Il existe de nombreuses façons de télécharger des ransomwares sur les réseaux d’entreprises, mais le plus souvent, cela se fait via le protocole RDP (Remote Desktop Protocol), via les téléchargements par « drive-by » ou par le biais du courrier électronique.
Explications.
Attaques RDP
Les pirates peuvent faire des scans sur les ports RDP de votre entreprise pour découvrir ceux qui sont ouverts. Ceux-ci peuvent ensuite être attaqués par le biais des tactiques de la force brute, permettant ainsi aux pirates de deviner des mots de passe faibles.
Les cybercriminels ajoutent également à leur liste de mots de passe les informations provenant de violations de données qui se sont produites auparavant.
La meilleure façon de vous défendre contre cette méthode de distribution de ransomware est de désactiver complètement le RDP.
Cependant, ce protocole est souvent nécessaire pour la gestion à distance ou l’accès à distance à des bureaux virtuels. Si le RDP ne peut pas être désactivé, d’autres mesures doivent être prises pour le rendre aussi sûr que possible.
L’utilisation de mots de passe forts est importante pour bloquer les tentatives de détection des mots de passe par la force brute. Pour ce faire, vous devriez suivre les conseils de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur la création de mots de passe complexes.
Ceux-ci doivent être uniques et ne doivent pas être utilisés sur une autre plateforme en ligne. Une authentification à deux facteurs doit également être mise en place pour empêcher l’utilisation des identifiants de connexion volées.
Vous devez vous assurer que vous utilisez les dernières versions de logiciels pour vos serveurs et vos périphériques. Les connexions RDP aux ports d’écoute RDP ne doivent être autorisées que par le biais d’un VPN sécurisé et, idéalement, une passerelle RDP doit être utilisée.
En outre, vous devez limiter le nombre de personnes autorisées à se connecter à un bureau à distance. Enfin, vous devez utiliser la limitation de débit pour bloquer les utilisateurs après un certain nombre de tentatives infructueuses de saisie de mot de passe correct.
Téléchargements de ransomwares par « drive-by »
Les téléchargements par « drive-by » se produisent sur des sites web contrôlés par des pirates informatiques, qu’il s’agisse de leurs propres sites ou de sites non sécurisés ayant été compromis.
Des scripts malveillants ajoutés aux sites web pouvant télécharger des ransomwares et d’autres malwares peuvent infecter l’appareil d’un utilisateur lorsque celui-ci visite la page web malveillante.
Cela signifie que cette méthode d’attaque ne nécessite aucune interaction de l’utilisateur, hormis la visite du site web malveillant.
Mais l’infection peut également se produire via un clic sur un lien malveillant dans un e-mail, via une redirection ou par le biais d’une simple navigation sur le web.
Un filtre web tel que WebTitan est l’une des meilleures défenses contre les téléchargements de ransomwares par « drive-by ». WebTitan est une solution de filtrage DNS qui empêche les utilisateurs finaux de visiter des sites web connus pour être malveillants.
S’ils tentent de visiter un site web malveillant connu, ils seront dirigés vers une page de blocage locale, plutôt que de se connecter au site web.
WebTitan peut également être configuré pour bloquer les téléchargements de fichiers à risque, tels que les fichiers exécutables.
Attaques de ransomwares basées sur le courrier électronique
Souvent, les ransomwares peuvent aussi être livrés via le courrier électronique. Il peut s’agir d’un lien hypertexte intégré au message et qui pointe vers un site web où un téléchargement par « drive-by » peut avoir lieu. En outre, l’e-mail peut contenir des scripts malveillants dans des pièces jointes.
La protection contre les attaques par courrier électronique nécessite une approche approfondie, car aucune solution unique ne peut assurer une protection totale contre toutes les attaques lancées via les e-mails.
Une solution avancée de sécurité du courrier électronique telle que SpamTitan doit être mise en œuvre. SpamTitan scanne tous les courriels entrants et sortants et utilise diverses techniques comme l’apprentissage-machine pour identifier et bloquer les courriels potentiellement malveillants.
SpamTitan intègre deux moteurs antivirus qui détectent les variantes connues de malwares et une sandbox pour analyser les fichiers suspects à la recherche d’actions malveillantes. Le sandboxing vous protège contre les variantes de malwares et de ransomwares jamais vus auparavant.
La formation des utilisateurs finaux est également importante pour s’assurer qu’ils puissent reconnaître les courriels malveillants au cas où ils en recevraient un dans leurs boites de réception. Une solution de filtrage du web, quant à elle, permet de s’assurer que toute tentative de visite d’un site web malveillant via un lien hypertexte dans un courriel ou dans une pièce jointe est bloquée avant le téléchargement d’un ransomware.
Les ransomwares peuvent être utilisés en tant que charge utile secondaire
Plusieurs concepteurs de ransomwares utilisent des malwares de base pour livrer d’autres charges utiles. Les acteurs de la menace derrière le ransomware DoppelPaymer utilisaient par exemple le cheval de Troie bancaire Dridex pour livrer leurs charges utiles malveillantes, tandis que le gang derrière l’attaque de ransomware Ryuk utilisait le cheval de Troie TrickBot.
Même si ces infections de malwares de base sont découvertes et supprimées, les pirates informatiques peuvent toujours avoir accès à vos systèmes.
Ces infections sont souvent considérées comme relativement insignifiantes et lorsque de nouvelles variantes de malwares sont découvertes, les menaces qu’elles représentent ne sont pas correctement étudiées.
Pourtant, même si les chevaux de Troie peuvent être supprimés, d’autres malwares peuvent continuer à se propager latéralement avant de déployer leurs charges utiles de ransomwares.
Dans le cas de TrickBot, une fois qu’il est téléchargé, ce ransomware se met au travail en récoltant des données telles que des fichiers de mots de passe, des cookies et d’autres informations sensibles.
Suite à cela, un tunnel inversé (reverse shell) s’ouvre au ransomware Ryuk, lequel va effectuer une reconnaissance du réseau et tenter d’obtenir des identifiants d’administrateur. Il utilise ensuite PSExec et d’autres outils Windows pour déployer le ransomware sur tous les appareils connectés au réseau ciblé.
C’est exactement ce qui s’est passé lors de l’attaque contre la société d’e-Discovery, Epiq Global. L’infection initiale du TrickBot s’est produite en décembre 2019. L’accès a été fourni aux développeurs de Ryuk qui ont déployé le ransomware le 29 février 2020. Avant le déploiement de Ryuk, ils ont compromis les ordinateurs des 80 bureaux d’Epiq dans le monde.
TrickBot et les autres chevaux de Troie sont principalement livrés par le biais de courriels de phishing. SpamTitan vous aidera à vous protéger contre ces chevaux de Troie et bien d’autres téléchargeurs de ransomwares.