Les ransomwares dans les petites et moyennes entreprises (PME)
Les menaces basées sur l’IA, quoi que cela signifie, sont loin d’être la plus grande préoccupation en matière de ransomware. Même une solution de sécurité basée sur l’IA ne vous aidera pas en cas de ransomware lorsqu’un acteur malveillant pénètre dans le système grâce à des identifiants valides et peut simplement utiliser net exec ou CME pour les OG.
Lorsqu’un acteur malveillant peut simplement utiliser netexec ou crackmap exec pour se frayer un chemin à travers un contrôleur de domaine avant de déployer la charge utile du ransomware à l’aide de psex.exe et targets.ext, les principaux contrôles manquants ou incomplets qui pourraient aider à prévenir ces attaques ne donnent pas le temps aux défenseurs de les détecter.
Voyons les solutions de sécurité que certains fournisseurs essaient de vous vendre. Honnêtement, tout se résume à une bonne hygiène informatique et aux meilleures pratiques.
Les clichés sur les bases de la sécurité, les choses que vous entendez tout le temps
- Ne cliquez pas sur les liens et les e-mails.
- Ne branchez pas de clés USB.
- Utilisez l’authentification multifactorielle.
- Utilisez un gestionnaire passif.
- Blablabla.
Mais c’est tout. C’est la base. C’est l’hygiène informatique de base.
Plongeons-nous plutôt dans les cinq vrais principaux moyens de contrôles.
Numéro 1 / Pas d’authentification multifactorielle (MFA) sur les services externes à distance
Le vecteur d’accès initial que je vois le plus souvent est probablement le VPN (réseau privé virtuel), le RDP (protocole de bureau à distance), le RD web, ou même Microsoft 365 ou entra ID.
Il est difficile d’imaginer que l’authentification multifactorielle (MFA) ne soit toujours pas mise en œuvre partout en 2025. Pourtant, nous en sommes là. Quelle est la phrase que j’entends le plus souvent ? La phrase que j’entends le plus souvent lorsque je suis appelé pour une réponse à un incident et que l’auteur de la menace est entré via une simple authentification par nom d’utilisateur et mot de passe :
Oh, nous étions sur le point de déployer l’authentification multifactorielle la semaine prochaine.
Pour les organisations qui ont déployé l’authentification multifactorielle, j’entends :
« Mais comment cela a-t-il pu se produire ? Nous avons déployé l’authentification multifactorielle. »
L’attaque ou la technique de détournement de session
En général, ils utilisent des outils que nous avons présentés dans d’autres articles, comme Evil Jinx, ou tout autre outil capable de faire office de proxy inverse, qui leur permet de vous piéger et d’obtenir vos identifiants légitimes tout en se présentant comme la véritable page de connexion Microsoft ou tout autre service légitime.
Même lorsque vous fournissez et saisissez votre code d’authentification multifactorielle, celui-ci est toujours transmis à l’adversaire, qui se trouve alors au milieu de vos communications. Il a toujours un pied dans la porte.
Chaque jour sans MFA activé sur un service distant réel ou externe est un jour supplémentaire où vous pouvez ou non être autorisé à poursuivre vos activités commerciales en toute tranquillité. À un moment donné, un pirate va réussir à s’introduire.
C’est ainsi qu’il va s’introduire. Ce n’est qu’une question de temps. Ce n’est pas une question de chance. C’est simplement que votre numéro n’a pas encore été tiré au sort.
Selon votre configuration, la MFA ou l’authentification multifactorielle n’est pas si coûteuse à déployer.
Même si vous devez payer pour un dispositif physique ou un code à usage unique basé sur le temps, au moins, c’est moins coûteux que de faire face à une attaque réussie par un ransomware. Oui, cela pourrait représenter plusieurs millions de dollars en Bitcoin ou en Monero.
Le coût dépendra du fait que vous ayez ou non informé votre assureur cyber que vous aviez déployé l’authentification multifactorielle sur votre VPN, alors qu’en réalité, vous ne l’avez probablement pas fait.
Oui, l’authentification multifactorielle est très importante, et c’est quelque chose que nous oublions souvent, même pour les services ou comptes en ligne.
Je pense que je l’associerais vraiment à l’utilisation d’un gestionnaire de mots de passe, car à ce stade, vous disposez d’une archive lorsque vous utilisez un gestionnaire de mots de passe sur chaque service ou compte en ligne que vous utilisez. Parcourez littéralement la liste qu’il a créée pour vous pour les éléments avec lesquels vous interagissez, car vous devez avoir l’authentification par mot de passe et vérifier deux ou trois fois, vous assurer que tout est configuré et mis en place avec l’authentification multifactorielle. Même s’il ne s’agit pas strictement de VPN, de RDP ou d’autres comptes en ligne, quel que soit le site web que vous consultez, jetez-y un œil.
Configurez l’authentification multifactorielle partout où cela est possible.
Numéro 2 / Les périphériques exposés et/ou non corrigés
Probablement le deuxième vecteur d’accès initial que je vois le plus souvent.
C’est le deuxième vecteur d’accès initial que je vois le plus souvent après l’absence d’authentification multifactorielle. S’il y a une catégorie d’appareils ou d’équipements qui doivent être corrigés dès que des mises à jour et des correctifs sont disponibles, c’est bien celle des périphériques.
Si vous ne connaissez pas bien la périphérie, il s’agit du périmètre du réseau. Considérez-la comme la clôture extérieure, la limite de votre réseau. Votre pare-feu, votre utilitaire VPN dans certains cas. La périphérie de votre réseau est littéralement la clôture et le périmètre qui l’entourent.
Il est certain que les appareils périphériques seront ciblés dès qu’une vulnérabilité et/ou un puck ou une preuve de concept fera son apparition. Il suffit de supprimer l’exposition de l’interface de gestion, mais pourquoi est-elle exposée en premier lieu ? Cela pourrait contribuer à réduire la surface d’attaque si différentes vulnérabilités l’attaquaient.
Evidemment, cela va au-delà des simples périphériques. Cela vaut pour toute application orientée vers l’avant, pas strictement un pare-feu ou une application VPN, mais quelque chose dans votre zone démilitarisée, quelque chose qui pourrait encore offrir des services externes via HTTP, e-mail, peut-être FTP.
Le plus important que nous ayons vu est le transfert de fichiers géré ou MFT. Nous pourrions continuer encore et encore à parler de l’exploitation Move It ou Go FTP. Quel était le nom des autres ? Crush FTP. Je pense que c’est celui auquel je pense.
Cela inclut les périphériques périphériques ou les éléments qui sont orientés vers l’extérieur et ouverts au public sur internet. C’est là, à la vue de tous. Lorsque la nouvelle vulnérabilité, le CVE, l’exploit ou le pock arrive sur le marché, les dégâts sont inévitables.
Numéro 3 / Pas de segmentation de réseau de base
La plupart des organisations disposent de plusieurs VLAN ou sous-réseaux, mais ils sont plats. Les postes de travail peuvent communiquer avec les serveurs sur tous les ports et peuvent servir de serveurs.
Marcel, de la comptabilité, peut se connecter au réseau via VPN tout en travaillant à domicile, et le sous-réseau utilisateur VPN sur lequel il atterrit lui permet de se connecter directement au contrôleur de domaine via RDP. C’est marrant de le dire comme ça. Mais n’importe qui pourrait probablement bénéficier de cette disponibilité et de cet accès. Que pensez-vous qu’il se passe lorsqu’un acteur malveillant parvient à pénétrer dans le VPN en utilisant uniquement un nom d’utilisateur ou un mot de passe, en raison de l’absence d’authentification multifactorielle ? Il peut immédiatement attaquer les serveurs.
Certes, il n’a pas eu la chance de se connecter au VPN avec les identifiants d’un compte Active Directory qui dispose déjà d’un certain accès aux serveurs. Nous ne parlons même pas ici de DMZ, mais simplement de mise en réseau.
- Placez vos postes de travail dans un sous-réseau.
- Placez vos serveurs dans un autre sous-réseau.
Votre poste de travail ne devrait pouvoir accéder qu’à des services spécifiques sur le sous-réseau des serveurs : le port 80 ou 443 pour le serveur web, le port 1433 pour le serveur SQL, etc.
Votre sous-réseau utilisateur VPN devrait être similaire à votre sous-réseau de postes de travail, voire plus restreint, mais en réalité, il devrait être séparé du sous-réseau des postes de travail et des serveurs.
Le VPN dispose de son propre petit terrain de jeu. Vos serveurs ne doivent pas avoir un accès illimité à internet.
Chaque fois que vous voyez un navigateur web installé dans un centre de données, vous devriez grincer des dents. Cette segmentation de base du réseau peut être très utile. Moins vous exposez de services et de systèmes, plus votre surface d’attaque est réduite et plus vous avez de chances d’éliminer les acteurs malveillants de votre réseau qui commencent à illuminer vos consoles comme un sapin de Noël.
En supposant que vous ayez quelqu’un qui surveille ce sapin de Noël.
Numéro 4 / La configuration incorrecte des comptes de service
Ce ne sont pas des comptes de service gérés, des MSA, des GMCA ou des SMSA. Ce sont de simples utilisateurs Active Directory ou des utilisateurs locaux dont le nom contient la chaîne SVC.
Leurs identifiants ont été intégrés dans tous les systèmes ou services dont ils ont besoin pour fonctionner, et le tour est joué. Ces comptes disposent souvent de privilèges élevés.
- Pourquoi SVCSQL est-il un administrateur de domaine ?
- Et pourquoi il n’est pas restreint ou limité dans ce qu’il peut faire sur le réseau ?
- Pourquoi SVC peut-il échanger RDP avec le DC ?
- Pourquoi ne pourrait-il pas du tout utiliser RDP ?
Bien sûr, ces comptes sont très intéressants pour les acteurs malveillants, car ils savent que s’ils en compromettent un seul, c’est pratiquement déjà fini à ce stade.
D’une manière ou d’une autre, ce compte peut être utilisé pour compromettre un compte DA ou administrateur de domaine réel lorsqu’il ne peut pas simplement utiliser RDP vers un DC.
Dans un monde idéal, vous devriez utiliser votre propre version de MSA et non de simples utilisateurs réels. Faites en sorte qu’ils ne puissent se connecter qu’à des systèmes spécifiques et qu’ils ne puissent pas du tout utiliser RDP.
⇒ Ce que Mandiant révèle : 8 % des groupes de menaces motivés par l’espionnage
Numéro 5 / Pas d’antivirus AV, d’antivirus nextG, d’EDR, de plateforme de détection et de réponse aux incidents sur les terminaux, ni même de personne pour examiner les alertes
C’est là que, si quelqu’un faisait quelque chose de mal, un utilisateur pourrait être compromis, peut-être exploité via une authentification multifactorielle manquante ou tout autre périphérique non protégé et non corrigé, ou tout autre élément.
Si un acteur malveillant essayait d’utiliser un utilisateur pour commettre un acte répréhensible et interagir avec RDP, vous déclencheriez une alerte.
Un signal devrait être émis pour que les analystes ou les membres du centre des opérations de sécurité puissent examiner ce triage, approfondir l’enquête et peut-être se lancer à fond dans une réponse à l’incident. Mais cela signifie que vous devez disposer de personnes qui examinent ces alertes.
Quel que soit l’incident, qu’il soit grave, mineur ou autre, il y aura toujours un signal ou une télémétrie. Mais nous devons simplement nous assurer de le voir, de le capturer, de le reconnaître et de le traiter. Tout cela suppose qu’un antivirus, un antivirus nextG ou une solution EDR ait été déployé.
Même sur les versions Windows où Windows Defender est désormais intégré, il y aura toujours des alertes.
Il est évident que bon nombre de ces solutions sont des solutions de gestion dans les entreprises et les terminaux informatiques, souvent dans le cloud. Si vous utilisez uniquement Windows Defender installé localement de manière autonome, à moins que l’utilisateur ne remarque la fenêtre contextuelle de Defender lorsqu’il y a une détection, mais il y aura toujours une détection.
N’oubliez pas que même lorsqu’un acteur malveillant désactive ou désinstalle la solution de sécurité tierce sur un système, Defender se réactive immédiatement. Évidemment, vous pourriez faire certaines choses que nous avons présentées dans d’autres articles pour désactiver ou affaiblir Defender autant que possible.
Mais supposons que vous utilisiez un autre antivirus ABCYZ. S’il existe des astuces pour le désactiver, Defender détectera qu’il n’y a pas de solution de sécurité et prendra le relais. Le pirate devra alors effectuer davantage d’opérations post-exploitation ou d’autres opérations, notamment sur le clavier, pour lutter contre Defender et le désactiver, ce qui générera à nouveau des données télémétriques, des alertes, des journaux, des artefacts, autant d’éléments qui aideront à résoudre l’affaire.
Il y a de fortes chances que Defender commence à se déclencher sur les actions du pirate. Pendant longtemps, nous avons été assez prompts à critiquer Defender. Tout le monde disait :
« Defender, c’est nul. C’est gratuit. C’est intégré. Comment pourrait-il être bon ? On en a pour son argent. »
Mais le fait est qu’il est désormais excellent. C’est le meilleur, car il contient beaucoup d’informations internes, de télémétrie sur chaque ordinateur Windows. Il est partout. C’est Microsoft. Ils vont être assez rapides pour publier toutes ces alertes, signatures et détections de comportements.
Pour ma part, je pense que Defender est bon, très bien, parfait. C’est ce que nous devrions utiliser comme antivirus (voir Sécurisez gratuitement votre PC -antivirus, pare-feu).
Les solutions EDR, évidemment, la détection et la réponse aux incidents au niveau des terminaux. Il faut avoir une autre couche par-dessus ça. C’est la défense en profondeur dont nous parlons sans cesse, alors que j’essaie de parler des mêmes mesures élémentaires d’hygiène informatique.
Quoi qu’il en soit, la plupart des PME ne disposent pas d’EDR et continuent d’utiliser l’antivirus NGAV que leur fournisseur MSP ou informatique leur propose. Bonjour, Webroot, Bit Defender, ESET, et tous les autres. Salut. Cependant, il semble que lorsque ces produits sont vendus au client, ils le sont pour cocher une case ou un point. Ils cochent une case dans une liste, et c’est tout. Il n’y a pas de surveillance ni d’examen des alertes, et si c’est le cas, elles sont de toute façon mal gérées.
La personne qui examine l’alerte ne comprend pas ce qu’elle regarde. Éducation, sensibilisation, connaissance des enjeux de la cybersécurité. C’est un travail.
Le simple fait de confier à une société de sécurité compétente le tri des alertes de votre solution de protection des terminaux peut faire une grande différence. Au minimum, ils sauront qu’il est étrange que SMB Reception One exécute Mimiats.ex. exe à partir de la musique publique des utilisateurs C.
⇒ Infostealers : fonctionnement, prix et marchés clandestins
En conclusion
Si vous êtes une PME ou une petite entreprise de taille moyenne, une petite ou moyenne entreprise qui lit cet article, ou même un MSP, un fournisseur de services gérés ou un fournisseur de technologies de l’information, la meilleure chose que vous puissiez faire dès maintenant pour aider vos clients à se prémunir contre les attaques de ransomware ou même pour compliquer la tâche des acteurs malveillants une fois qu’ils sont à l’intérieur, c’est de travailler sur les cinq points ci-dessus.
Évidemment, il y a une tonne d’autres choses que nous pourrions ajouter ici. Mais ne vous débordez pas, commencez petit.
Selon l’environnement, certaines de ces cinq mesures, voire toutes, peuvent être faciles à mettre en œuvre, tandis que d’autres peuvent être un peu plus difficiles. À tout le moins, en ce qui concerne le numéro trois, vous devriez déployer un environnement réseau avec une approche axée sur la sécurité de base dès le départ, ce qui facilitera grandement les choses par la suite.
À mon avis, vous êtes libre de faire ce que vous voulez avec ces informations. En fin de compte, je sais que nous continuerons à faire face à des incidents où au moins une, voire plusieurs ou toutes ces mesures de contrôle sont absentes et ont permis à une attaque de se produire.
