Les 3 principaux vecteurs d’attaque de ransomware
Les cybercriminels utilisent trois principales portes d’entrée pour, in fine, déployer leurs rançongiciels dans le système d’information de leurs victimes. Voici comment prévenir ces intrusions.
Les cyberattaques avec ransomware paraissent omniprésentes. Pour déployer et faire détoner ces maliciels, les attaquants s’infiltrent dans les systèmes d’information avant de le paralyser, même s’il s’agit d’un hôpital ou d’une utilité.
Mais savez-vous comment les attaquants s’introduisent dans le système d’information de leur victime ? Ou comment ils pourraient s’inviter dans le vôtre ? Pour prévenir les attaques impliquant un rançongiciel, il convient d’abord de savoir de quelle manière procèdent les assaillants et ils réalisent leur intrusion initiale. Il y a pour cela trois vecteurs principaux. Une fois qu’ils sont bien compris, il est possible de déterminer quels contrôles mettre en place pour réduire le risque.
Les courriels malicieux, le détournement de services de déport d’affichage (RDP), et l’exploitation de systèmes vulnérables exposés sur Internet. Ce sont les trois principaux vecteurs d’intrusion des attaquants. Voyons comment leur claquer la porte au nez.
1. La messagerie électronique
Les courriels malicieux, piégés, continuent de constituer le premier vecteur d’attaque des logiciels malveillants – y compris les ransomwares. Et cela tout simplement parce que cela fonctionne. Les attaquants visent la messagerie électronique parce que les courriels sont généralement ouverts sur des postes de travail au sein du réseau de l’entreprise. Dès lors, ils peuvent être confiants d’atteindre une cible de valeur, si le courriel ou plutôt sa pièce jointe sont ouverts. C’est là-dessus que misent des menaces telles que le défunt Emotet, mais aussi ses successeurs Trickbot, Qbot ou encore IcedID.
Pour augmenter leurs chances de succès, les assaillants habillent leurs messages et leurs pièces jointes pour interpeller leur destinataire, en jouant sur différents ressorts psychologiques, personnels comme professionnels.
Les moyens ne manquent pas pour éviter que son entreprise ne se fasse ainsi piéger. Cela commence par la sensibilisation des utilisateurs : des collaborateurs bien entraînés et bien conscients de la menace peuvent constituer une puissante ligne de défense. Certains peuvent cliquer, mais les en blâmer ouvertement ne les fera pas avancer ; célébrer ceux qui ne se font pas berner constituera en revanche un bon encouragement.
Et il y a également les moyens techniques de filtrant entrant de la messagerie électronique. Certains courriels malicieux peuvent passer au travers, mais l’essentiel sera bloqué avant d’attendre la boîte de réception des utilisateurs. En outre, les systèmes de détection et de réponse sur les hôtes peuvent reconnaître les comportements anormaux trahissant l’exécution d’un maliciel, lorsqu’un utilisateur clique malencontreusement.
2. Les services de déport d’affichage (RDP)
Le protocole de déport d’écran de Microsoft, RDP, est incontournable dans les entreprises, notamment parce qu’il permet aux administrateurs d’intervenir sur des serveurs et des postes de travail à distance. Mais sans protection robuste, les services RDP peuvent constituer une porte grande ouverte pour les attaquants. Cependant, protéger ces services est tout à fait possible.
La première chose à faire consiste à exiger une authentification à facteurs multiples, afin d’éviter qu’un attaquant ayant réussi à obtenir des identifiants valides ne puisse en profiter pour détourner un compte utilisateur. En outre, l’accès à ces services ne devrait pas être possible sans authentification au niveau du réseau, voire sans passer par un VPN. Qui plus est, il est préférable de limiter l’accès initial à une machine de rebond, plutôt que de rendre immédiatement accessibles des systèmes sensibles.
Enfin, il est préférable de fermer les ports d’administration et de ne les ouvrir qu’à la demande, lorsqu’un utilisateur vérifié et légitime cherche à y accéder. De la sorte, les administrateurs peuvent faire leur travail, mais les systèmes concernés ne sont pas exposés en continu au risque d’une attaque.
3. L’exploitation de vulnérabilités
Le dernier vecteur d’attaque particulièrement prisé n’est autre qu’une série de vulnérabilités plus ou moins aisément exploitables, mais permettant de prendre pied sur le système d’information. Tout système vulnérable directement exposé sur Internet et auquel les correctifs disponibles n’ont pas été appliqués peut constituer un vecteur d’attaque. Et c’est sans compter avec les services Web composites bardés d’extensions et autres librairies potentiellement vulnérables.
Si votre programme de gestion des vulnérabilités n’a pas été actualisé pour tenir compte de cette réalité de la menace, il est temps de le faire. Il convient de s’assurer que les systèmes accessibles directement sur Internet sont toujours à jour de correctifs.
Il convient en outre de disposer d’un programme de gestion du cycle de vie des applications pour maintenir un inventaire à jour des applications et services utilisés dans l’organisation et, plus encore, communiquant avec l’extérieur. Et à cela s’ajoute un inventaire des composants logiciels utilisés.
L’important est là de savoir au plus vite, lorsqu’une vulnérabilité critique est découverte, si l’on est concerné et si son environnement présente un chemin d’exploitation qu’un attaquant pourrait aisément emprunter.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Ransomware : des identifiants compromis aux avant-postes de près de 40 % des attaques
-
Cybersécurité : les demandes d’indemnisation liées à certains équipements réseau ont augmenté
-
Selon Sophos, RDP est détourné dans plus de 90 % des cyberattaques
-
Sophos : RDP impliqué dans 95 % des cyberattaques au premier semestre 2023