advanced avec EDR comprend une technologie anti-ransomware qui détecte les processus de chiffrement malveillants et les arrête avant qu'ils ne puissent se propager sur le réseau.

Le service Sophos Managed Threat Response (MTR) ajoute une expertise humaine à la stratégie de sécurité à plusieurs niveaux d'une organisation. Une équipe d'élite de chasseurs de menaces recherche et valide de manière proactive les menaces potentielles, puis prend des mesures pour interrompre, contenir et neutraliser les attaques.

– L'auteur est le gestionnaire de réponse aux événements, Sophos

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.