Qu’est-ce qu’un ransomware ?

En pratique, une attaque par ransomware bloque l’accès à vos données jusqu’à ce qu’une rançon soit payée.

En fait, un ransomware est un type de cyberattaque par programme malveillant ou par hameçonnage qui détruit ou chiffre les fichiers et les dossiers d’un ordinateur, d’un serveur ou d’un appareil.

Une fois que les appareils ou fichiers sont verrouillés ou chiffrés, les cybercriminels peuvent extorquer de l’argent du propriétaire de l’entreprise ou de l’appareil en échange d’une clé permettant de déverrouiller les données chiffrées. Mais même lorsqu’ils sont payés, il est possible que les cybercriminels ne puissent jamais donner la clé au propriétaire de l’entreprise ou de l’appareil et bloquer l’accès définitivement.

Microsoft Security Copilot tire parti de l’IA pour atténuer les attaques par ransomware. Pour plus de solutions Microsoft pour ransomware, consultez notre bibliothèque de solutions ransomware.

Comment fonctionnent les attaques par ransomware ?

Les ransomwares peuvent être automatisés ou impliquer une intervention humaine sur un clavier : une attaque effectuée par un humain, comme on l’a vu dans les récentes attaques utilisant le ransomware LockBit.

Les attaques par rançongiciel gérées par l’homme impliquent les étapes suivantes :

1. Compromission initiale : l’acteur de la menace obtient d’abord l’accès à un système ou à un environnement après une période de reconnaissance pour identifier les faiblesses de la défense.

2. Persistance et évasion de la défense : l’acteur de la menace met un pied dans le système ou l’environnement à l’aide d’une porte dérobée ou d’un autre mécanisme qui fonctionne en furtif pour éviter la détection par les équipes de réponse aux incidents.

3. Mouvement latéral : l’acteur de la menace utilise le point d’entrée initial pour migrer vers d’autres systèmes connectés à l’environnement réseau ou à l’appareil compromis.

4. Accès aux informations d’identification : l’acteur de la menace utilise une page de connexion factice pour collecter des informations d’identification utilisateur ou système.

5. Vol de données : l’acteur de la menace vole des données financières ou autres provenant d’utilisateurs ou de systèmes compromis.

6. Impact : l’utilisateur ou l’organisation concerné peut subir des dommages matériels ou de réputation.

Programmes malveillants courants utilisés dans les campagnes de ransomware

• Qakbot : utilise l’hameçonnage pour diffuser des pièces jointes et liens malveillants, et pour déposer des charges utiles comme Cobalt Strike Beacon

• Ryuk – chiffre les données en ciblant généralement Windows

• Trickbot – ciblait les applications Microsoft comme Excel et Word. Trickbot était généralement envoyé via des campagnes d’e-mailing qui utilisaient des événements actuels ou des appâts financiers pour inciter les utilisateurs à ouvrir des pièces jointes de fichiers malveillants ou à cliquer sur des liens vers des sites web hébergeant les fichiers malveillants. Depuis 2022, l’atténuation des campagnes de Microsoft utilisant ce programme malveillant semble remettre en cause son utilité.

Acteurs de menace très courants associés aux campagnes de ransomware

• LockBit – campagne de ransomware en tant que service (RaaS) avec motivation financière et acteur de menace de ransomware prolifique pendant la période 2023-24
• Black Basta – Obtient des accès via des e-mails d’hameçonnage ciblé (spear-phishing) et utilise PowerShell pour lancer une charge utile de chiffrement

Comment Microsoft peut aider avec une attaque par ransomware en cours

Pour atténuer les attaques par ransomware en cours, La réponse aux incidents Microsoft peut tirer parti et déployer des Microsoft Defender pour Identity , une solution de sécurité basée sur le cloud qui permet de détecter et de répondre aux menaces liées à l’identité. L’intégration précoce de la surveillance des identités dans la réponse aux incidents prend en charge l’équipe des opérations de sécurité de l’organisation concernée pour reprendre le contrôle. La réponse aux incidents Microsoft utilise Defender for Identity pour aider à identifier l’étendue des incidents et les comptes affectés, à protéger l’infrastructure critique et à supprimer l’acteur de menace. L’équipe de réponse apporte ensuite Microsoft Defender pour point de terminaison pour suivre les mouvements de l’acteur de menace et perturber leurs tentatives d’utilisation de comptes compromis pour réentérer l’environnement. Après avoir contenu l’incident et l’enregistrement et un contrôle administratif total sur l’environnement, La réponse aux incidents Microsoft collabore avec le client pour empêcher les futures cyberattaques.

Attaques automatisées par ransomware

Les attaques par ransomware de base sont souvent automatisées. Ces cyberattaques peuvent se propager comme un virus, infecter des appareils via des méthodes comme l'hameçonnage par e-mail et la remise de programmes malveillants, et nécessiter une correction du programme malveillant.

Vous pouvez donc protéger votre système de messagerie en utilisant Microsoft Defender pour Office 365, qui protège contre les programmes malveillants et le hameçonnage. Microsoft Defender for Endpoint fonctionne avec Defender pour Office 365 pour détecter et bloquer automatiquement les activités suspectes sur vos appareils, tandis que Microsoft Defender XDR détecte au plus tôt les programmes malveillants et les tentatives d’hameçonnage.

Attaques par ransomware exploité par l'homme

Un rançongiciel d'origine humaine est le résultat d'une attaque active perpétrée par des cybercriminels qui infiltrent l'infrastructure informatique locale ou cloud d'une organisation, élèvent leurs privilèges et déploient un rançongiciel sur des données critiques.

Ces attaques effectuées « directement au clavier » ciblent généralement des organisations plutôt qu’un appareil spécifique.

Effectué par un humain signifie aussi qu’il y a un acteur humain menaçant qui utilise ses connaissances sur les configurations incorrectes des systèmes et de la sécurité. L’objectif est d’infiltrer l’organisation, de naviguer dans le réseau, et de s’adapter à l’environnement et à ses faiblesses.

Ces attaques par ransomware exploitées par l’homme comprennent généralement le vol d’informations d’identification et le mouvement latéral avec élévation des privilèges pour les comptes volés.

Ces activités peuvent se produire au cours de fenêtres de maintenance et impliquer des lacunes dans la configuration de sécurité découvertes par les cybercriminels. L’objectif est le déploiement d’une charge utile de ransomware sur n’importe quelle ressource ayant un impact élevé sur l’entreprise et choisie par les acteurs menaçants.

Important

Ces attaques peuvent être catastrophiques pour l’activité de l’entreprise et sont difficiles à effacer car elles nécessitent une éviction complète de l’adversaire pour se protéger contre de futures attaques. Contrairement aux ransomwares de base qui ne demandent généralement qu’une correction de programme malveillant, les ransomwares opérés par l’homme continuent de menacer l’activité de l’entreprise même après la rencontre initiale.

Impact des attaques par ransomware opérées par l’homme et probabilité qu’elles se poursuivent

Protection contre les ransomwares pour votre organisation

Commencez par empêcher l’hameçonnage et les programmes malveillants avec Microsoft Defender pour Office 365 qui protège contre les programmes malveillants et le hameçonnage, Microsoft Defender for Endpoint qui détecte et bloque automatiquement les activités suspectes sur vos appareils, et Microsoft Defender XDR qui détecte les tentatives de programmes malveillants et d’hameçonnage tôt.

Pour obtenir une vue d’ensemble globale des ransomwares et de l’extorsion et pour savoir comment protéger votre organisation, consultez la présentation PowerPoint décrivant le plan de projet d’atténuation des risques liés aux ransomwares contrôlés par l’homme .

Suivez l’approche de Microsoft Incident Response pour la prévention et l’atténuation des ransomwares.

1. Évaluez la situation en analysant l’activité suspecte qui a alerté votre équipe sur l’attaque.

2. À quelle heure/date avez-vous appris l’incident ? Quels sont les journaux disponibles et existe-t-il des indications que l’acteur accède actuellement aux systèmes ?

3. Identifiez les applications métier affectées et récupérez les systèmes affectés en ligne. L’application affectée nécessite-t-elle une identité qui a pu être compromise ?

4. Les sauvegardes de l’application, de la configuration et des données sont-elles disponibles et régulièrement vérifiées à l’aide d’un exercice de restauration ?

5. Déterminez le processus de récupération de compromission (CR) pour supprimer l’acteur de menace de l’environnement.

Voici un résumé des conseils du plan de projet d’atténuation des ransomwares gérés par l’homme de Microsoft :

Résumé des recommandations du plan de projet d’atténuation des risques liés aux ransomwares opérés par l’homme

• Les enjeux des attaques basées sur les ransomware et l’extorsion sont importants.
• Cependant, les attaques présentent des faiblesses qui peuvent réduire la probabilité d'être attaqué.
• La configuration de votre infrastructure en vue d’exploiter les faiblesses des attaques se déroule en trois étapes.

Pour découvrir les trois étapes permettant d’exploiter les faiblesses des attaques, consultez la solution Protéger votre organisation contre les ransomwares et l’extorsion pour savoir comment configurer rapidement votre infrastructure informatique et bénéficier d’une protection optimale :

1. Préparez votre organisation pour récupérer vos données suite à une attaque sans verser de rançon.
2. Limitez l'étendue des dommages causés par une attaque par ransomware en protégeant les rôles privilégiés.
3. Rendez l’accès à votre environnement plus difficile pour un acteur menaçant en supprimant progressivement les risques.

Téléchargez l’affiche Protégez votre organisation contre les ransomwares pour avoir une vue d’ensemble des trois phases représentant les couches de protection contre les attaques de ransomwares.

Autres ressources de prévention contre les ransomwares

Informations clés de Microsoft :

• Les dernières tendances des ransomwares selon Microsoft, le blog de Microsoft sur les ransomwares les plus récents

• 2024 Rapport de défense numérique Microsoft Microsoft 365 :

• Déployer la protection contre les rançongiciels pour votre client Microsoft 365

Microsoft Defender XDR :

• Rechercher des ransomware avec la chasse avancée

Microsoft Defender for Cloud Apps :

• Créer des stratégies de détection d'anomalie dans les applications Defender pour le cloud

Microsoft Azure :

• Azure Defenses for Ransomware Attack

Microsoft Copilot pour la sécurité :

• Se défendre contre des attaques de ransomware opérées par l’homme avec Microsoft Copilot pour la sécurité​

Les stratégies d’atténuation des ransomwares clés OpenAI, selon les propres termes de ChatGPT, incluent les éléments suivants :

1. Sélection des données d’entraînement

2. Couches et filtres de sécurité

3. Tests empiriques et utilisation d’équipe rouge

4. Supervision continue

5. Alignement et recherche sur la sécurité

6. Signalements et commentaires de la communauté

7. Partenariats et stratégies

Pour plus d’informations, reportez-vous à la documentation officielle d’OpenAI sur son approche de la sécurité de l’IA et de la prévention des utilisations abusives.

Ressources d’atténuation des ransomwares de la Sécurité Microsoft :

Consultez la dernière liste d’articles sur les ransomwares dans le blog relatif à la Sécurité Microsoft.

• Parcourir les menaces de ransomware récentes (juin 2024)