Checklist pour répondre aux ransomwares : un guide pour les RSSI
Le nombre d’attaques par ransomware a augmenté en nombre mais aussi en impact, avec l’émergence de « wipers » ces programmes de destruction qui ne se contentent plus d’encrypter les données mais les détruisent irrémédiablement.
Les attaques continuent d’évoluer et les défenses, en plus de protéger, doivent réévaluer en permanence les doctrines de protection, les privilèges d’accès, la segmentation, jusqu’aux fonctionnalités des applications elles-mêmes.
La question pour les RSSI n’est plus de savoir « si » ils seront attaqués, ils le sont désormais systématiquement et en permanence, mais d’imaginer des scénarios de défense et d’isolation dynamiques qui redéfinissent en temps réel l’accès aux données attaquées, leurrent les programmes de reconnaissance malicieux, les isolent et restaurent en parallèle les conditions d’exploitation.
Le plan de réponse aux ransomware devient une catégorie à part entière et une condition sine qua non du plan de résilience de l’entreprise.
Mise en place d’un plan d’intervention en cas d’incident lié à un ransomware
Lorsqu’un ransomware se déploie, chaque milliseconde est essentielle pour minimiser l’impact sur les ressources critiques, et sur l’image de l’entreprise. Une fois l’attaque amorcée, l’effet de panique peut se propager dans l’organisation et créer des disruptions de la production plus importantes que le programme malin lui-même.
Il est crucial de disposer d’un plan d’intervention – équivalent virtuel du plan d’évacuation physique en cas d’incendie – avant que cela ne se produise.
Ainsi, le temps de la réflexion qui consiste à identifier et à hiérarchiser les ressources critiques en fonction de l’impact de leur dérèglement, est une économie de temps. La principale difficulté réside dans la mobilisation en amont des autorités nécessaires et du consensus managérial pour classer les ressources par ordre d’importance. Faute de ce classement, on risque de ne rien défendre en voulant tout protéger.
11 étapes à suivre en cas d’attaques par ransomware
Savoir que cela va arriver est essentiel. Dans un monde hyper connecté, aucune région, aucune activité, aucun département n’est immunisé.
Voici quelques recommandations ci-dessous :
1. Informer sans semer la panique
Lorsque l’on est pris pour cible, la précision avec lequel le plan d’isolation de l’attaque est déployé est crucial. Tout arrêter de manière précipitée sans considération pour la criticité et l’impact des systèmes mis hors ligne peut se révéler plus dévastateur que l’attaque elle-même.
Le plan d’intervention doit comporter des familles fonctionnelles de ressources et documenter à l’avance l’impact économique et l’ordre de mise hors ligne. Un référent fonctionnel et un responsable cyber doivent être avoir été impliqués pour leur détermination. Leur mobilisation doit avoir fait l’objet d’au moins un exercice de simulation.
Les fournisseurs de services de sécurité comme les assureurs sont des experts précieux qui permettront d’établir des scénarios de mise en isolation, mais leur hiérarchisation devra avoir été validée par la direction générale.
Pour rendre le plan encore plus efficace, il est recommandé d’identifier les domaines réellement compromis, infrastructures, applications, boucles de régulation et objets connectés mais aussi de répertorier les systèmes en aval pour caractériser les domaines de compromission connexes.
2. Isoler intelligemment, pas systématiquement. Stopper la propagation, pas la production.
Il existe plusieurs techniques pour isoler la menace et l’empêcher de se propager. Tout d’abord, identifier la portée de l’attaque. Si l’on connait déjà l’ampleur de l’incident, les blocages se feront efficacement sur les domaines (ranges) IP en agissant sur les commutateurs (switches) et les firewalls.
Sur cette partie de la réponse, les playbooks préparés à l’avance et déclenchés automatiquement sur une conjonction d’événements pré-identifiés sont très efficaces. Ils peuvent inclure par précaution des coupures temporaires des accès internet, accompagnés d’une communication mesurée auprès des services concernés.
Une fois la portée de l’incident confirmée on pourra revoir les conditions et rétablir les accès en utilisant encore la hiérarchisation du plan.
Dans ce contexte, les technologies de sandbox, permettant de tester l’exécution de trames ou de trafics suspects associés à des technologies de réponse conditionnelle telle que les EDR sont de précieux atouts de cette phase de caractérisation de l’ampleur couplée à des scénarii de réponse.
3. Identifier la variante de ransomware
A quel ransomware a-t-on affaire ? La plupart des variantes de ransomware sont documentées. Même lorsque la séquence est originale, les composantes élémentaires, ou souches peuvent donner des indices précieux pour l’identification, les modes d’exécution et de de propagation de l’attaque.
La reconnaissance de ces variantes et de leur mode d’action vont rendre les étapes suivantes et jusqu’aux outils eux-mêmes plus efficaces pour rétablir les ressources affectées.
4. Identifier l’accès initial
Par où est-on entré ? Déterminer le point d’accès initial, ou patient zéro, donne également de précieuses indications sur les chemins de propagation et par déduction sur les ressources non affectées. Là encore, il faut trouver la réaction équilibrée qui évite de mettre à l’arrêt trop de ressources tout en établissant une cartographie rapide des chemins de propagation.
Les chemins d’accès initial les plus probables se déduisent du point d’entrée et les traces laissées par l’exécutable malin se trouvent sur le même niveau de privilège d’accès. On voit au passage l’intérêt des droits accès différentiés et l’intérêt de la segmentation fonctionnelle.
5. Identifier tous les systèmes et comptes infectés (champ d’application)
Qui est touché ? Un malware actif laisse des traces qui se répandent sur les systèmes qui continuent à communiquer avec le serveur de commande et de contrôle (C2).
Ces traces se retrouvent la plupart du temps dans des suites de commandes qui ont pour fonction essentielle de dupliquer et d’exécuter la charge d’encryption ou de destruction. Celles-ci visent les clés de registre ou la création de nouvelles tâches planifiées.
6. Déterminer si des données ont été exfiltrées
Souvent, les attaques de ransomware ne se contentent pas de chiffrer les fichiers, mais exfiltrent également les données. L’objet de cette opération est d’augmenter les chances de paiement de la rançon en menaçant de publier en ligne des données sensibles. Certains exécutables peuvent même contacter les partenaires commerciaux identifiés sur les données afin de les menacer à leur tour.
Surveillez les signes d’exfiltration de données, tels que les transferts de données importants sur les dispositifs périphériques du pare-feu ou à destination d’adresses IP externes à votre domaine. Recherchez les communications et les protocoles inhabituels entre les serveurs et les applications de stockage publiques ou non répertoriées.
7. Localiser vos sauvegardes et déterminer leur intégrité
Une attaque de ransomware tentera d’effacer les sauvegardes en ligne afin de réduire les chances de récupération des données. Pour cette raison, il faut s’assurer que la technologie de sauvegarde n’a pas été affectée par l’incident et qu’elle est toujours opérationnelle.
Dans le cas de nombreuses attaques par ransomware, les cybercriminels ont parfois été présents dans le réseau pendant des jours, voire des semaines, avant de décider de crypter les fichiers.
Cela signifie qu’il est possible d’avoir des sauvegardes contenant des charges utiles malveillantes que l’on ne souhaite pas restaurer sur un système propre. Il faut donc analyser toutes les sauvegardes pour déterminer leur intégrité.
8. Assainir les systèmes ou créer de nouvelles versions
Si l’entreprise a confiance en sa capacité à identifier tous les logiciels malveillants actifs et les incidents de persistance dans ses systèmes, elle peut gagner du temps en évitant la reconstruction de l’infrastructure.
Toutefois, il peut s’avérer plus facile et plus sûr de créer de nouveaux systèmes propres. On peut même envisager de créer un environnement entièrement séparé et propre vers lequel ensuite migrer. Cela ne devrait pas prendre trop de temps si l’entreprise utilise un environnement virtuel.
Lors de la reconstruction ou de l’assainissement du réseau, il faut s’assurer que les contrôles de sécurité appropriés sont installés et que les meilleures pratiques notamment de segmentation sont respectées afin que les appareils ne soient pas réinfectés.
9. Signaler l’incident
Il est important de signaler l’incident. Dans de nombreux pays, il s’agit même d’une obligation légale associée à un délai maximal. Passé celui-ci des pénalités sont applicables qui viennent aggraver encore l’impact économique de l’attaque elle-même.
L’équipe juridique peut aider à remplir les obligations légales relatives aux données réglementées, telles que PCI, HIPAA, etc. Si l’attaque par ransomware est grave et que l’entreprise s’étend sur plusieurs régions géographiques, il faudra peut-être contacter les instances légales appropriées, nationales ou locales selon le cas.
10. Payer la rançon ?
Les services répressifs déconseillent de payer la rançon. La raison essentielle est que l’organisme criminel qui a déclenché l’attaque n’est peut-être pas celui qui l’a conçue. Le supermarché du crime attire des acteurs de divers horizons, qui achètent des composants d’encryption sans toujours disposer des moyens de décryptage.
Toutefois, lorsque cette éventualité est envisagée, alors il est préférable de faire appel à une société de sécurité spécialisée. En outre, le paiement de la rançon ou la signature d’un accord ne permettra pas de remédier aux vulnérabilités exploitées par les attaquants.
Cette société, dont on se sera idéalement assuré avant l’attaque de l’intégrité et de l’expertise, permettra notamment l’identification des points d’accès, la caractérisation des composants de ransomware employés et sera en meilleure posture de négociation puis de correction des vulnérabilités.
11. Effectuer un bilan après l’incident
Epuisées financièrement et psychologiquement par l’expérience éprouvante d’une attaque, les entreprises négligent trop souvent cette étape. Pourtant il est essentiel de comprendre pour mieux se protéger.
Apprendre de ses failles, de ses topologies trop ouvertes ou de ses applications insuffisamment protégées est un excellent exercice. Cela permet non seulement de perfectionner les capacités de réponse et de récupération pour l’avenir, mais également de rallier à la cause de la sécurité des départements non nécessairement technologiques qui avaient tendance à considérer la cybersécurité comme une contrainte.
Les exercices permettent de simuler les aspects techniques et de souder les équipes, d’améliorer les playbooks et les relations entre les personnes. Ce bilan est la mémoire écrite de l’erreur et en même temps une composante majeure de la cyberculture de l’entreprise.
Alain Sanchez, EMEA Field CISO - Fortinet.
Sur le même thème
Voir tous les articles Cybersécurité