Prévention des ransomwares : la sauvegarde de l’Active Directory comme rempart

Au cours des quatre dernières années, les ransomwares sont devenus une des plus importantes menaces de sécurité. Si la quantité d’attaques augmente un peu moins ces derniers temps (+5,73 % de cas traités par l’ANSSI entre 2020 et 20211), la spécialisation des acteurs améliore l’efficacité des attaques.

De plus, le vol de données avec menace de divulgation au cours d’une infection par rançongiciel se généralise. Cette extorsion multiple ajoute une pression supplémentaire sur les victimes.

Même si des organisations comme Nomoreransom.org luttent contre ce fléau en offrant aux victimes l’éventuelle possibilité de déchiffrer gratuitement leurs données, 66 % des organisations considèrent qu’elles sont fortement menacées par les rançongiciels^.1

Évidemment, l’Active Directory est le cœur de cible des cyberattaques. La prise de contrôle de comptes à hauts privilèges ouvre l’accès à l’ensemble des systèmes qui utilisent l’AD comme référentiel d’identités et d’autorisations. Il devient alors possible d’exfiltrer les données hébergées par ces systèmes et applications ainsi que de déployer les charges virales.

Les organisations doivent être prêtes à agir rapidement. Plus le temps nécessaire pour restaurer sera long, plus l’impact sera critique. L’Active Directory est, par essence, l’élément à restaurer en priorité pour permettre la récupération des données et systèmes qui en dépendent.

La restauration de l’Active Directory est bien plus complexe qu’une simple restauration des contrôleurs de domaines sauvegardés. Elle nécessite une compréhension approfondie des processus impliqués. Il est indispensable d’avoir au minimum testé la procédure sur des labs pour en connaître les nombreux détails non intuitifs.

La restauration par phase de l’AD est la méthode la plus rapide pour remettre en ligne les services. Elle consiste à identifier les contrôleurs de domaines les plus critiques pour chaque domaine. Ces DC seront restaurés les premiers. Les autres seront restaurés dans une phase ultérieure.

Lors d’une attaque par ransomware, la méthode de restauration pour les contrôleurs de domaine est le plus souvent le « Clean OS restore ». Elle consiste à utiliser un système d’exploitation Windows vierge identique à celui du DC d’origine afin de s’en servir comme base pour restaurer les fonctions de DC et l’AD lui-même.

Cette méthode permet d’éviter au maximum de restaurer des éléments de la charge virale qui auraient été déployés sur les DC (et donc sauvegardés en même temps qu’eux) mais non encore activés.

Cette méthode implique d’avoir investi dans une solution spécialisée de restauration de l’AD.

Lors de la phase de restauration des DC les moins critiques, Microsoft préconise la méthode dite « Installation From Media (IFM) » qui a prouvé son efficacité pour réinstaller l’AD. Cependant, elle nécessite de nombreuses opérations manuelles et répétitives à moins d’utiliser des outils d’automatisation pour l’accélérer.

Évidemment, la condition indispensable pour exécuter une restauration réussie de l’AD est de disposer de sauvegardes viables. En cas de cyberattaques, elles seront la cible prioritaire des attaquants qui chercheront à les détruire pour empêcher une future restauration. Il est impératif de les protéger au maximum. Des outils et des méthodes sont disponibles pour cela.

Les ransomwares représentent actuellement un risque évident pour toutes les organisations, quelle que soit leur taille. Celles qui investissent de manière proactive dans le renforcement de leur cyber résilience seront à même de résister et de survivre en cas d’attaque.

Les autres perdront des fortunes en données détruites, en perte d’exploitation, en perte de notoriété, voire en rançons pour celles qui feraient le choix sensible de payer. Selon une étude récente², une organisation dépense en moyenne 1,85 million de dollars pour se remettre d’une cyberattaque, et seulement 65 % des données sont récupérées en cas de paiement de rançon.

En résumé, considérez l’AD comme une priorité. Mettez en place une stratégie de restauration d’urgence. Protégez vos sauvegardes. Investissez dans des outils permettant de réaliser concrètement ces différents points.

^{1 Sondage Dimensional Research/One Identity 2021
2 Sophos, The State of Ransomware 2021}