Connect with us

Technologie

La routine ransomware: pages du journal du Secret IR Insider

Published

on


Nous nous rendons le 26 novembre 2020.

Nous travaillons pour une entreprise mondiale de taille moyenne qui a été touchée par le ransomware Dharma. Je sirote du café lors d’un appel avec le directeur informatique, discuter du plan pour remettre les utilisateurs en marche après qu’ils ont restauré leurs systèmes à partir de sauvegardes (l’équipe informatique de l’entreprise a eu la prévoyance d’exécuter des sauvegardes régulières et de les garder à l’air giflé de son réseau – je souhaite plus d’entreprises le feraient).

Je lui demande s’il est considéré comme déployant l’authentification multifacteurs (AMF) pour les utilisateurs de l’entreprise, car il aide à arrêter les tentatives de connexion malveillantes si les informations d’identification sont volées. Il soupire. « Non, j’adorerais, mais je serais trop repoussant de la carte et des utilisateurs en raison de l’étape de dédation supplémentaire. »

« Avez-vous essayé de dire au conseil que si l’AMF avait été utilisée, l’attaque n’aurait peut-être pas eu d’impact sur l’entreprise du tout, et vous n’auriez pas eu à travailler 18 heures par jour depuis une semaine et demie pour réinstaller tous les points de terminaison? » Je te le demande.

Il sniffe. « Mon travail semble garder tout le monde heureux, et la sécurité vient en deuxième position. »

J’entends cela beaucoup, donc je fais ma suggestion de compromis habituel que tous ses administrateurs informatiques devraient utiliser MFA, qui arrête au moins les attaquants en utilisant des informations d’identification volées ou de farce d’informations d’identification pour entrer dans des comptes privilégiés où ils peuvent causer un maximum de dégâts. Il est d’accord.

« Quoi qu’il en soit, nous devons remettre nos entrepreneurs à distance en ligne, nous allons donc devoir ouvrir RDP [remote desktop protocol] sauvegarde », ajoute-t-il. « Ils utilisent tous leurs propres PC, de sorte que nous ne pourrons pas mettre anti-malware ou notre nouvel EDR [endpoint detection and response] logiciels sur eux, cependant.

J’ai failli m’étouffer avec mon café et je suis perdu pour les mots pendant quelques instants. Quand j’ai effacé ma gorge, je souligne que l’attaque du Dharma provient très probablement de l’attaquant en utilisant des informations d’identification hameçonnées pour accéder aux serveurs RDP, puis planter le ransomware sur le réseau.

Je suggère qu’au minimum, l’entreprise utilise la numérisation de conformité des points de terminaison pour s’assurer que les points de terminaison distants répondent aux exigences minimales de sécurité avant qu’ils ne soient autorisés à se connecter à distance.

Plaisanteries de salle de réunion

Après avoir terminé l’appel avec le directeur de l’IT, on me demande de me joindre à un appel avec la haute direction de l’entreprise pour les mettre à jour sur la façon dont le travail progresse.

« Combien de machines avez-vous scanné pour les infections? »

Environ la moitié de votre nombre total de PC, je réponds. Certains que je n’ai pas été en mesure d’atteindre du tout, et certains je ne peux pas scanner parce qu’ils sont des machines de développeurs, et ils n’aiment pas les administrateurs d’être en mesure de les scanner. J’attends, mais mon point semble passer inaperçu.

« Combien d’entre eux sont infectés par le ransomware? »

Environ 80% des machines que j’ai scannées, je leur dis.

« Alors, que pouvons-nous faire avec les machines infectées? »

Je dis qu’ils doivent être retirés du réseau, entièrement désinfectés et seulement ensuite réinstallés, sinon il ya un risque de quelque chose qui est manqué, ou une infection inconnue étant laissé derrière qui pourrait réin infecter le réseau.

« C’est un travail trop important », disent-ils. « Nous avons un logiciel antivirus, ne pouvons-nous pas simplement aller avec eux et le logiciel va ramasser toutes les infections? »

Je souligne que le logiciel antivirus a été désactivé juste avant l’attaque ransomware par les pirates derrière elle, en utilisant des informations d’identification au niveau de l’administrateur qui ont probablement été récoltés lors d’un ciblage d’exploitation phishing plus tôt sur de l’équipe informatique de l’entreprise.

Il y a un silence, et puis quelqu’un demande: « Ok, nous voyons ce que vous voulez dire. Comment pouvons-nous empêcher que cela se reproduise?

Maintenant, nous commençons à aller quelque part.

Tout comme je décris comment le processus de désinfection fonctionnera, et comment nous recommandons l’utilisation de l’AMF pour aider à prévenir ces attaques à l’avenir, je reçois un message sur le groupe WhatsApp équipe interne. « Détaillant en ligne frappé par une attaque ransomware, puis-je rejoindre un appel sous peu? » C’est reparti…

Le Secret IR Insider travaille chez check point, fournisseur de services de cybersécurité et de solutions.

Spécialiste de la réponse aux incidents, ils sont en première ligne de la lutte en cours contre les cybercriminels malveillants, ransomware, et d’autres menaces.

Leur véritable identité est un mystère.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance