Skip to content

Une rançon de roi : comment empêcher la propagation des ransomwares via Active Directory

Le piratage a coûté 3,5 milliards de dollars aux Etats-Unis au cours de la seule année 2019. Malgré ces chiffres issus du rapport annuel du FBI sur la cybercriminalité, il reste difficile d’évaluer le coût des ransomwares en raison de la rareté des données disponibles. Leur impact est bien plus important que ce que laissent penser les rapports. L’un de ces rapports, publié par Emsisoft, un fournisseur de sécurité informatique, affirme que le montant moyen d’une rançon s’élève à environ $ 84 000. Mais si l’on prend en compte le manque à gagner, le temps passé, les coûts salariaux et les fichiers dérobés, l’impact global sur les entreprises totalise au moins $170 milliards par an. Sachant que de nombreux cybercrimes ne sont jamais déclarés, le chiffre de 2 047 incidents dus à des ransomwares enregistrés auprès de l’IC3 (Internet Crime Complaint Center) du FBI reste timide.

Les tendances de ransomwares en 2019

Les ransomwares sont plus nuisibles que les logiciels malveillants classiques car ils infectent non seulement les terminaux, mais chiffrent aussi les données. Leur principe consiste à exiger une rançon en échange d’une clé de déchiffrement qui rétablit l’accès aux données. Toutefois, très souvent, les clés de déchiffrement fournies ne fonctionnent pas. Il n’est donc guère étonnant que le FBI ou les différentes agences nationales de cybersécurité conseillent de refuser de payer les rançons.

Les méthodes des hackers évoluent en permanence et 2019 n’a pas fait exception à la règle. Au lieu de se contenter de chiffrer les données sur les terminaux infectés, les créateurs des ransomwares ont commencé à cibler des ressources externes aux terminaux à proprement parler. Par exemple, les fichiers sur les serveurs peuvent être chiffrés si un PC est infecté via un rebond sur le système serveur. Les ransomwares peuvent en effet énumérer les unités mappées et la disponibilité des partages de fichiers présents sur le réseau.

Montants des rançons payées quotidiennement au premier trimestre 2019

Certains hackers vont parfois plus loin en revendant les données sensibles dérobées. Dans certains cas, ils ont effacé les données mais ont quand même exigé une rançon. Par rapport au dernier trimestre de 2018, le montant moyen des rançons versées a augmenté de 89 %.

Les gouvernements locaux aux Etats-Unis ont été durement frappés par les ransomwares, notamment la ville de Baltimore et les états du Delaware et du Kentucky. Plutôt que de recréer leurs systèmes de zéro, certains ont choisi de payer les rançons, contre l’avis du FBI. Ces décisions ont d’autant plus encouragé les pirates à redoubler d’efforts.

Récemment, le site BleepingComputer dévoilait que la société Garmin avait été obligée de payer la rançon pour pouvoir revenir à une activité normale en déchiffrant les données chiffrées par le Ransomware WastedLocker.

Les ransomware se propagent via Active Directory

Au cours des dernières années, certains ransomwares comme LockerGoga et Samas n’ont pas utilisé de processus d’auto-propagation.
 Les logiciels malveillants se propagent en général à partir d’un terminal infecté qui contamine d’autres terminaux sur le même réseau. Au lieu d’écrire et de tester le code de propagation, qui comporte toujours un risque d’échec, les hackers exploitent une brique d’infrastructure qui est utilisée dans la plupart des entreprises : Active Directory.

Windows Server Active Directory (AD) est la solution Microsoft qui gère le stockage des identités. L’AD permet aux entreprises de centraliser la gestion des identifiants de connexion des utilisateurs, de configurer les paramètres sur les serveurs et les postes de travail, et de gérer d’autres aspects de la sécurité de l’entreprise tels que l’infrastructure à clé publique (PKI) et le contrôle d’accès basé sur les rôles (RBAC).

Si un hacker se procure un accès privilégié à l’AD, il n’aura alors aucun mal à prendre le contrôle de toute l’infrastructure IT de l’entreprise. L’AD contient des informations sur la totalité des utilisateurs, des stations de travail, des applications et des serveurs. Les outils d’administration standards permettent d’interroger l’annuaire sans être détectés par les logiciels de sécurité. Les hackers peuvent ensuite exploiter l’AD pour propager leur ransomware à tous les terminaux de l’entreprise.

Même dans les entreprises où le service informatique a pris des précautions supplémentaires pour sécuriser les contrôleurs de domaine, c’est-à-dire les serveurs qui exécutent les services d’annuaire AD, l’AD peut aisément être compromis par les terminaux des utilisateurs finaux connectés à l’AD si les bonnes pratiques de sécurité ne sont pas respectées.

Exemples d’attaques récentes par ransomwares

Certaines des attaques les plus spectaculaires des dernières années se sont propagées via Active Directory.  AD est également utilisé dans des attaques non ciblées. Si les multinationales et les agences gouvernementales ont tendance à faire la une, les PME sont elles aussi victimes des ransomwares.

Lorsque ce sont les fournisseurs informatiques qui sont touchés, les dégâts se répercutent dans les secteurs de la santé, du gouvernement, de l’éducation, pour ne citer qu’eux. Les conséquences d’une attaque par ransomware peuvent être désastreuses. Des réseaux entiers peuvent se retrouver chiffrés, notamment les sauvegardes et les contrôleurs de domaines d’Active Directory. Même s’il existe des sauvegardes intactes permettant de restaurer les systèmes, les pertes en termes de temps et de coûts sont importantes.

Voici quelques études de cas qui montrent comment les hackers utilisent l’AD pour propager des ransomwares :

Norsk Hydro

Le producteur d’aluminium norvégien Norsk Hydro a été attaqué par le ransomware LockerGoga en mars 2019. L’infection a démarré dans une usine des Etats-Unis avant de se propager sur d’autres sites. L’attaque par le ransomware a contraint Norsk Hydro à basculer plusieurs de ses usines en fonctionnement manuel.

Norsk Hydro a préféré restaurer ses systèmes plutôt que de payer une rançon, mais n’a pu poursuivre ses opérations que parce qu’il avait mis au point un plan de reprise après incident soigneusement élaboré, avec un basculement de la messagerie email sur site vers le service cloud de Microsoft Office 365. Néanmoins, le cloud ne peut être envisagé comme élément d’une solution de plan de reprise pour les entreprises qui ont l’obligation de conserver leurs données dans leurs propres centres de données pour des raisons de réglementations ou de conformité.

Norsk Hydro n’a pas publié de détails exacts sur l’attaque subie mais a indiqué que l’accès à ses systèmes aurait été obtenu deux ou trois semaines avant le lancement de l’attaque. Etant donné que LockerGoga ne comporte pas de processus d’auto-propagation, les spécialistes pensent qu’Active Directory a sans doute été son vecteur de diffusion.

Exploitations gazières et pétrolières

Fin 2019, Active Directory a également été utilisé pour propager le ransomware Ryuk. ThreatGen, une entreprise de services de cybersécurité OT (technologie d’exploitation) basée aux Etats-Unis, a annoncé que plusieurs de ses clients du secteur gazier et pétrolier avaient été touchés par Ryuk.

Part de marché des rançons par type au deuxième trimestre 2019

Les hackers ont mis à profit une faille du protocole Remote Desktop Protocol (RDP) de Microsoft pour compromettre Active Directory et se procurer des données d’identification privilégiées. Le rançongiciel Ryuk a ensuite été inséré dans un script de connexion qui a infecté tous les clients se connectant à Active Directory. Lorsque les utilisateurs et l’équipe IT se sont connectés à leurs PC ou aux serveurs, ils ont les trouvés verrouillés et chiffrés.

Après avoir d’abord compromis Active Directory, le ransomware était resté inactif pendant des mois avant d’être inséré dans des scripts de connexion. Sa présence invisible pendant une période aussi prolongée lui a sans doute permis de disposer d’assez de temps pour recueillir des informations sur les systèmes et les données de l’entreprise infectée ou de compliquer leur restauration à partir d’une sauvegarde. L’une des entreprises touchées a tenté de restaurer ses systèmes, mais a constaté que ses sauvegardes avaient elles aussi été infectées par le ransomware.

Le ransomware SaveTheQueen

Début 2020 une nouvelle souche du ransomware SaveTheQueen est apparue. Créé en 2019, il chiffre les fichiers et leur ajoute l’extension .SaveTheQueen. Cette nouvelle souche se propage en s’insérant dans le partage SYSVOL d’Active Directory, qui est répliqué sur tous les contrôleurs de domaine. SYSVOL peut être lu par tous les utilisateurs authentifiés, mais seuls les utilisateurs possédant un accès privilégié à AD disposent d’un accès en écriture.

La nouvelle souche de SaveTheQueen utilise le partage SYSVOL d’AD pour écrire des fichiers journaux qui surveillent la progression de l’attaque sur les nouveaux terminaux. SYSVOL stocke le code d’une tâche planifiée qui exécute un script PowerShell sur les terminaux pour les infecter avec le ransomware.

Le ransomware Samas

Active Directory a également été utilisé pour propager le ransomware Samas, créé en 2016. Les outils gratuits sont exploités pour dérober les données de connexion privilégiées à Active Directory. Les agresseurs utilisent ensuite des outils d’administration standards pour interroger l’AD et identifier les terminaux à chiffrer. Samas utilise principalement AD à des fins de reconnaissance, ensuite le code malveillant se propage comme un ver traditionnel.

Comment empêcher la propagation des ransomwares via Active Directory

Les attaques par ransomwares qui utilisent Active Directory pour se propager ou pour effectuer des opérations de reconnaissance nécessitent un accès privilégié au répertoire. La plupart des entreprises ne restreignent ou ne gèrent pas correctement l’utilisation des comptes AD privilégiés, et laissent leurs systèmes IT exposés aux ransomwares et à d’autre types d’attaques.

Six méthodes permettent de protéger l’accès aux comptes AD privilégiés et compliqueront la tâche aux hackers cherchant à utiliser Active Directory à des fins malveillantes :

1. Réduire le nombre de comptes possédant un accès privilégié à AD

Microsoft recommande de réduire au strict minimum l’utilisation de comptes privilégiés dans un domaine Active Directory. Toutefois, s’il est important de limiter le nombre des membres des groupes d’administrateurs de domaine et d’administrateurs d’entreprise, ils ne sont pas les seuls groupes privilégiés dans AD. Les administrateurs de schéma sont un autre exemple de groupe privilégié.

Conseil : Commencez par faire un audit des membres des groupes AD privilégiés afin de réduire le nombre de membres et surveillez l’évolution de l’appartenance à ces groupes en temps réel.

2. Restreindre l’utilisation de comptes AD privilégiés

Certaines technologies de Windows permettent d’atténuer l’exposition des données de connexion AD privilégiées, notamment le groupe Utilisateurs protégés et Windows Defender Credential Guard. Il est néanmoins recommandé d’appliquer les bonnes pratiques de Microsoft et de limiter l’utilisation de comptes privilégiés dans un domaine AD aux terminaux disposant d’une sécurité prévue spécifiquement pour l’administration d’Active Directory.

Conseil : Créez un ensemble de stations de travail à accès privilégié (PAW) exclusivement réservées aux tâches administratives nécessitant un accès privilégié à Active Directory.

3. Gérer les terminaux des utilisateurs finaux à l’aide d’un compte local

Microsoft a récemment modifié son avis concernant l’accès à distance aux terminaux clients via un compte d’administrateur local. Les entreprises accordent en général un accès à distance aux clients via un compte utilisateur de domaine.

Si vous avez mis en place un système qui randomise et modifie régulièrement le mot de passe de l’administrateur local sur chaque terminal, par exemple si vous utilisez l’outil Local Administrator Password Solution (LAPS) de Microsoft, vous pouvez éviter d’utiliser un compte de domaine pour le support à distance. L’utilisation d’un compte local pour le support des terminaux des utilisateurs finaux complique la tâche des hackers souhaitant compromettre Active Directory.

Conseil : Auditez les mots de passe du compte de l’administrateur local. Assurez-vous que chaque terminal possède un mot de passe de compte d’administrateur local unique. Ensuite, cessez d’utiliser les comptes de domaine pour le support à distance.

4. Implémenter un modèle d’administration hiérarchisé pour Active Directory.

Microsoft recommande d’organiser les ressources dans Active Directory de façon à les gérer à l’aide d’un modèle hiérarchisé plus sécurisé. Ce modèle définit trois niveaux qui jouent le rôle de tampon pour séparer les tâches d’administration des terminaux à haut risque, tels que les PC des utilisateurs finaux, de celles des serveurs sensibles tels que les contrôleurs de domaine.

Le niveau 0 de la hiérarchie comprend les ressources tels que les comptes AD privilégiés, les contrôleurs de domaine, et les stations de travail à accès privilégié (PAW). Le niveau 1 est utilisé pour les services et applications membres. Le niveau 2 est destiné aux PC des utilisateurs finaux et aux objets d’AD utilisés pour gérer les PC, par exemple les comptes utilisateur du service d’assistance.

Conseil : Adoptez une approche par phases graduelles pour réorganiser Active Directory afin de pouvoir la gérer avec un modèle d’administration hiérarchisé.

5. Protéger les comptes AD privilégiés avec l’authentification multi facteurs

Les mots de passe ne sont pas sécurisés car ils peuvent facilement être détournés par un hacker si celui-ci s’en empare. Néanmoins, beaucoup d’entreprises comptent sur les seuls mots de passe pour protéger les comptes AD privilégiés. Selon Microsoft, il est reconnu que l’authentification multi facteurs (MFA) bloque 99,9 % des attaques automatisées.

L’authentification multi facteurs demande aux utilisateurs de fournir une validation supplémentaire en plus de leur mot de passe, par exemple une carte à puce ou un code unique généré par une application d’authentification.

Conseil : Ajoutez l’authentification multi facteurs à Windows Server Active Directory. Pour ce faire, vous pouvez utiliser Azure MFA ou d’autres produits.

6. Surveiller les activités inhabituelles sur Active Directory

De même que les logiciels antimalware recherchent les fichiers et les processus inhabituels dans Windows, il est important de surveiller les activités inhabituelles dans Active Directory. Le journal des événements de Windows contient de nombreuses informations susceptibles de révéler une utilisation abusive des comptes privilégiés et d’autres comportements malveillants. Si elles disposent des données adéquates, les entreprises peuvent arrêter proactivement les attaques par ransomwares propagées via AD.

Les produits SIEM (gestion de l’information et des événements de sécurité) permettent de recueillir les informations transmises par le journal des événements de Windows et par d’autres systèmes. Les renseignements actualisés sur les menaces sont pour les entreprises un moyen automatisé d’identifier les menaces dans les données recueillies auprès des événements de sécurité. Cela dit, ni les journaux de Windows ni les produits SIEM ne suffisent à eux seuls.

Conseil : Déployez une solution SIEM avec un dispositif de renseignement sur les menaces pour bloquer proactivement les ransomwares et les autres types de logiciels malveillants avant qu’ils n’infectent tout votre réseau.

Alsid : empêchez proactivement les ransomwares d’infecter des réseaux entiers

Le respect des meilleures pratiques de sécurité de Microsoft est un bon point de départ pour sécuriser Active Directory et empêcher les hackers de l’exploiter pour propager des ransomwares. Mais les outils prêts à l’emploi de Windows Server ne permettent pas de surveiller Active Directory en temps réel et ne fournissent pas non plus les renseignements nécessaires sur les menaces afin d’automatiser les réponses dans un environnement en perpétuelle évolution.

Alsid peut identifier les problèmes de sécurité relatifs à AD avant que les attaquants ne les exploitent et ne propagent des ransomwares. Les connaissances intégrées et les renseignements sur les menaces aident les organisations à atténuer les problèmes et à renforcer leur niveau de résilience. Alsid s’intègre aux solutions SIEM et aux outils de sécurité pour améliorer proactivement la sécurité AD. La solution Alsid for AD fournit des tableaux de bord dynamiques indiquant des informations impossibles à obtenir sans des logiciels de sécurité spécialisés.

Comments are closed.