Détecter les attaques par ransomware et y répondre

Plusieurs déclencheurs potentiels peuvent indiquer un incident de ransomware. Contrairement à de nombreux autres types de programmes malveillants, la plupart seront des déclencheurs à haut niveau de confiance (pour lesquels peu d’investigations ou d’analyses supplémentaires sont nécessaires avant la déclaration d’un incident) plutôt que des déclencheurs à faible niveau de confiance (pour lesquels des investigations ou des analyses supplémentaires plus importantes sont nécessaires avant la déclaration d’un incident).

En général, de telles infections sont évidentes du fait d’une différence par rapport au comportement de base du système, de l’absence de fichiers clés du système ou de l’utilisateur et de la demande de rançon. Dans ce cas, l’analyste doit se demander s’il faut immédiatement déclarer et faire remonter l’incident, y compris en prenant toute mesure automatisée pour atténuer l’attaque.

Détection des attaques par ransomware

Microsoft Defender pour le cloud offre des capacités de détection des menaces et de réponse de haute qualité, également appelées Détection et réponse étendues (XDR).

Assurez-vous de la détection et de la correction rapides des attaques courantes sur les machines virtuelles, les serveurs SQL, les applications web et l’identité.

• Hiérarchiser les points d’entrée courants – Ransomware (et autres) opérateurs privilégient le point de terminaison/l’e-mail/l’identité + le protocole RDP (Remote Desktop Protocol)
  • XDR intégrés : Utilisez des outils Détection et réponse étendues (XDR) intégrés comme Microsoft Defender pour le cloud pour fournir des alertes de qualité et réduire les frictions et les étapes manuelles lors de la réponse.
  • Force brute : Soyez attentif aux tentatives d’attaque par force brute, comme la pulvérisation de mots de passe.
• Surveiller la désactivation de la sécurité des adversaires , car il s’agit souvent d’une chaîne d’attaque de ransomware géré par l’homme (HumOR)
  • Effacement des journaux d’événements : En particulier le journal des événements de sécurité et les journaux des opérations PowerShell.
  • Désactivation des outils et des contrôles de sécurité (associés à certains groupes).
• Ne pas ignorer les programmes malveillants comme marchandises : Il est fréquent que les attaquants par ransomwares achètent leur accès aux organisations cibles sur des marchés parallèles.
• Intégrer des experts externes : Intégrez-les aux processus pour bénéficier de compétences supplémentaires, comme l’équipe de détection et de réponse de Microsoft (DART).
• Isoler rapidement les ordinateurs compromis à l’aide de Defender pour point de terminaison dans un déploiement local.

Réponse aux attaques par ransomware

Déclaration d’incident

Une fois qu’une infection de ransomware a été confirmée, l’analyste doit vérifier s’il s’agit d’un nouvel incident ou s’il peut être lié à un incident existant. Recherchez les tickets ouverts qui indiquent des incidents similaires. Si c’est le cas, mettez à jour le ticket d’incident actuel avec les nouvelles informations dans le système de ticketing. S’il s’agit d’un nouvel incident, un incident doit être déclaré dans le système de ticketing pertinent et transmis aux équipes ou aux fournisseurs appropriés pour contenir et atténuer l’incident. Gardez à l’esprit que la gestion des incidents liés aux ransomwares peut nécessiter des mesures prises par plusieurs équipes informatiques et de sécurité. Dans la mesure du possible, assurez-vous que le ticket est clairement identifié comme un incident de ransomware afin de guider le flux de travail.

Endiguement/atténuation

En général, les diverses solutions de protection anti-programme malveillant des serveurs/points de terminaison, des e-mails et du réseau doivent être configurées pour contenir et atténuer automatiquement les ransomwares connus. Il peut toutefois arriver que la variante spécifique d’un ransomware parvienne à contourner ces protections et à infecter les systèmes cibles.

Microsoft fournit de nombreuses ressources pour vous aider à mettre à jour vos processus de réponse aux incidents sur la page Meilleures pratiques principales relatives à la sécurité Azure.

Les actions suivantes sont recommandées pour contenir ou atténuer un incident déclaré impliquant un ransomware lorsque les actions automatisées prises par les systèmes anti-programme malveillant ont échoué :

1. Impliquer les fournisseurs de logiciels anti-programme malveillant par le biais de processus de support standard
2. Ajouter manuellement des codes de hachage et d’autres informations associées aux programmes malveillants aux systèmes anti-programme malveillant
3. Appliquer les mises à jour des fournisseurs de logiciels anti-programme malveillant
4. Contenir les systèmes concernés jusqu’à ce qu’ils puissent être corrigés
5. Désactiver les comptes compromis
6. Effectuer une analyse de la cause racine
7. Appliquer les patchs et les modifications de configuration appropriés sur les systèmes concernés
8. Bloquer les communications relatives au ransomware à l’aide de contrôles internes et externes
9. Vider le contenu mis en cache

Route vers la récupération

L’équipe de détection et de réponse de Microsoft vous aidera à vous protéger des attaques.

Comprendre et résoudre les problèmes de sécurité fondamentaux qui ont conduit à la compromission doit être une priorité pour les victimes de ransomware.

Intégrer des experts externes aux processus pour bénéficier de compétences supplémentaires comme l’équipe de détection et de réponse Microsoft (DART). DART s’est engagé avec des clients dans le monde entier, il contribue à se protéger et à se renforcer contre les attaques avant qu’elles ne se produisent, ainsi qu’à examiner et à corriger le moment quand une attaque a eu lieu.

Les clients peuvent impliquer nos experts en sécurité directement à partir du portail Microsoft Defender pour obtenir une réponse rapide et précise. Les experts fournissent les informations nécessaires pour mieux comprendre les menaces complexes qui affectent votre organisation, qu’il s’agisse de questions concernant les alertes, d’appareils potentiellement compromis, de la cause racine d’une connexion réseau suspecte ou de renseignements supplémentaires sur les campagnes en cours de menaces persistantes avancées.

Microsoft est prêt à aider votre entreprise à revenir à des opérations sûres.

Microsoft a effectué des centaines de récupérations à la suite d’une compromission et dispose d’une méthodologie éprouvée. Celle-ci vous permettra non seulement de retrouver une position plus sûre, mais aussi de réfléchir à votre stratégie à long terme plutôt que de réagir à la situation.

Microsoft propose des services de récupération rapide en cas de ransomware. Dans ce cadre, une assistance est fournie dans tous les domaines tels que les services d’identité, la correction et le renforcement, ainsi que le déploiement de la surveillance, afin d’aider les victimes d’attaques par ransomware à reprendre une activité normale dans les plus brefs délais.

Nos services de récupération rapide en cas de ransomware sont considérés comme « confidentiels » pendant toute la durée de la mission. Les engagements de récupération rapide des ransomwares sont exclusivement fournis par l’équipe CRSP (Compromise Recovery Security Practice), qui fait partie du domaine Azure Cloud &AI. Pour plus d’informations, vous pouvez contacter l’équipe CRSP sur la page Demande de contact concernant la sécurité Azure.

Étapes suivantes

Consultez le livre blanc : Livre blanc Azure Defenses for Ransomware Attack.

Autres articles de cette série :

• Protection contre les ransomwares dans Azure
• Se préparer à une attaque par ransomware
• Fonctionnalités et ressources Azure qui vous aident à protéger, détecter et répondre