Attaques de rançongiciels sur Active Directory

Les deux phases d'une attaque de rançongiciel

Une idée fausse répandue à propos des attaques par rançongiciel est qu'elles sont rapides : quelqu'un ouvre une pièce jointe infectée ou insère un périphérique USB infecté, et en quelques minutes, les données à travers le réseau sont chiffrées et une demande de rançon s'affiche sur tous les écrans.

La réalité est tout autre. Les attaques par rançongiciel sont aujourd'hui assez sophistiquées et méthodiques. Pour chiffrer autant d'informations sensibles que possible et ainsi maximiser les chances d'obtenir une rançon élevée, les attaquants procèdent en deux phases :

1. Trouvez un point d'entrée — La première étape consiste à obtenir un point d'appui dans le réseau de l'organisation victime. Une stratégie courante est de compromettre les identifiants Active Directory d'un utilisateur en utilisant des tactiques telles que le hameçonnage ou la devinette de mot de passe.
2. Étendre leur portée — Avec un simple compte d'utilisateur professionnel ordinaire, un adversaire a un accès limité aux systèmes critiques et aux données. Par conséquent, ils recherchent des vulnérabilités dans Active Directory qu'ils peuvent exploiter pour étendre leurs droits. Une tactique consiste à ajouter le compte qu'ils contrôlent déjà à des groupes de sécurité qui disposent de permissions plus étendues ; les groupes vides sont une cible courante car ils ne sont probablement pas gérés avec soin et l'ajout d'un nouveau membre peut passer inaperçu. Une autre option est de compromettre les comptes d'autres utilisateurs qui disposent déjà de permissions d'accès privilégié, par exemple, en obtenant des informations d'identification d'administrateur mises en cache sur le point de terminaison qu'ils contrôlent déjà.

Une fois que les adversaires ont l'accès qu'ils désirent, ils exécutent le rançongiciel pour chiffrer toutes les données auxquelles ils peuvent accéder, ce qui peut inclure le contenu stocké dans le cloud. Dans de nombreux cas, ils copient les données avant le chiffrement afin de pouvoir menacer de les divulguer comme moyen de pression supplémentaire pour être payés. Ils tentent souvent également de chiffrer ou de supprimer les données de sauvegarde afin que les victimes soient plus enclines à se conformer à la demande de rançon.

Contenu connexe sélectionné :

• [Guide Gratuit] Meilleures pratiques de prévention contre les rançongiciels

Méthodes d'attaque par rançongiciel qui exploitent Active Directory

Voici quelques méthodes utilisées par les cybercriminels pour exploiter Active Directory afin de réaliser des attaques par rançongiciel :

Violation d'un réseau en utilisant un compte AD désactivé

Lors de l'attaque de 2021 contre Colonial Pipeline, un gang connu sous le nom de DarkSide a obtenu l'accès au réseau via un compte Active Directory désactivé. Ils ont compromis le compte en utilisant soit une liste de mots de passe communs, soit des bases de données de mots de passe piratés disponibles sur le dark web. Les comptes désactivés sont des cibles faciles pour les acteurs de menaces car leur prise de contrôle est moins susceptible d'être remarquée que la compromission d'un compte actif.

Propagation de ransomware en utilisant la stratégie de groupe Active Directory

La stratégie de groupe est une fonctionnalité puissante d'Active Directory que les administrateurs utilisent pour maintenir la sécurité et la productivité des utilisateurs. Les acteurs du rançongiciel peuvent détourner la stratégie de groupe pour propager leurs charges utiles.

Par exemple, le rançongiciel Ryuk est souvent distribué via des objets de stratégie de groupe (GPO) que les adversaires modifient ou créent. Plus précisément, ils insèrent Ryuk dans le script de connexion Active Directory, ce qui infecte toute personne qui se connecte au serveur Active Directory.

Propagation de ransomware via le partage SYSVOL d'Active Directory

Une autre manière dont les gangs de rançongiciels exploitent Active Directory consiste à utiliser le partage SYSVOL. SYSVOL stocke les fichiers publics du domaine et est accessible en lecture à tous les utilisateurs authentifiés. Une fois que les adversaires ont des droits d'accès privilégiés, ils modifient SYSVOL pour planifier des tâches afin d'infecter les appareils et de les surveiller.

Exploiter une vulnérabilité SharePoint pour obtenir un accès

Les acteurs du ransomware et d'autres adversaires peuvent également s'implanter dans un environnement AD en exploitant des vulnérabilités non corrigées. Par exemple, en 2019, des pirates ont exploité une vulnérabilité dans Microsoft SharePoint aux Nations Unies ; même si Microsoft avait publié le correctif pour la vulnérabilité, l'ONU n'avait pas mis à jour le logiciel en temps utile. Bien que cette attaque n'ait pas impliqué la diffusion de ransomware, les données personnelles de près de 4 000 membres du personnel de l'ONU ont été compromises.

Comment se défendre contre les attaques de rançongiciels sur Active Directory

Prévoir de simplement payer la rançon n'est pas une stratégie viable contre les logiciels de rançon. Il n'y a aucune garantie que vous obtiendrez réellement la clé de déchiffrement, et vous pourriez être plus susceptible d'être ciblé à nouveau. Cependant, il existe des stratégies efficaces pour réduire votre risque de subir une infection par rançongiciel et minimiser les dommages si cela se produit. Voici les meilleures pratiques à adopter.

Contenu connexe sélectionné :

• [Guide Gratuit] Meilleures pratiques de sécurité pour Active Directory

Nettoyez les comptes et groupes AD

Assurez-vous que chaque utilisateur dispose uniquement des autorisations nécessaires pour effectuer ses fonctions. Supprimez tous les comptes AD et les groupes de sécurité qui ne sont plus nécessaires, et assurez-vous que chaque groupe restant a un propriétaire désigné (ou des propriétaires) qui doit régulièrement réviser les permissions et l'appartenance du groupe.

Minimisez les comptes privilégiés

Les acteurs malveillants, y compris les gangs de rançongiciels, peuvent causer le plus de dégâts lorsqu'ils compromettent un compte hautement privilégié. Par conséquent, il est essentiel de limiter strictement l'appartenance à tous les groupes privilégiés, en particulier ceux très puissants comme les Enterprise Admins, Domain Admins et Schema Admins.

Mieux encore, adoptez une solution moderne de Privileged Access Management (PAM) qui vous permet de remplacer les comptes privilégiés permanents par un accès juste-à-temps, juste suffisant.

Mettez à jour le logiciel rapidement

Les entreprises de logiciels publient fréquemment des correctifs pour pallier les vulnérabilités de leurs solutions et fournissent régulièrement des versions mises à jour qui améliorent la sécurité. Assurez-vous que votre système d'exploitation Windows Server et les autres systèmes logiciels sont constamment mis à jour avec les derniers correctifs, et n'utilisez jamais de logiciel qui a atteint la fin de vie et ne reçoit plus de mises à jour de sécurité.

Mettez en œuvre Zero Trust et l'authentification multifacteur (MFA)

Un modèle de sécurité Zero Trust associé à la MFA aide à contrecarrer les adversaires, tant lorsqu'ils tentent de pénétrer dans votre réseau que lorsqu'ils essaient de se déplacer latéralement et d'élever leurs permissions. La MFA rend les mots de passe volés inutiles, et Zero Trust signifie que même après qu'un utilisateur se soit authentifié, toute activité suspecte ou risquée sera confrontée à des exigences d'authentification supplémentaires.

Investissez dans la détection et la réponse avancées aux menaces

Comme expliqué ci-dessus, les acteurs du ransomware passent généralement du temps à se déplacer à travers le réseau à la recherche de justificatifs plus puissants et d'actifs précieux. Il est essentiel de surveiller constamment l'environnement pour toute activité suspecte. De plus, la technologie moderne de leurre amène les attaquants à se révéler en utilisant des techniques telles que les pots de miel.

Sensibilisez tous les utilisateurs

L'une des approches les plus efficaces pour protéger Active Directory consiste à éduquer tous les utilisateurs de l'organisation sur les tactiques utilisées par les adversaires pour implanter des rançongiciels, telles que les e-mails de phishing contenant des liens ou des pièces jointes malveillants. Réalisez des sessions de formation fréquentes et évaluez leur efficacité avec des tests tels que des e-mails similaires au phishing.

Préparez-vous à un événement de rançongiciel

Avoir des playbooks pour répondre aux attaques de rançongiciels aidera à garantir une réponse rapide et efficace. Certaines solutions peuvent même prendre automatiquement des actions spécifiques lorsqu'une menace connue est détectée. De plus, assurez-vous de sauvegarder Active Directory, de stocker les données hors de portée des rançongiciels et de pratiquer régulièrement le processus de récupération.

Sécurisation d'Active Directory avec Netwrix Directory Manager

Mettre en œuvre les meilleures pratiques de sécurité pour Active Directory est une tâche complexe et chronophage. Netwrix Directory Manager est une solution complète de gestion des identités et des accès qui simplifie et automatise ce travail. Par exemple, avec Netwrix Directory Manager, vous pouvez :

• Maintenez automatiquement à jour l'appartenance aux groupes de sécurité AD
• Assurez-vous que chaque groupe ait un propriétaire, et même attribuez plusieurs propriétaires
• Permettez aux utilisateurs de réinitialiser leurs propres mots de passe et de déverrouiller leurs comptes en toute sécurité
• Mettez en œuvre l'authentification multifacteur
• Mettez en œuvre des exigences de complexité des mots de passe
• Rapport sur la santé du répertoire