Logiciels de rançon.

C’est un mot qui peut donner froid dans le dos à n’importe qui, d’une suite C d’entreprise à un utilisateur à domicile. Il est parfois difficile de se faire une idée de l’ensemble de l’industrie des rançongiciels (et oui, c’est maintenant une industrie). Mais sur la base d’examens anecdotiques de forums et de médias sociaux, il semble que les attaques contre les individus ralentissent. Je ne vois plus les gens signaler qu’ils ont été touchés par un ransomware sur leur PC.

Mais il se peut que les attaquants aient réalisé que viser des cibles « ponctuelles » n’est pas le meilleur plan d’affaires. En fait, dans une récente Séminaire en ligne Microsoft Secure (inscription requise), Jessica Payne et Geoff McDonald expliquent comment les rançongiciels sont désormais une grande entreprise, proposée en tant que service par ceux qui vendent l’accès à des réseaux compromis à d’autres.

Lorsque les attaquants s’attaquent à des cibles de renom, ils créent souvent une mauvaise presse pour l’industrie des ransomwares. Ainsi, ils coordonnent désormais leurs efforts pour éviter les gros titres susceptibles d’inciter les fournisseurs et les fournisseurs à renforcer la sécurité, les utilisateurs finaux à appliquer des correctifs et les entreprises à déployer de meilleures solutions de sécurité.

Au-delà de cela, les attaquants ciblent également les résultats de recherche pour les outils d’information dont les équipes informatiques ont besoin pour faire leur travail. Un résultat de recherche pourrait, par exemple, diriger les administrateurs vers un outil malveillant qui les incite à installer une porte dérobée potentielle. Cet accès est ensuite vendu sur le marché noir. (Les acteurs du ransomware savent que le moyen le plus simple d’accéder à un réseau est de tromper «l’humain non corrigé».) Bien que les entreprises réussissent peut-être mieux à corriger les systèmes d’exploitation et les suites Office, elles comptent encore trop sur les utilisateurs finaux pour être intelligentes. Si les utilisateurs ne sont pas légèrement paranoïaques – c’est-à-dire qu’ils s’arrêtent et réfléchissent avant de cliquer sur des liens et des schémas de phishing – les réseaux restent vulnérables.

Publicité

Les rançongiciels peuvent également pénétrer dans les systèmes en raison de mauvaises configurations de sécurité ou de vulnérabilités négligées. Payne a souligné les informations supplémentaires dans un 2022 Rançongiciel en tant que service article de blog. Les règles de réduction de la surface d’attaque (ASR) restent un ensemble d’outils dont de nombreuses entreprises ne profitent pas. Les règles ASR peuvent être activées sur les versions Windows 10 et 11 Professional pour renforcer la capacité de Windows à bloquer les attaquants.

Même si vous n’êtes pas un client Microsoft 365 Defender, vous pouvez déployer des règles ASR ; les règles spécifiques qui ciblent les processus de ransomware :

  • Bloquez l’exécution des fichiers exécutables à moins qu’ils ne répondent à un critère de prévalence, d’âge ou de liste de confiance.
  • Bloquez le vol d’informations d’identification du sous-système de l’autorité de sécurité locale de Windows (lsass.exe).
  • Bloquer les créations de processus provenant des commandes PsExec et WMI.
  • Et utilise protection avancée contre les rançongiciels.

Les règles ASR, qui ne le font généralement pas causer des effets secondaires au traitement PC normal, peut être configuré pour « vérifier » les systèmes plutôt que d’imposer des restrictions. C’est une façon de tester l’impact sur un réseau.

De plus, Microsoft a apporté des modifications à Office pour ralentir le déploiement des ransomwares. Un changement récent concerne les macros VBA. Comme noté par Microsoft, « Les macros VBA sont un moyen courant pour les acteurs malveillants d’accéder au déploiement de logiciels malveillants et de rançongiciels. Par conséquent, pour aider à améliorer la sécurité dans Office, Microsoft modifie le comportement par défaut des applications Office pour bloquer les macros dans les fichiers provenant d’Internet. Avec ce changement, lorsque les utilisateurs ouvrent un fichier provenant d’Internet, comme une pièce jointe à un e-mail, et que ce fichier contient des macros, un avis rouge apparaît en haut du fichier ouvert.

Les utilisateurs doivent identifier les fichiers dont vous avez besoin pour travailler et s’assurer qu’ils ne sont plus considérés comme suspects et qu’ils sont signalés comme étant dans un emplacement de confiance. (Vous pouvez consulter les conseils ici pour vous assurer que vous ne bloquez pas les fichiers dont vous avez besoin.) Comme indiqué dans la présentation, « QakBot et Emotet se sont tous deux fortement appuyés sur des macros malveillantes pour l’accès initial. Mais après que Microsoft a désactivé les macros à l’échelle mondiale, ils sont passés à d’autres techniques, telles que l’utilisation de liens directs vers des charges utiles et des e-mails de phishing ou la fixation de pièces jointes OneNote à ces e-mails de phishing.

Et à venir ce mois-ci à OneNote sur Windows sont des protections supplémentaires pour les utilisateurs qui ouvrent ou téléchargent un fichier incorporé dans OneNote. Les utilisateurs recevront une notification des fichiers considérés comme dangereux, un changement conçu pour améliorer l’expérience de protection des fichiers dans OneNote. De toute évidence, Microsoft essaie de garder une longueur d’avance sur les attaquants.

Certains opérateurs de rançongiciels se tournent maintenant vers l’extorsion. En prouvant simplement à une entreprise qu’elle peut détruire des données – sur site ou dans le cloud – sans le faire réellement, les attaquants peuvent obtenir un gain sans réellement causer de dommages. Microsoft a un événement de suivi du 11 au 13 avril pour augmenter les sujets couverts par Microsoft Secure. Pour des ressources et des informations supplémentaires, l’organisation SANS propose également une journée gratuite Sommet sur les rançongiciels Le 23 juin pour discuter des vecteurs d’accès initiaux et des techniques défensives.

Bien que la situation des ransomwares puisse s’améliorer pour les utilisateurs à domicile, il n’en va pas nécessairement de même pour les entreprises. Il est maintenant temps d’examiner ces ressources et de rendre plus difficile pour les attaquants de transformer votre entreprise en source de revenus pour eux.

Copyright © 2023 IDG Communications, Inc.

4.5/5 - (185 votes)
Publicité
Article précédentLe Metavers est-il un Metadud ? Seulement 7% des adolescents américains envisagent d’acheter un casque VR
Article suivantSuper Mario Bros. Movie Steelbook Edition est exclusif à Best Buy
Berthe Lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici