Les experts de Kaspersky ont analysé en profondeur les tactiques, les techniques et les procédures (TTP) les plus souvent utilisées par les huit groupes de ransomware les plus prolifiques : Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte et BlackCat. Cette comparaison entre les méthodes et les outils utilisés par les cybercriminels aux différents moments d’une attaque leur a permis d’en conclure que de nombreux groupes opèrent presque de la même façon. Cette étude permet de mettre au point des contre-mesures universelles et efficaces afin de protéger l’infrastructure d’une entreprise contre les ransomwares.
Tous les détails de cette étude, ainsi qu’une analyse approfondie de chaque technique et des exemples d’utilisation dans le monde réel, sont disponibles dans notre rapport sur les groupes modernes de ransomware et les TTP les plus courantes. Ce guide contient également des règles de détection SIGMA des techniques malveillantes.
Ce rapport s’adresse principalement aux analystes SOC, aux équipes chargées de traquer les menaces, aux analystes de renseignement sur les menaces, aux spécialistes de la criminalistique numérique et aux spécialistes de la cybersécurité impliqués dans le processus de réponse aux incidents. Nos chercheurs ont également regroupé dans ce rapport les bonnes pratiques à adopter dans la lutte contre les ransomwares à partir de diverses sources. Il serait intéressant de partager sur notre blog les principaux conseils pratiques qui permettent de protéger l’infrastructure d’une entreprise et de renforcer les mesures préventives contre l’intrusion.
Prévenir l’intrusion
L’option idéale est d’interrompre l’attaque du ransomware avant que la menace n’atteigne le périmètre de l’entreprise. Les mesures suivantes aident à réduire le risque d’intrusion :
Filtrer le trafic entrant. Des politiques de filtrage doivent être mises en place sur tous les dispositifs de périphérie : routeurs, pare-feu et systèmes de détection d’intrusion (IDS). N’oubliez pas de filtrer les messages que vous recevez comme spam ou comme e-mail d’hameçonnage. Il serait judicieux d’utiliser une sandbox pour valider les pièces jointes des messages.
Bloquer les sites malveillants. Vous devez restreindre l’accès aux sites malveillants connus. Par exemple, en mettant en place un système qui intercepte les serveurs proxy. Il convient d’utiliser les renseignements de Threat Intelligence pour que la liste des menaces informatiques soit à jour.
Utiliser l’inspection profonde des paquets (DPI). Une solution de type DPI au niveau de la passerelle vous permet de contrôler le trafic à la recherche de programme malveillant.
Bloquer un code malveillant. Utilisez les signatures pour bloquer un programme malveillant.
Protection RDP. Désactivez le RDP dans la mesure du possible. Si vous devez constamment l’utiliser, placez les systèmes équipés d’un port RDP ouvert (3389) derrière un pare-feu et n’autorisez l’accès que via un VPN.
Authentification à plusieurs facteurs. Utilisez une authentification à plusieurs facteurs, des mots de passe complexes et des politiques de déconnexion automatique des comptes pour tous les points accessibles à distance.
Liste des connexions autorisées. Imposez une liste des IP autorisées à utiliser le pare-feu du matériel.
Corriger les vulnérabilités connues. Il convient d’installer dès que possible les correctifs des vulnérabilités détectées dans les systèmes d’accès à distance et dans les dispositifs ayant une connexion directe à Internet.
Ce rapport donne aussi des conseils pratiques de protection contre l’exploitation et les mouvements latéraux, et explique comment lutter contre les fuites de données et comment être prêt en cas d’incident.
Une protection supplémentaire
Nous avons mis à jour notre solution EDR afin d’armer les entreprises d’outils supplémentaires qui peuvent les aider à éliminer la propagation d’une attaque le plus tôt possible et d’enquêter sur l’incident. Cette nouvelle version, qui convient aux entreprises ayant des processus de sécurité informatique matures, s’appelle Kaspersky Endpoint Detection and Response Expert. Elle peut être déployée sur le Cloud ou dans les installations. Cliquez ici pour en savoir plus sur les fonctionnalités de cette solution