Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Attaques de rançongiciels sur Active Directory

Attaques de rançongiciels sur Active Directory

Mar 1, 2024

Organizations worldwide use Active Directory (AD) as their primary identity service, which makes it a top target for ransomware attacks. This article explains how adversaries exploit Active Directory during ransomware attacks and provides strategies and tools for defending against this modern menace.

Les deux phases d'une attaque de rançongiciel

Une idée fausse répandue à propos des attaques par rançongiciel est qu'elles sont rapides : quelqu'un ouvre une pièce jointe infectée ou insère un périphérique USB infecté, et en quelques minutes, les données à travers le réseau sont chiffrées et une demande de rançon s'affiche sur tous les écrans.

La réalité est tout autre. Les attaques par rançongiciel sont aujourd'hui assez sophistiquées et méthodiques. Pour chiffrer autant d'informations sensibles que possible et ainsi maximiser les chances d'obtenir une rançon élevée, les attaquants procèdent en deux phases :

  1. Trouvez un point d'entrée — La première étape consiste à obtenir un point d'appui dans le réseau de l'organisation victime. Une stratégie courante est de compromettre les identifiants Active Directory d'un utilisateur en utilisant des tactiques telles que le phishing ou la devinette de mot de passe.
  2. Étendre leur portée — Avec un simple compte d'utilisateur professionnel ordinaire, un adversaire a un accès limité aux systèmes critiques et aux données. Par conséquent, ils recherchent des vulnérabilités dans Active Directory qu'ils peuvent exploiter pour étendre leurs droits. Une tactique consiste à ajouter le compte qu'ils contrôlent déjà à des groupes de sécurité qui disposent de permissions plus étendues ; les groupes vides sont une cible courante car ils ne sont probablement pas gérés avec soin et l'ajout d'un nouveau membre peut passer inaperçu. Une autre option est de compromettre les comptes d'autres utilisateurs qui disposent déjà de permissions d'accès privilégié, par exemple en obtenant des informations d'identification d'administrateur mises en cache sur le point de terminaison qu'ils contrôlent déjà.

Une fois que les adversaires ont l'accès qu'ils désirent, ils exécutent le rançongiciel pour chiffrer toutes les données auxquelles ils peuvent accéder, ce qui peut inclure le contenu stocké dans le cloud. Dans de nombreux cas, ils le copient avant le chiffrement afin de pouvoir menacer de le divulguer comme levier supplémentaire pour être payés. Ils tentent souvent également de chiffrer ou de supprimer les données de sauvegarde afin que les victimes soient plus enclines à se conformer à la demande de rançon.

Contenu connexe sélectionné

Méthodes d'attaque par rançongiciel qui exploitent Active Directory

Voici quelques méthodes utilisées par les cybercriminels pour exploiter Active Directory afin de réaliser des attaques par rançongiciel :

Violation d'un réseau en utilisant un compte AD désactivé

Lors de l'attaque de 2021 contre Colonial Pipeline, un gang connu sous le nom de DarkSide a obtenu l'accès au réseau via un compte Active Directory désactivé. Ils ont compromis le compte en utilisant soit une liste de mots de passe communs, soit des compilations de mots de passe violés disponibles sur le dark web. Les comptes désactivés sont des cibles faciles pour les acteurs de menaces car leur prise de contrôle est moins susceptible d'être remarquée que la compromission d'un compte actif.

Propagation de ransomware en utilisant la stratégie de groupe Active Directory

Group Policy est une fonctionnalité puissante d'Active Directory que les administrateurs utilisent pour maintenir la sécurité et la productivité des utilisateurs. Les acteurs du rançongiciel peuvent abuser de Group Policy pour diffuser leurs charges utiles.

Par exemple, le rançongiciel Ryuk est souvent distribué à travers des objets de stratégie de groupe (GPO) que les adversaires modifient ou créent. Plus précisément, ils insèrent Ryuk dans le Active Directory logon script, ce qui infecte toute personne qui se connecte au serveur Active Directory.

Propagation de ransomware via le partage SYSVOL d'Active Directory

Une autre manière dont les gangs de rançongiciels exploitent Active Directory est d'utiliser le partage SYSVOL. SYSVOL stocke les fichiers publics du domaine et est accessible en lecture pour tous les utilisateurs authentifiés. Une fois que les adversaires ont des droits d'accès privilégiés, ils modifient SYSVOL pour planifier des tâches afin d'infecter les appareils et de les surveiller.

Exploiter une vulnérabilité SharePoint pour obtenir un accès

Les acteurs du ransomware et d'autres adversaires peuvent également s'implanter dans un environnement AD en exploitant des vulnérabilités non corrigées. Par exemple, en 2019, des pirates ont exploité une vulnérabilité dans Microsoft SharePoint aux Nations Unies ; même si Microsoft avait publié le correctif pour la vulnérabilité, l'ONU n'avait pas mis à jour le logiciel en temps utile. Bien que cette attaque n'ait pas impliqué la libération d'un ransomware, les données personnelles de près de 4 000 membres du personnel de l'ONU ont été compromises.

Comment se défendre contre les attaques de ransomware sur Active Directory

Prévoir de simplement payer la rançon n'est pas une stratégie viable contre les logiciels de rançon. Il n'y a aucune garantie que vous obtiendrez réellement la clé de déchiffrement, et vous pourriez être plus susceptible d'être ciblé à nouveau. Cependant, il existe des stratégies efficaces pour réduire votre risque de subir une infection par rançongiciel et minimiser les dommages si cela se produit. Voici les meilleures pratiques à adopter.

Contenu connexe sélectionné

Nettoyez les comptes et groupes AD

Assurez-vous que chaque utilisateur dispose uniquement des autorisations nécessaires pour effectuer ses fonctions. Supprimez tous les comptes AD et les groupes de sécurité qui ne sont plus nécessaires, et assurez-vous que chaque groupe restant ait un propriétaire désigné (ou des propriétaires) qui doit régulièrement réviser les permissions et l'appartenance du groupe.

Minimisez les comptes privilégiés

Les acteurs malveillants, y compris les gangs de rançongiciels, peuvent causer le plus de dégâts lorsqu'ils compromettent un compte hautement privilégié. Par conséquent, il est essentiel de limiter strictement l'appartenance à tous les groupes privilégiés, en particulier ceux très puissants comme les Enterprise Admins, Domain Admins et Schema Admins.

Mieux encore, adoptez une solution moderne de Privileged Access Management (PAM) qui vous permet de remplacer les comptes privilégiés permanents par un accès juste-à-temps, juste-nécessaire.

Mettez à jour le logiciel rapidement

Les entreprises de logiciels publient fréquemment des correctifs pour pallier les vulnérabilités de leurs solutions et fournissent régulièrement des versions mises à jour qui améliorent la sécurité. Assurez-vous que votre système d'exploitation Windows Server et d'autres systèmes logiciels sont constamment mis à jour avec les derniers correctifs, et n'utilisez jamais de logiciel qui a atteint la fin de vie et ne reçoit plus de mises à jour de sécurité.

Mettez en œuvre Zero Trust et l'authentification multifactorielle (MFA)

A Zero Trust security model coupled with MFA helps thwart adversaries, both when they are trying to enter your network and when they attempt to move laterally and elevate their permissions. MFA renders stolen passwords useless, and Zero Trust means that even after a user has authenticated, suspicious or risky activity will be met with additional authentication demands.

Investissez dans la détection et la réponse avancées aux menaces

Comme expliqué ci-dessus, les acteurs du ransomware passent généralement du temps à se déplacer dans le réseau à la recherche de justificatifs plus puissants et d'actifs précieux. Il est essentiel de surveiller constamment l'environnement pour toute activité suspecte. De plus, la technologie moderne de leurre amène les attaquants à se révéler en utilisant des techniques telles que les honeypots.

Sensibilisez tous les utilisateurs

L'une des approches les plus efficaces pour protéger Active Directory consiste à éduquer tous les utilisateurs de l'organisation sur les tactiques utilisées par les adversaires pour implanter des rançongiciels, telles que les e-mails de phishing contenant des liens ou des pièces jointes malveillants. Réalisez des sessions de formation fréquentes et évaluez leur efficacité avec des tests tels que des e-mails similaires au phishing.

Préparez-vous à un événement de rançongiciel

Avoir des playbooks pour répondre aux attaques de rançongiciels aidera à garantir une réponse rapide et efficace. Certaines solutions peuvent même prendre automatiquement des actions spécifiques lorsqu'une menace connue est détectée. De plus, assurez-vous de sauvegarder Active Directory, de stocker les données hors de portée des rançongiciels et de pratiquer régulièrement le processus de récupération.

Sécurisation d'Active Directory avec Netwrix Directory Manager

Implementing best practices for Active Directory security is a complex and time-consuming task. Netwrix Directory Manager is a comprehensive identity and access management solution that simplifies and automates the work. For example, with Netwrix Directory Manager, you can:

  • Maintenez automatiquement à jour l'appartenance aux groupes de sécurité AD
  • Assurez-vous que chaque groupe ait un propriétaire, et même attribuez plusieurs propriétaires
  • Permettez aux utilisateurs de réinitialiser leurs propres mots de passe et de déverrouiller leurs comptes en toute sécurité
  • Mettez en œuvre l'authentification multifacteur
  • Mettez en œuvre des exigences de complexité des mots de passe
  • Rapport sur la santé du répertoire

FAQ

Le ransomware chiffre-t-il Active Directory ?

Oui, les ransomwares peuvent chiffrer les fichiers Active Directory.

Pourquoi les pirates informatiques attaquent-ils Active Directory ?

Active Directory joue un rôle central dans la gestion des identités et de leur accès aux ressources réseau, ce qui en fait un point d'entrée lucratif.

Qu'est-ce que les attaques Active Directory ?

Les attaques sur Active Directory incluent la compromission des identifiants utilisateur, la manipulation de l'appartenance aux groupes de sécurité et des permissions, ainsi que la modification des objets de stratégie de groupe.

Active Directory est-il vulnérable ?

Oui. Active Directory est un système complexe qui a souvent des comptes surprivilegiés, des politiques de sécurité mal configurées et d'autres vulnérabilités que les adversaires peuvent exploiter.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Jonathan Blackwell

Responsable du développement logiciel

Depuis 2012, Jonathan Blackwell, ingénieur et innovateur, a fourni un leadership en ingénierie qui a placé Netwrix GroupID à l'avant-garde de la gestion de groupes et d'utilisateurs pour les environnements Active Directory et Azure AD. Son expérience en développement, marketing et ventes permet à Jonathan de comprendre pleinement le marché de l'Identity Management et la façon de penser des acheteurs.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité