Mardi 31 juillet 2018, Sophos a publié le document de recherche le plus large et le plus complet jamais compilé sur SamSam, un ransomware sophistiqué et hautement destructeur, reconnu pour sa capacité à plonger des entreprises entières dans le chaos le plus total.
SamSam est différent de la plupart des autres ransomwares. En effet, il est utilisé avec parcimonie dans un nombre relativement restreint d’attaques ciblées par une équipe ou un individu qualifié. Les cybercriminels s’introduisent dans le réseau d’une victime, effectuent une analyse de ce dernier, avant de déployer et de lancer le ransomware en question, tout comme un administrateur système déploierait un logiciel légitime.
Ces tactiques inhabituelles présentent des avantages à la fois pour le cybercriminel et pour la victime.
La bonne nouvelle est que les cybercriminels SamSam ne sont pas à la recherche d’un défi en particulier. Ils veulent des cibles faciles, signifiant ainsi que quelques précautions de base vous offriront déjà une très bonne protection.
La mauvaise nouvelle est que, s’ils parviennent à pénétrer au sein de votre entreprise, ils peuvent se propager et évoluer rapidement. Ils ne déploient pas le malware SamSam tant qu’ils ne sont pas en mesure d’agir en tant qu’Administrateur de Domaine, leur permettant alors d’attaquer en toute sécurité.
Les pirates SamSam ont déjà effectué des changements de tactiques en cours d’attaque, en passant des heures, voire des jours, à faire en sorte de mettre en œuvre la stratégie parfaite. Si une approche ne fonctionne pas, ils en essaient une autre, et si le logiciel de sécurité empêche les malwares de fonctionner, ils cherchent des moyens de le désactiver.
Grâce aux recherches menées par Sophos sur SamSam, nous avons pu renforcer la protection offerte au sein de tous nos produits et, grâce à la Cyber Threat Alliance dont nous sommes membres, Sophos a pu bénéficier des connaissances acquises par d’autres, et partager les informations obtenues avec des partenaires industriels, renforçant ainsi la protection de chacun.
Sophos estime que ses produits offrent la meilleure protection possible contre SamSam. Comme tous les bons logiciels de sécurité, ces produits sont plus efficaces lorsqu’ils sont déployés dans le cadre d’une stratégie de défense en profondeur.
Dans cet article, nous nous appuyons sur cette nouvelle étude pour examiner certaines des autres couches importantes de cette stratégie et comment elles peuvent vous aider à protéger votre entreprise contre SamSam.
Soyez la plus petite cible possible
La meilleure façon d’éviter les problèmes est de ne pas être une cible potentielle, et ce dès le départ. Jusqu’à présent, les cybercriminels SamSam sont entrés dans les réseaux des victimes en utilisant des exploits au niveau des serveurs internet, notamment le serveur d’applications JBoss, ou en lançant des attaques par force brute pour deviner les mots de passe RDP (Remote Desktop Protocol).
Correctifs
Les attaques SamSam ont probablement utilisé les approches mentionnées ci-dessus car elles avaient une probabilité de succès plus élevée, ou encore étaient tout simplement plus pratiques à l’époque. Il est bien évidemment faux de penser qu’ils ne changeront pas d’approche si une alternative plus efficace, telle qu’un nouvel exploit, apparaît.
Pour cette raison, nous vous recommandons de ne pas vous concentrer seulement sur l’installation de correctifs concernant des vulnérabilités spécifiques, mais plutôt de suivre un protocole d’application de correctifs strict pour les systèmes d’exploitation et toutes les applications qui en dépendent.
Verrouillage du RDP
A moins qu’il ne soit correctement sécurisé, le RDP est une cible privilégiée pour toutes sortes de cybercriminels, et pas seulement les pirates SamSam. Nous vous recommandons de prendre les mesures suivantes pour protéger votre entreprise contre les attaques via RDP :
- Limitez l’accès RDP aux personnes qui en ont réellement besoin.
- N’autorisez pas des comptes Administrateur de Domaine à utiliser le RDP.
- Exigez une authentification multi-facteurs.
- Optez pour une politique appropriée afin de sécuriser les comptes inactifs.
- Limitez le nombre de tentatives au niveau du mot de passe via l’Editeur de Politique de Sécurité.
- Verrouillez automatiquement les comptes après un certain nombre de tentatives de connexion infructueuses.
- Demandez au personnel d’accéder au RDP via un VPN.
- Limitez l’accès VPN à des adresses IP spécifiques, ou via un périmètre prédéfini ou géolocalisé.
- Sensibilisez les utilisateurs aux mots de passe forts et aux dangers de la réutilisation de ces derniers.
- Encouragez les employés à utiliser des gestionnaires de mots de passe sécurisés.
- Testez les mots de passe de votre personnel pour déterminer leur résilience.
Considérez votre réseau comme un ennemi
Parce que rien ne peut garantir que les pirates SamSam ne changent pas de tactique, il est important de comprendre comment ils voient votre propre réseau. Vous pouvez le faire en effectuant des analyses de vulnérabilité et des tests de pénétration réguliers, en menant des évaluations périodiques et en utilisant des outils tiers tels que Censys ou Shodan, pour identifier les services et les ports accessibles publiquement au sein de votre espace d’adressage IP public.
Mettre en œuvre le principe de moindre privilège
Si les pirates SamSam ont accès à votre réseau, ils essaieront de devenir des Administrateurs de Domaine en utilisant une combinaison d’outils de hacking et d’exploit.
Une approche consiste à utiliser l’outil de collecte d’identifiants Mimikatz pour voler le mot de passe d’un Administrateur de Domaine, en mémoire, lorsqu’il se connecte.
L’élévation de privilèges peut prendre des jours, et plus elle prend de temps, plus vous avez de chances de repérer l’intrus. Pour ralentir et énerver un cybercriminel, vous devez suivre le principe de moindre privilège, en donnant aux comptes utilisateurs uniquement les droits d’accès dont ils ont besoin et rien de plus. Par exemple :
- Les utilisateurs n’ayant pas besoin d’installer de logiciel ne doivent pas disposer de privilèges Administrateur.
- Les comptes Administrateur de Domaine doivent être utilisés pour les tâches d’administration, pas pour les emails ou la navigation sur internet.
- Dans la mesure du possible, préférez l’élévation des privilèges de domaine sur l’utilisation des comptes Administrateur de Domaine.
- Ne donnez pas des comptes de service à d’importants services tels que l’accès des bases de données SQL aux sauvegardes.
- Restreignez l’accès au système critique au plus petit groupe possible.
- Verrouillez autant que possible l’accès à C$ et aux autres partages.
Vous pouvez trouver des modèles ou des approches d’accès privilégié, tels que l’approche basée sur les niveaux de Microsoft, plutôt utile, ainsi que des outils tels que BloodHound qui peuvent vous aider à identifier et à éliminer les risques cachés.
Le principe de moindre privilège s’applique aux logiciels ainsi qu’aux accès.
L’utilisation intensive d’outils d’administration tels que PowerShell, PsExec et PAExec, ainsi que d’Applications Potentiellement Indésirables (PUA) telles que Mimiktaz, lors d’attaques, rend la configuration appropriée, des technologies de contrôle des applications, extrêmement importante.
Les langages de script tels que JavaScript et Powershell, ainsi que les outils d’administration tels que PsExec, doivent être bloqués partout où ils ne sont pas nécessaires, ou bien bloqués partout et autorisés uniquement en cas de nécessité absolue.
Dans l’étude en question, la section regroupant les détails techniques concernant SamSam, contient des informations supplémentaires sur les logiciels qui ont été détectés lors des attaques SamSam.
Partez du principe qu’une attaque est une affaire de “quand” et non de “si”
En réfléchissant à votre protection contre SamSam, il est important de se rappeler que l’exécution de ce ransomware est la dernière étape de l’attaque. Jusque-là, vous avez eu affaire à un intrus compétent, capable d’exercer un énorme pouvoir sur votre réseau et de contrer vos éventuels mouvements défensifs.
Vous ne pouvez pas attendre d’être attaqué pour décider de vos besoins et des actions à engager, car à ce moment-là, il sera trop tard. Pour vous préparer en conséquence, vous devez agir comme s’il s’agissait d’une réelle violation, et non d’un danger lointain et peu probable.
Vous aurez besoin d’un personnel formé et de logiciels adaptés, capables de surveiller et de réagir en temps réel à des événements anormaux sur votre réseau, tels qu’une activité inhabituelle au niveau d’un compte.
Une sélection rigoureuse de logiciels avec les bonnes approches en matière d’automatisation, de signalement et d’interopérabilité, est importante.
Ses capacités de signalement et de communication avec d’autres logiciels de sécurité devraient permettre à votre personnel de disposer d’informations suffisantes et pertinentes, sans être pour autant débordé.
L’automatisation est importante car le malware SamSam est conçu pour agir rapidement et pour chiffrer, en premier, vos fichiers les plus importants. Il est généralement lancé au milieu de la nuit ou tôt le matin dans le fuseau horaire de la victime, lorsque la plupart des utilisateurs et des administrateurs sont endormis.
Et dans le cas d’une attaque réussie ?
Si une attaque SamSam réussit à chiffrer des ordinateurs sur votre réseau, vous devrez être en mesure de vous rétablir rapidement et de comprendre les mesures à prendre pour éviter qu’une telle attaque ne se reproduise.
Contrairement à la plupart des autres ransomwares, SamSam ne cible pas uniquement les fichiers document et les données, il cible également les applications et les fichiers de configuration. Ainsi, avant de pouvoir restaurer vos données, vous devez réinstaller ou reconfigurer les systèmes d’exploitation et les applications de vos ordinateurs, ce qui peut prendre du temps si vous n’y êtes pas préparé.
En examinant votre stratégie de sauvegarde, sensée résister à SamSam, il est utile de passer en revue les mêmes potentiels problèmes auxquels vous pourrez être confrontés dans le cas d’un incendie ou d’une inondation : combien d’ordinateurs sont nécessaires à votre entreprise pour maintenir un fonctionnement minimal ? Combien de temps vous faudra-t-il pour restaurer ces machines, et combien de temps faudra-t-il à votre entreprise pour retrouver une marche normale ?
Vous ne voulez pas vous retrouver dans la situation où vous aurez survécu à une attaque mais aurez dû payer la rançon de toute façon car vous n’étiez pas capable de restaurer vos ordinateurs assez rapidement.
De même, vous devez vous rappeler que si un Administrateur de Domaine de votre réseau peut accéder à vos sauvegardes, un cybercriminel agissant en tant qu’Administrateur de Domaine peut les détruire ou les chiffrer. Par conséquent, votre stratégie de sauvegarde doit :
- Prendre en compte la manière dont vous allez restaurer complètement le nombre nécessaire de machines, et pas seulement les données.
- Inclure des sauvegardes hors ligne et hors site, créant ainsi un air gap entre elles et un cybercriminel.
Si le pire devait arriver, l’idéal serait d’avoir collecté suffisamment d’informations pour mener une analyse à posteriori pouvant répondre à des questions telles que : quelles sont les données perdues, comment le cybercriminel a pu pénétrer et comment pouvez-vous empêcher qu’une telle attaque ne se reproduise ?
Pour en savoir plus
Vous pouvez en savoir plus sur l’histoire de SamSam, comment il fonctionne et comment s’en protéger dans le nouveau document de recherche de Sophos, SamSam: Le ransomware qui vaut (presque) six millions de dollars.
L’étude est en cours. Si vous disposez d’informations sur SamSam ou si vous êtes un fournisseur de solutions de sécurité intéressé pour collaborer à notre enquête, veuillez contacter Sophos.
Billet inspiré de How to defend yourself against SamSam ransomware, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.