Rechercher

Langue

Comment empêcher les pirates iraniens "SamSam" de prendre votre réseau contre rançon

Décembre 2nd, 2018

Accueil » Blog » Comment empêcher les pirates iraniens "SamSam" de prendre votre réseau contre rançon

By Yaron Kassner, CTO et co-fondateur, Silverfort

SamSam – ça a l'air mignon, non ? Eh bien, ce n'est pas le cas. SamSam est un destructeur ransomware qui a touché plus de 200 victimes aux États-Unis, notamment des hôpitaux, des municipalités et d'autres organisations en 2018. Le 28 novembre, le ministère américain de la Justice a inculpé deux ressortissants iraniens de délits de piratage informatique en lien avec l'épidémie mondiale du ransomware SamSam. Les criminels présumés se trouvent actuellement en Iran, hors de portée des forces de l’ordre américaines, et je doute que les deux suspects se rendent aux États-Unis pour y être interrogés. Je doute également que ces attaques s’arrêtent. Il est donc important de comprendre comment cette attaque fonctionne et de mettre en œuvre certaines mesures de protection.

Table des matières

  • Compromettre le premier point final
  • Aller plus loin dans le réseau
  • Les coûts d'atténuation de SamSam dépassent le paiement de la rançon
  • Comment protéger vos organisations contre SamSam Ransomware ?

    • Compromettre le premier point final

    SamSam cible les ordinateurs ouverts aux postes de travail distants depuis Internet. Trouver de tels endpoints est super facile : des outils gratuits comme Shodan peut fournir une liste de ces machines. À ce jour, il existe 2,475,311 XNUMX XNUMX enregistrements de postes de travail distants ouverts sur Internet à Shodan. Les mots de passe de ces postes de travail peuvent être piratés par des attaques par force brute ou simplement achetés sur le dark web. L'utilisation accrue des environnements cloud met les organisations en danger, car un administrateur imprudent pourrait facilement exposer une machine dans le cloud sans en protéger l'accès depuis Internet.

    Aller plus loin dans le réseau

    SamSam ne se contente pas de chiffrer les fichiers d'un seul endpoint infecté. Une fois le point de terminaison compromis, SamSam utilise des informations d'identification volées et exploite des vulnérabilités telles que EternalBlue pour se déplacer latéralement sur le réseau. Il utilise des « techniques d'alimentation de la terre », c'est-à-dire des outils d'administration existants. Cela permet au rançongiciel d'atteindre des serveurs plus précieux qui contiennent des données plus précieuses. Au lieu de tenir un ordinateur en otage, il prend le contrôle de l'ensemble du réseau.

    Les sauvegardes sont souvent considérées comme un mécanisme de défense pour prévention des ransomwares. Cependant, la possibilité de se déplacer latéralement dans le réseau permet également à SamSam d'accéder à ces sauvegardes et de les rendre inutiles. Une victime dont les sauvegardes étaient cryptées devrait payer la rançon ou perdre les données.

    Les coûts d'atténuation de SamSam dépassent le paiement de la rançon

    Jusqu'à présent, les pirates ont gagné plus de 6 millions de dollars en rançon. Cependant, les coûts pour les organisations concernées sont beaucoup plus élevés, car après avoir payé la rançon et déverrouillé leurs fichiers, elles doivent également s'assurer que la menace est complètement supprimée de leurs réseaux. Lorsque la ville d'Atlanta a été infectée, ils ont dépensé un total de 17 millions de dollars pour tenter de résoudre l'incident, même si la rançon demandée était bien inférieure à cela.
    En plus des coûts de la rançon, il y a le coût évident de la panne infligée jusqu'à ce que la menace soit supprimée. C'est peut-être l'une des raisons pour lesquelles le logiciel malveillant attaque tant de prestataires de soins de santé - ils ne peuvent pas se permettre de tomber en panne.

    Comment protéger vos organisations contre SamSam Ransomware ?

      • Sauvegardez vos données hors ligne : Si vous comptez sur vos sauvegardes pour vous protéger des rançongiciels, vous devez vous assurer que l'attaquant n'accèdera pas non plus à vos sauvegardes. Gardez à l'esprit que l'enregistrement de vos sauvegardes sur le réseau signifie qu'elles sont exposées aux rançongiciels autant que toutes les autres données du réseau.
      • Identifiez les serveurs de bureau à distance qui sont exposés sur Internet : Trouvez un moyen de découvrir les postes de travail distants exposés sur Internet. Un poste de travail distant exposé sera soumis à une attaque par force brute dans les heures suivant l'exposition sur Internet. Ainsi, un bon moyen d'identifier les postes de travail distants exposés à Internet consiste à rechercher des attaques par force brute. Silverfort peut vous aider à le faire.
      • Protégez l'accès RDP en appliquant Authentification multi-facteurs – si vous devez exposer un poste de travail distant à Internet, utilisez un VPN ou un hôte bastion. Ceux-ci empêchent l’accès réseau direct à la machine. Mais basé sur un mot de passe authentification ne suffit pas. Vous devez également ajouter MFA pour vérifier que les informations d'identification sont bien utilisées par un utilisateur légitime. Silverfort vous permet d'ajouter MFA à ces systèmes sans aucun agent.
      • Empêcher les mouvements latéraux - L'application de MFA à l'utilisation d'outils d'administration tels que PSExec peut bloquer efficacement de telles attaques. Cependant, les solutions MFA traditionnelles ne peuvent pas être mises en œuvre pour de tels outils. Silverfort's MFA sans agent plates-formes peuvent également être facilement étendues à ces outils.
      • Protégez l'accès à vos données sensibles – Appliquez MFA pour tout accès aux ressources sensibles, y compris les bases de données et les partages de fichiers.

     

    Yaron Kassner, CTO et co-fondateur, Silverfort

    SilverfortCTO et co-fondateur de Yaron Kassner est un expert de la cybersécurité et des technologies du Big Data. Avant de co-fonder Silverfort, Yaron a été consultant expert en Big Data pour Cisco. Il a également développé de nouvelles capacités impliquant l'analyse de données volumineuses et des algorithmes d'apprentissage automatique chez Microsoft. Avant cela, Yaron a servi dans l'unité cybernétique d'élite 8200 des Forces de défense israéliennes, où il a dirigé une équipe de R&D réputée, a été élevé au rang de capitaine et a reçu un prestigieux prix d'excellence. Yaron est titulaire d'un B.Sc. en mathématiques, Summa Cum Laude, un M.Sc. et doctorat. en informatique du Technion - Institut israélien de technologie.

     

    Pour savoir comment Silverfort peut protéger votre organisation contre SamSam et d'autres menaces, contactez-nous aujourd'hui.

    Prêt pour une démo ?
    Inscrivez-vous aujourd'hui.

    Messages récents

    6 Mai 2024

    Utiliser MITM pour contourner la protection anti-hameçonnage FIDO2

    2 mai, 2024

    Silverfort dévoilera une recherche au RSA 2024 : Utiliser MITM pour contourner les méthodes d'authentification modernes vers le SSO

    24 avril 2024

    5 façons d'améliorer votre hygiène AD avec Silverfort  

    26 mars 2024

    Le rapport Identity Underground : aperçu approfondi des failles de sécurité des identités les plus critiques  
    Voir plus

    Suivez-nous

    Arrêtez les menaces sur l'identité