Réponse aux attaques par rançongiciels

Lorsque vous pensez être ou êtes actuellement sous une attaque par rançongiciel, établissez immédiatement des communications sécurisées avec votre équipe de réponse aux incidents. Ils peuvent effectuer les phases de réponse suivantes pour interrompre l’attaque et atténuer les dommages :

• Investigation et confinement
• Éradication et récupération

Cet article fournit un playbook généralisé pour répondre aux attaques par ransomware. Envisagez d’adapter les étapes et tâches décrites dans cet article à votre propre playbook des opérations de sécurité. REMARQUE : Pour plus d’informations sur la prévention des attaques par ransomware, consultez Déployer rapidement des préventions contre les ransomwares.

Confinement

L’endiguement et l’investigation doivent se produire aussi simultanément que possible ; Toutefois, vous devez vous concentrer sur la réalisation rapide de l’endiguement, afin que vous ayez plus de temps pour examiner. Ces étapes vous aident à déterminer l’étendue de l’attaque et à l’isoler aux seules entités affectées, telles que les comptes d’utilisateur et les appareils.

Étape 1 : Évaluer l’étendue de l’incident

Parcourez cette liste de questions et de tâches pour découvrir l’étendue de l’attaque. Microsoft Defender XDR pouvez fournir une vue consolidée de toutes les ressources impactées ou à risque pour faciliter l’évaluation de la réponse aux incidents. Consultez Réponse aux incidents avec Microsoft Defender XDR. Vous pouvez utiliser les alertes et la liste de preuves dans l’incident pour déterminer :

• Quels comptes d’utilisateur peuvent être compromis ?
  • Quels comptes ont été utilisés pour fournir la charge utile ?
• Quels appareils intégrés et découverts sont affectés et comment ?
  • Appareils d’origine
  • Appareils impactés
  • Appareils suspects
• Identifiez toute communication réseau associée à l’incident.
• Quelles applications sont affectées ?
• Quelles charges utiles ont été réparties ?
• Comment l’attaquant communique-t-il avec les appareils compromis ? (La protection réseau doit être activée) :
  • Accédez à la page des indicateurs pour ajouter un bloc pour l’adresse IP et l’URL (si vous disposez de ces informations).
• Quel était le moyen de livraison de charge utile ?

Étape 2 : Préserver les systèmes existants

Exécutez cette liste de tâches et de questions pour protéger les systèmes existants contre les attaques :

• Si vous avez des sauvegardes en ligne, envisagez de déconnecter le système de sauvegarde du réseau jusqu’à ce que vous soyez certain que l’attaque est contenue. Consultez Plan de sauvegarde et de restauration pour se protéger contre les rançongiciels | Microsoft Docs.
• Si vous rencontrez ou prévoyez un déploiement imminent et actif de ransomware :
  • Suspendez les comptes privilégiés et locaux que vous soupçonnez de faire partie de l’attaque. Vous pouvez le faire à partir de l’onglet Utilisateurs dans les propriétés de l’incident dans le portail Microsoft Defender.
  • Arrêtez toutes les sessions d’ouverture de session à distance.
  • Réinitialisez les mots de passe de compte d’utilisateur compromis et demandez aux utilisateurs des comptes d’utilisateur compromis de se reconnecter.
  • Faites de même pour les comptes d’utilisateur susceptibles d’être compromis.
  • Si les comptes locaux partagés sont compromis, votre administrateur informatique vous aide à appliquer une modification de mot de passe sur tous les appareils exposés. Exemple de requête Kusto :

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10 

• Pour les appareils qui ne sont pas encore isolés et qui ne font pas partie de l’infrastructure critique :
  • Isolez les appareils compromis du réseau, mais ne les arrêtez pas.
  • Si vous identifiez les appareils d’origine ou d’épandeur, isolez-les d’abord.
• Conservez les systèmes compromis à des fins d’analyse.

Étape 3 : Empêcher la propagation

Utilisez cette liste pour empêcher l’attaque de se propager à d’autres entités.

• Si des comptes locaux partagés sont utilisés dans l’attaque, envisagez de bloquer l’utilisation à distance des comptes locaux.
  • Requête Kusto pour toutes les connexions réseau qui sont des administrateurs locaux :

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Requête Kusto pour les connexions non RDP (plus réaliste pour la plupart des réseaux) :

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

• Mettre en quarantaine et ajouter des indicateurs pour les fichiers infectés.
• Vérifiez que votre solution antivirus est configurable dans son état de protection optimal. Pour Microsoft Defender Antivirus, cela inclut :
  • La protection en temps réel est activée.
  • La protection contre les falsifications est activée. Dans le portail Microsoft Defender, sélectionnez Paramètres Points > de terminaison Fonctionnalités avancées > Protection contre les falsifications>.
  • Les règles de réduction de la surface d’attaque sont activées.
  • La protection cloud est activée.
• Désactivez Exchange ActiveSync et Synchronisation OneDrive.
  • Pour désactiver Exchange ActiveSync pour une boîte aux lettres, consultez Comment désactiver Exchange ActiveSync pour les utilisateurs dans Exchange Online.
  • Pour désactiver les autres types d’accès à une boîte aux lettres, consultez :
    • Activer ou désactiver MAPI pour une boîte aux lettres.
    • Activer ou désactiver l’accès POP3 ou IMAP4 pour un utilisateur.
  • La suspension de Synchronisation OneDrive permet de protéger vos données cloud contre la mise à jour par des appareils potentiellement infectés. Pour plus d’informations, voir Comment suspendre et reprendre la synchronisation dans OneDrive.
• Appliquez les correctifs appropriés et les modifications de configuration sur les systèmes affectés.
• Bloquer les communications de ransomware à l’aide de contrôles internes et externes.
• Vider le contenu mis en cache

Enquête

Utilisez cette section pour examiner l’attaque et planifier votre réponse.

Évaluer votre situation actuelle

• Qu’est-ce qui vous a initialement informé de l’attaque par rançongiciel ?
  • Si le personnel informatique a identifié la menace initiale(par exemple, en notant les sauvegardes en cours de suppression, les alertes antivirus, les alertes de détection et de réponse des points de terminaison (EDR) ou les changements de système suspects, il est souvent possible de prendre des mesures décisives rapides pour contrecarrer l’attaque, généralement par les actions d’endiguement décrites dans cet article.
• Quelle date et heure avez-vous appris pour la première fois de l’incident ?
  • Quelles mises à jour système et de sécurité n’ont pas été installées sur les appareils à cette date ? Cela est important pour comprendre quelles vulnérabilités ont pu être exploitées afin qu’elles puissent être traitées sur d’autres appareils.
  • Quels comptes d’utilisateur ont été utilisés à cette date ?
  • Quels nouveaux comptes d’utilisateur ont été créés depuis cette date ?
  • Quels programmes ont été ajoutés pour démarrer automatiquement au moment où l’incident s’est produit ?
• Y a-t-il une indication que l’attaquant accède actuellement aux systèmes ?
  • Existe-t-il des systèmes suspects compromis qui subissent des activités inhabituelles ?
  • Existe-t-il des comptes suspects compromis qui semblent être activement utilisés par l’adversaire ?
  • Existe-t-il des preuves de serveurs de commande et de contrôle (C2) actifs dans les journaux EDR, pare-feu, VPN, proxy web et autres ?

Identifier le processus de ransomware

• À l’aide de la chasse avancée, recherchez le processus identifié dans les événements de création de processus sur d’autres appareils.

Rechercher les informations d’identification exposées dans les appareils infectés

• Pour les comptes d’utilisateur dont les informations d’identification ont été potentiellement compromises, réinitialisez les mots de passe de compte et demandez aux utilisateurs de se reconnecter.
• Les ES suivantes peuvent indiquer un mouvement latéral :

Identifier les applications métier qui ne sont pas disponibles en raison de l’incident

• L’application nécessite-t-elle une identité ?
  • Comment l’authentification est-elle effectuée ?
  • Comment les informations d’identification telles que les certificats ou les secrets sont-elles stockées et gérées ?
• Les sauvegardes évaluées de l’application, de sa configuration et de ses données sont-elles disponibles ?
• Déterminez votre processus de récupération de compromission.

Éradication et récupération

Utilisez ces étapes pour éliminer la menace et récupérer les ressources endommagées.

Étape 1 : Vérifier vos sauvegardes

Si vous avez des sauvegardes hors connexion, vous pouvez probablement restaurer les données qui ont été chiffrées après avoir supprimé la charge utile de ransomware (programme malveillant) de votre environnement et après avoir vérifié qu’il n’existe aucun accès non autorisé dans votre client Microsoft 365.

Étape 2 : Ajouter des indicateurs

Ajoutez tous les canaux de communication d’attaquant connus en tant qu’indicateurs, bloqués dans les pare-feu, dans vos serveurs proxy et sur les points de terminaison.

Étape 3 : Réinitialiser les utilisateurs compromis

Réinitialisez les mots de passe de tous les comptes d’utilisateur compromis connus et exigez une nouvelle connexion.

• Envisagez de réinitialiser les mots de passe pour tout compte privilégié disposant d’une autorité administrative étendue, comme les membres du groupe Administrateurs du domaine.
• Si un compte d’utilisateur a peut-être été créé par un attaquant, désactivez-le. Ne supprimez pas le compte, sauf s’il n’est pas prévu d’effectuer des analyses de sécurité pour l’incident.

Étape 4 : Isoler les points de contrôle des attaquants

Isolez d’Internet tous les points de contrôle d’attaquant connus à l’intérieur de l’entreprise.

Étape 5 : Supprimer les programmes malveillants

Supprimez le programme malveillant des appareils affectés.

• Exécutez une analyse antivirus complète et actuelle sur tous les ordinateurs et appareils suspects pour détecter et supprimer la charge utile associée au ransomware.
• N’oubliez pas d’analyser les appareils qui synchronisent les données ou les cibles des lecteurs réseau mappés.

Étape 6 : Récupérer des fichiers sur un appareil nettoyé

Récupérer des fichiers sur un appareil nettoyé.

• Vous pouvez utiliser l’historique des fichiers dans Windows 11, Windows 10, Windows 8.1 et Protection du système dans Windows 7 pour tenter de récupérer vos fichiers et dossiers locaux.

Étape 7 : Récupérer des fichiers dans OneDrive Entreprise

Récupérer des fichiers dans OneDrive Entreprise.

• La restauration de fichiers dans OneDrive Entreprise vous permet de restaurer l’intégralité d’un OneDrive à un point antérieur dans le temps au cours des 30 derniers jours. Pour plus dʼinformations, voir Restaurer votre espace OneDrive.

Étape 8 : Récupérer les e-mails supprimés

Récupérer les e-mails supprimés.

• Dans les rares cas où le ransomware a supprimé tous les e-mails d’une boîte aux lettres, vous pouvez récupérer les éléments supprimés. Consultez Récupérer des messages supprimés dans la boîte aux lettres d’un utilisateur dans Exchange Online.

Étape 9 : réactiver Exchange ActiveSync et Synchronisation OneDrive

• Une fois que vous avez nettoyé vos ordinateurs et appareils et récupéré les données, vous pouvez réactiver Exchange ActiveSync et Synchronisation OneDrive que vous avez précédemment désactivés à l’étape 3 de l’autonomie.