Approche et meilleures pratiques de l’équipe de réponse aux incidents Microsoft concernant les ransomwares

Le rançongiciel géré par l’homme n’est pas un problème de logiciel malveillant , mais de criminalité humaine. Les solutions utilisées pour résoudre les problèmes liés aux produits de base ne suffisent pas à prévenir une menace qui s'apparente davantage à celle d'un acteur national qui :

• Désactive ou désinstalle votre logiciel antivirus avant de crypter les fichiers
• Désactive les services de sécurité et la journalisation pour éviter la détection
• Localise et endommage ou supprime des sauvegardes avant d’envoyer une demande de rançon

Ces actions sont souvent effectuées à l’aide de programmes légitimes, tels que quick Assist en mai 2024, que vous pourriez déjà avoir dans votre environnement à des fins administratives. Dans les mains criminelles, ces outils sont utilisés pour mener des attaques.

La réponse à la menace croissante des ransomware nécessite une combinaison de configuration d’entreprise moderne, de produits de sécurité up-to-date et d’un personnel de sécurité formé pour détecter et répondre aux menaces avant la perte des données.

L’équipe de réponse aux incidents Microsoft (anciennement DART/CRSP) répond aux compromis de sécurité pour aider les clients à devenir cyber-résilients. La réponse aux incidents Microsoft fournit une réponse réactive aux incidents sur site et mène des enquêtes proactives à distance. La réponse aux incidents Microsoft utilise des partenariats stratégiques de Microsoft avec les organisations de sécurité du monde entier et les groupes de produits Microsoft internes pour fournir l’examen le plus complet et approfondi possible.

Cet article décrit comment le Microsoft Incident Response gère les attaques par ransomware pour aider les clients Microsoft en termes de meilleures pratiques, afin d'élaborer votre propre manuel des opérations de sécurité. Pour plus d’informations sur la façon dont Microsoft utilise la toute dernière IA pour l’atténuation des attaques de ransomware, lisez notre article sur la défense de Microsoft Security Copilot contre les attaques par ransomware.

Comment la réponse aux incidents Microsoft utilise les services de sécurité Microsoft

La réponse aux incidents Microsoft repose fortement sur des données pour toutes les enquêtes et utilise des services de sécurité Microsoft tels que Microsoft Defender pour Office 365, Microsoft Defender pour point de terminaison, Microsoft Defender pour Identityet Microsoft Defender pour Cloud Apps.

Pour connaître les dernières mises à jour des mesures de sécurité de l’équipe Microsoft chargée de la réponse aux incidents, consultez leurNinja Hub.

Microsoft Defender for Endpoint

Microsoft Defender pour point de terminaison est la plateforme de sécurité pour les points de terminaison de Microsoft, conçue pour aider les analystes de la sécurité des réseaux d'entreprise à prévenir, détecter, enquêter et répondre aux menaces avancées. Defender pour point de terminaison peut détecter les attaques à l’aide d’analyses comportementales avancées et du Machine Learning. Vos analystes peuvent utiliser Defender pour point de terminaison pour évaluer l’analytique comportementale des acteurs des menaces.

Vos analystes peuvent également effectuer des requêtes de repérage avancées pour identifier les indicateurs de compromission (IOC) ou rechercher le comportement connu de l’acteur de menace.

Defender pour Endpoint fournit un accès en temps réel à la surveillance experte et à l’analyse par Microsoft Defender Experts pour les activités suspectes d’acteurs en cours. Vous pouvez également collaborer avec des experts à la demande pour obtenir des informations supplémentaires sur les alertes et les incidents.

Microsoft Defender pour Identity

Defender pour Identity examine les comptes compromis connus pour identifier d’autres comptes potentiellement compromis dans votre organisation. Defender for Identity envoie des alertes pour les activités malveillantes connues telles que les attaques DCSync, les tentatives d'exécution de code à distance et les attaques Pass-the-Hash.

Microsoft Defender for Cloud Apps

Defender pour Cloud Apps (précédemment appelé Microsoft Cloud App Security) permet à votre analyste de détecter un comportement inhabituel entre les applications cloud afin d’identifier les ransomwares, les utilisateurs compromis ou les applications non autorisées. Defender for Cloud Apps est la solution CASB (Cloud Access Security Broker) de Microsoft qui permet de surveiller les services cloud et les données accessibles par les utilisateurs dans les services cloud.

Degré de sécurisation Microsoft

Les services XDR Microsoft Defender fournissent des recommandations de correction dynamiques pour réduire la surface d’attaque. Le Microsoft Secure Score est une mesure de la posture de sécurité d'une organisation, un chiffre plus élevé indiquant que davantage de mesures d'amélioration ont été prises. lire la documentation sur le score de sécurisation pour en savoir plus sur la façon dont votre organisation peut utiliser cette fonctionnalité pour hiérarchiser les actions de correction pour leur environnement.

L’approche de la réponse aux incidents Microsoft pour effectuer des enquêtes sur les incidents de ransomware

Déterminer comment un acteur de menace a obtenu l’accès à votre environnement est essentiel pour identifier les vulnérabilités, mener une atténuation des attaques et empêcher les attaques futures. Dans certains cas, l’acteur de la menace prend des mesures pour couvrir ses traces et détruire des preuves. Il est donc possible que toute la chaîne d’événements ne soit pas évidente.

Les trois étapes suivantes sont clés dans les enquêtes sur les ransomwares de la réponse aux incidents Microsoft :

Étape	But	Premières questions
1. Évaluer la situation actuelle	Comprendre l’étendue	Qu'est-ce qui vous a fait prendre conscience de l'existence d'une attaque de rançongiciel ? À quelle heure/date avez-vous appris l’incident ? Quels sont les journaux disponibles et existe-t-il des indications que l’acteur accède actuellement aux systèmes ?
2. Identifier les applications du secteur d'activité (LOB) concernées	Récupérer les systèmes en ligne	L’application a-t-elle besoin d’une identité ? Les sauvegardes de l’application, de la configuration et des données sont-elles disponibles ? Le contenu et l’intégrité des sauvegardes sont-ils régulièrement vérifiés à l’aide d’un exercice de restauration ?
3. Déterminer le processus de récupération de compromis (CR)	Supprimer l’acteur de menace de l’environnement	S/O

Étape 1 : Évaluer la situation actuelle

Une évaluation de la situation actuelle est essentielle à la compréhension de l’étendue de l’incident et à la détermination des meilleures personnes à aider et à planifier et à définir les tâches d’investigation et de correction. Poser les questions initiales suivantes est essentielle pour aider à déterminer la source et l’étendue de la situation.

Comment avez-vous identifié l’attaque par ransomware ?

Si votre personnel informatique a identifié la menace initiale telle que les sauvegardes supprimées, les alertes antivirus, les alertes de détection et de réponse des points de terminaison (EDR) ou les modifications suspectes du système, il est souvent possible de prendre des mesures décisives rapides pour contrecarrer l’attaque. Ces mesures impliquent généralement de désactiver toutes les communications Internet entrantes et sortantes. Bien que cette mesure puisse affecter temporairement les opérations commerciales qui seraient généralement beaucoup moins impactantes que le déploiement réussi des ransomwares.

Si l'appel d'un utilisateur au support technique informatique a permis d'identifier la menace, il pourrait y avoir suffisamment d'avance pour prendre des mesures défensives afin de prévenir ou de minimiser les effets de l'attaque. Si une entité externe telle que l’application de la loi ou une institution financière a identifié la menace, il est probable que les dommages sont déjà faits. À ce stade, l’acteur de menace peut avoir un contrôle administratif de votre réseau. Cette preuve peut aller des notes de ransomware aux écrans verrouillés aux demandes de rançon.

À quelle heure/date avez-vous appris l’incident ?

L’établissement de la date et de l’heure d’activité initiales est important pour limiter l’étendue du triage initial pour l’activité de l’acteur de menace. Des questions supplémentaires peuvent inclure :

• Quelles sont les mises à jour manquantes à cette date ? Il est important d’identifier les vulnérabilités exploitées.
• Quels comptes ont été utilisés à cette date ?
• Quels nouveaux comptes ont été créés depuis cette date ?

Quels sont les journaux disponibles et existe-t-il une indication que l’acteur accède actuellement aux systèmes ?

Les journaux - tels que ceux de l'antivirus, de l'EDR et du réseau privé virtuel (VPN) - peuvent fournir des preuves d'une compromission présumée. Les questions de suivi peuvent inclure :

• Les journaux sont-ils agrégés dans une solution SIEM (Security Information and Event Management), comme Microsoft Sentinel, Splunk, ArcSight et d’autres, et sont-ils au jour ? Quelle est la période de rétention des données ?
• Existe-t-il des systèmes compromis soupçonnés d’une activité inhabituelle ?
• Existe-t-il des comptes compromis suspects qui semblent être sous contrôle d’acteur de menace actif ?
• Existe-t-il des preuves de commandes et de contrôles actifs (C2s) dans les PEPT, pare-feu, VPN, proxy web et autres journaux d’activité ?

Pour évaluer la situation, vous devrez peut-être disposer d’un contrôleur de domaine AD DS (Active Directory Domain Services) qui n’a pas été compromis, d’une sauvegarde récente d’un contrôleur de domaine ou d’un contrôleur de domaine récent mis hors connexion pour la maintenance ou les mises à niveau. Déterminez également si l’authentification multifacteur (MFA) a été requise pour tous les membres de l’entreprise et si Microsoft Entra ID a été utilisé.

Étape 2 :Identifier les applications LOB qui ne sont pas disponibles en raison de l’incident

Cette étape est essentielle pour déterminer le moyen le plus rapide d’obtenir les systèmes en ligne tout en obtenant les preuves nécessaires.

L’application a-t-elle besoin d’une identité ?

• Comment s’effectue l’authentification ?
• Comment les informations d’identification telles que les certificats ou les secrets sont-ils stockés et gérés ?

Les sauvegardes testées de l’application, de la configuration et des données sont-elles disponibles ?

• Le contenu et l’intégrité des sauvegardes sont-ils régulièrement vérifiés à l’aide d’un exercice de restauration ? Cette vérification est importante après les modifications de gestion de la configuration ou les mises à niveau de version.

Étape 3 : Déterminer le processus de récupération compromis

Cette étape peut être nécessaire si le plan de contrôle, qui est généralement AD DS, a été compromis.

Votre investigation doit toujours fournir une sortie qui alimente directement le processus CR. CR est le processus qui supprime le contrôle de l’acteur des menaces d’un environnement et augmente tactiquement la posture de sécurité au cours d’une période définie. CR a lieu après une violation de sécurité. Pour en savoir plus sur CR, lisez le CRSP de l’équipe Microsoft Compromise Recovery Security Practice : L’équipe d’urgence lutte contre les cyber-attaques à côté de l’article de blog des clients.

Après avoir recueilli des réponses aux questions des étapes 1 et 2, vous pouvez créer une liste de tâches et attribuer des propriétaires. L’engagement de réponse aux incidents réussi nécessite une documentation complète et détaillée de chaque élément de travail (par exemple, le propriétaire, l’état, les résultats, la date et l’heure) pour compiler les résultats.

Recommandations et meilleures pratiques de la réponse aux incidents Microsoft

Voici les recommandations et meilleures pratiques de la réponse aux incidents Microsoft pour les activités de confinement et post-incident.

Endiguement

L’isolement ne peut se produire qu’une fois que vous déterminez ce qui doit être contenu. Dans le cas d’un ransomware, l’acteur de menace vise à obtenir des informations d’identification pour le contrôle administratif sur un serveur hautement disponible, puis à déployer le ransomware. Dans certains cas, l’acteur de menace identifie les données sensibles et les exfiltrat à un emplacement qu’ils contrôlent.

La récupération tactique est unique pour l’environnement, le secteur et le niveau d’expertise et d’expérience informatiques de votre organisation. Les étapes décrites ci-dessous sont recommandées pour l’endiguement à court terme et tactique. Pour en savoir plus sur les conseils à long terme, consultez la sécurisation de l’accès privilégié. Pour une vue d’ensemble sur la façon de se défendre contre les ransomwares et l’extorsion, voir Ransomware opérés par des humains.

Les étapes de confinement suivantes peuvent être effectuées à mesure que de nouveaux vecteurs de menace sont découverts.

Étape 1 : Évaluer l’étendue de la situation

• Quels comptes d’utilisateur ont été compromis ?
• Quels appareils sont affectés ?
• Quelles applications sont affectées ?

Étape 2 : Conserver les systèmes existants

• Désactivez tous les comptes d’utilisateur privilégiés à l’exception d’un petit nombre de comptes utilisés par vos administrateurs pour aider à réinitialiser l’intégrité de votre infrastructure AD DS. Si vous pensez qu’un compte d’utilisateur est compromis, désactivez-le immédiatement.
• Isolez les systèmes compromis du réseau, mais ne les désactivez pas.
• Isolez au moins un (et idéalement deux) contrôleur de domaine correct connu dans chaque domaine. Déconnectez-les du réseau ou désactivez-les pour empêcher la propagation des ransomwares aux systèmes critiques, en hiérarchisant l’identité comme vecteur d’attaque le plus vulnérable. Si tous vos contrôleurs de domaine sont virtuels, assurez-vous que le système et les lecteurs de données de la plateforme de virtualisation sont sauvegardés sur un média externe hors connexion qui n’est pas connecté au réseau.
• Isolez les serveurs d’applications critiques connus, tels que SAP, la base de données de gestion de la configuration (CMDB), la facturation et les systèmes de comptabilité.

Ces deux étapes peuvent être effectuées simultanément à mesure que de nouveaux vecteurs de menace sont découverts. Pour isoler la menace du réseau, désactivez ces vecteurs de menace, puis recherchez un système non compromis connu.

Parmi les autres actions tactiques de confinement, citons :

• Réinitialiser le mot de passe krbtgt deux fois en succession rapide. Envisager d’utiliser un processus scripté et reproductible. Ce script vous permet de réinitialiser le mot de passe du compte krbtgt et les clés associées tout en réduisant la probabilité de problèmes d’authentification Kerberos. Pour réduire les problèmes, la durée de vie de krbtgt peut être réduite une ou plusieurs fois avant la première réinitialisation du mot de passe pour effectuer rapidement ces étapes. Tous les contrôleurs de domaine que vous envisagez de conserver dans votre environnement doivent être en ligne.

• Déployez une stratégie de groupe sur l’ensemble du ou des domaines qui empêche les connexions privilégiées (administrateurs de domaine) à tout sauf aux contrôleurs de domaine et aux stations de travail réservées à l’administration privilégiée (si présentes).

• Installez toutes les mises à jour de sécurité manquantes pour les systèmes d’exploitation et les applications. Chaque mise à jour manquante est un vecteur de menace potentiel que les acteurs de ransomware peuvent rapidement identifier et utiliser. La gestion des menaces et des vulnérabilités de Microsoft Defender for Endpoint permet de voir exactement ce qui manque ainsi que l'impact des mises à jour manquantes.

  • Pour les appareils Windows 10 (ou version ultérieure), vérifiez que la version actuelle (ou n-1) s’exécute sur chaque appareil.

  • Déployez des règles de réduction de la surface d’attaque (ASR) pour empêcher l’infection par les logiciels malveillants.

  • Activez toutes les fonctionnalités de sécurité Windows 10.

• Vérifiez que chaque application externe, y compris l’accès VPN, est protégée par l’authentification multifacteur (MFA), de préférence à l’aide d’une application d’authentification s’exécutant sur un appareil sécurisé.

• Pour les appareils qui n’utilisent pas Defender pour point de terminaison comme logiciel antivirus principal, effectuez une analyse complète avec Microsoft Safety Scanner sur des systèmes sécurisés connus isolés avant de les reconnecter au réseau.

• Pour tous les systèmes d’exploitation hérités, effectuez une mise à niveau vers un système d’exploitation pris en charge ou désactivez ces appareils. Si ces options ne sont pas disponibles, prenez toutes les mesures possibles pour isoler ces appareils, notamment l’isolation réseau/VLAN, les règles de sécurité IPsec (Internet Protocol Security) et les restrictions de connexion. Ces étapes permettent de s’assurer que ces systèmes sont accessibles uniquement par les utilisateurs/appareils pour assurer la continuité de l’activité.

Les configurations les plus risquées consistent à exécuter des systèmes critiques sur des systèmes d’exploitation hérités aussi anciens que Windows NT 4.0 et les applications, tous sur du matériel hérité. Non seulement ces systèmes d’exploitation et ces applications sont non sécurisés et vulnérables, mais si ce matériel échoue, les sauvegardes ne peuvent généralement pas être restaurées sur du matériel moderne. Ces applications ne peuvent pas fonctionner sans matériel hérité. Envisagez fortement de convertir ces applications pour qu’elles s’exécutent sur des systèmes d’exploitation et du matériel actuels.

Activités post-incident

La réponse aux incidents Microsoft recommande de mettre en place les suggestions de sécurité et les meilleures pratiques suivantes après chaque incident.

• Assurez-vous que les bonnes pratiques sont en place pour solutions de messagerie et de collaboration pour empêcher les acteurs des menaces de les utiliser tout en permettant aux utilisateurs internes d’accéder facilement et en toute sécurité au contenu externe.

• Suivez les meilleures pratiques de sécuritéConfiance Zéro pour les solutions d’accès à distance aux ressources internes de l’organisation.

• En commençant par les administrateurs à impact critique, suivez les meilleures pratiques pour la sécurité des comptes, y compris l’utilisation de l’authentification sans mot de passe ou de MFA.

• Mettez en œuvre une stratégie globale pour réduire le risque de compromission des accès privilégiés.

  • Pour l’accès administratif au cloud et à la forêt/au domaine, utilisez le modèle d’accès privilégié (PAM) de Microsoft.

  • Pour la gestion administrative des points de terminaison, utilisez la solution de mot de passe d’administration local (LAPS).

• Implémentez la protection des données pour bloquer les techniques de ransomware et confirmer la récupération rapide et fiable d’une attaque.

• Passez en revue vos systèmes critiques. Vérifier la protection et les sauvegardes contre la suppression ou le chiffrement des acteurs de la menace. Passez en revue et validez régulièrement ces sauvegardes.

• Assurez la détection et la correction rapides des attaques courantes contre le point de terminaison, l’e-mail et l’identité.

• Découvrez et améliorez continuellement le niveau de sécurité de votre environnement.

• Mettez à jour les processus organisationnels pour gérer les événements de rançongiciel majeurs et rationaliser l’externalisation pour éviter les frictions.

PAM

L’utilisation du PAM (anciennement modèle d’administration hiérarchisé) améliore la posture de sécurité de Microsoft Entra ID, ce qui implique :

• Fractionnement des comptes d'administration dans un environnement structuré, ce qui signifie un compte pour chaque niveau (généralement quatre niveaux) :

• Plan de contrôle (anciennement niveau 0) : administration des contrôleurs de domaine et d’autres services d’identité essentiels, tels que les services de fédération Active Directory (ADFS) ou Microsoft Entra Connect. Il s’agit également d’applications serveur qui nécessitent des autorisations d’administration pour AD DS, telles qu’Exchange Server.

• Les deux plans suivants étaient anciennement de niveau 1 :

  • Plan de gestion : Gestion des actifs, surveillance et sécurité.

  • Plan de données/charge de travail : applications et serveurs d’applications.

• Les deux plans suivants étaient anciennement de niveau 2 :

  • Accès utilisateur : droits d’accès pour les utilisateurs (tels que les comptes).

  • Accès aux applications : droits d’accès aux applications.

• Chacune de ces couches dispose d’une station de travail administrative séparée pour chaque couche et n’a accès qu’aux systèmes de cette couche. Les comptes d'autres plans se voient refuser l'accès aux stations de travail et aux serveurs des différents plans par le biais des attributions de droits d'utilisateur définies pour ces appareils.

Le PAM garantit les points suivants :

• Un compte utilisateur compromis n’a accès qu’à sa propre couche.

• Les comptes d'utilisateurs plus sensibles ne peuvent pas accéder aux stations de travail et aux serveurs ayant un niveau de sécurité inférieur. Cela permet d’empêcher le mouvement latéral de l’acteur de menace.

LAPS

Par défaut, Microsoft Windows et AD DS n’ont pas de gestion centralisée des comptes d’administration locaux sur les stations de travail et les serveurs membres. Ce manque de gestion peut entraîner un mot de passe commun pour tous ces comptes locaux, ou au moins pour les groupes d’appareils. Cette situation permet aux acteurs de menace de compromettre un compte d’administrateur local pour accéder ensuite à d’autres stations de travail ou serveurs de l’organisation.

Microsoft LAPS atténue cette menace à l’aide d’une extension côté client de Stratégie de Groupe qui modifie le mot de passe d’administration local à intervalles réguliers sur les stations de travail et les serveurs en fonction de la stratégie définie. Chacun de ces mots de passe est différent et stocké en tant qu’attribut dans l’objet ordinateur AD DS. Cet attribut peut être récupéré à partir d’une application cliente simple, en fonction des autorisations affectées à cet attribut.

LAPS nécessite que le schéma AD DS soit étendu pour permettre l’attribut supplémentaire, les modèles de stratégie de groupe LAPS à installer et l’installation d’une petite extension côté client sur chaque station de travail et serveur membre pour fournir des fonctionnalités côté client.

Vous pouvez télécharger LAPS à partir du centre de téléchargement Microsoft .

Autres ressources de ransomware

Les ressources Microsoft suivantes permettent de détecter les attaques par ransomware et de protéger les ressources organisationnelles :

• Rançongiciels d'origine humaine

• Se protéger rapidement contre les rançongiciels et l'extorsion

• Microsoft Digital Defense - Rapport 2023 (voir pages 17-26)

• Rapport d’analyse des menaces Rançongiciel : une menace omniprésente et continue dans le portail Microsoft Defender

• Étude de cas de ransomware de la réponse aux incidents Microsoft

Microsoft 365 :

• Déployer la protection contre les rançongiciels pour votre client Microsoft 365
• Optimiser la résilience contre les ransomwares avec Azure et Microsoft 365
• Récupération après une attaque par ransomware
• Protection contre les programmes malveillants et les ransomware
• Protégez votre PC Windows 10 contre les ransomware
• Gestion des ransomware dans SharePoint en ligne
• Rapports d’analyse des menaces pour les ransomware dans le portail Microsoft Defender
• Tirer parti de l’IA pour se défendre contre les ransomwares avec microsoft Security Copilot

Microsoft Defender XDR :

• Rechercher des ransomware avec la chasse avancée

Microsoft Azure :

• Azure Defenses for Ransomware Attack
• Optimiser la résilience contre les ransomwares avec Azure et Microsoft 365
• Plan de sauvegarde et de restauration pour la protection contre le rançongiciel
• Protégez-vous des rançongiciel avec la Microsoft Azure Backup (vidéo de 26 minutes)
• Récupération après une compromission de l'identité système
• Détection avancée des attaques multiphases dans Microsoft Sentinel
• Détection de fusion des rançongiciels dans Microsoft Sentinel

Microsoft Defender for Cloud Apps :

• Créer des stratégies de détection d'anomalie dans les applications Defender pour le cloud