L’attaque JBS Ransomware met en évidence la nécessité d’une détection précoce et d’une réponse rapide

NRZ.Digital
0 0

Au cours des deux derniers mois, les cybercriminels ont ciblé des organisations essentielles à notre chaîne d’approvisionnement. La plus récente de ces attaques était contre JBS, la plus grande entreprise de transformation de viande au monde.

L’attaque contre JBS a été causée par l’exécution d’un logiciel de rançon dans son environnement réseau et a été attribuée à la famille de logiciels malveillants REvil, alias Sodinokibi. Le ransomware REvil a la capacité de faire plus que simplement chiffrer des fichiers, il peut également désactiver l’antivirus, supprimer les sauvegardes de machines et surveiller et tuer d’autres processus qui pourraient tenter de l’arrêter. Ce ransomware a toujours été livré par des e-mails de spear phishing, en exploitant le protocole RDP (Remote Desktop Protocol) exposé à Internet, en utilisant des informations d’identification volées ou en profitant d’anciennes vulnérabilités exposées à Internet.

Les campagnes de ransomware modernes, comme celles qui ont affecté JBS et Colonial Pipeline, se trouvent à l’intérieur du réseau cible bien avant que le ransomware ne soit déployé. En règle générale, les attaquants se déplacent latéralement sur le réseau, volent des données et des informations d’identification, déploient des outils supplémentaires, puis exécutent Ransomware comme étape finale de l’attaque.

Une fenêtre d’opportunité : comment OpenText MDR a empêché une attaque de ransomware

le Détection et réponse gérées par OpenText™ (MDR) a stoppé une attaque similaire sur ses traces lors d’un récent engagement client. L’attaque a été détectée au début de la chaîne de cyber kill avant que les attaquants aient la possibilité d’exécuter le composant Ransomware de l’attaque.

OpenText MDR utilise des filtres propriétaires, basés sur les tactiques, techniques et procédures (TTP) des attaquants que nos consultants ont vues à travers des milliers d’engagements. Une détection déclenchée sur un comportement anormal du compte utilisateur dans l’heure suivant le déploiement. Immédiatement, les analystes d’OpenText MDR ont demandé au client de désactiver le compte pendant qu’ils commençaient à enquêter à distance sur l’intrusion.

Notre enquête a rapidement déterminé que le compte était utilisé pour établir l’accès de commande et de contrôle requis pour lancer une attaque de ransomware.

Avec le compte compromis désactivé et les « crochets » de l’attaquant corrigés à partir des points de terminaison affectés, OpenText MDR a pu empêcher les attaquants de prendre la position nécessaire pour lancer une attaque de ransomware.

Alors que nos analystes MDR ont détecté cette attaque très tôt dans la cyber kill-chain, OpenText MDR aurait alerté sur plusieurs phases de l’attaque, notamment :

  • Le vecteur d’infection initial (IIV) – exploitation ou mauvaises pratiques de sécurité (pas de correctifs pour les systèmes, RDP exposé à Internet), e-mail de phishing, etc.
  • Comportement anormal associé à des comptes d’utilisateurs légitimes, comme dans l’attaque Colonial Pipeline où un nom d’utilisateur et un mot de passe légitimes ont été utilisés pour accéder au VPN.
  • Techniques de persistance
  • Élévation des privilèges du compte
  • Mouvement latéral
  • Exfiltration de données

Services gérés ou bricolage, nous sommes là pour vous aider

Pour les organisations qui ont une expertise en détection et en réponse dans leur équipe, EnCase Endpoint Security peut offrir les mêmes avantages que notre service MDR. EnCase Endpoint Security comprend plus de 250 règles basées sur le TTP, et d’autres sont ajoutées chaque trimestre.

EnCase Endpoint Security permet de surveiller les activités suspectes au niveau du terminal et peut être configuré pour isoler une machine du réseau au premier signe qu’un attaquant y accède, avant l’exécution du malware. Les TTP EnCase Endpoint Security auraient détecté l’exécution de macros malveillantes dans un document de bureau, les communications C2, la ligne de commande suspecte et l’activité PowerShell, l’activité WMI suspecte, etc.

Atténuer le risque d’attaques de ransomware

Après la mise en œuvre d’une solution MDR ou EDR, les entreprises doivent prendre plusieurs mesures pour atténuer le risque d’une attaque de ransomware réussie. Les exemples comprennent:

  • Assurez-vous que tous les systèmes et applications sont corrigés et à jour
  • Effectuez régulièrement des analyses de vulnérabilité internes et externes pour atténuer les risques pour le réseau
  • Surveiller les e-mails entrants pour les pièces jointes suspectes
  • Évaluez l’efficacité de votre programme de sauvegarde et de restauration, y compris tous les systèmes et données critiques
  • Interdire l’exécution de macros sur les machines des utilisateurs à moins qu’il n’y ait un besoin très spécifique et approuvé pour elles
  • Mandater une formation annuelle de sensibilisation à la sécurité pour tous les employés

Pour en savoir plus sur la façon dont OpenText peut vous aider à vous préparer et à détecter la prochaine attaque de ransomware avant qu’elle ne frappe, veuillez nous contacter à l’adresse https://www.opentext.com/products-and-solutions/products/security#form.


Happy
Happy
0
Sad
Sad
0
Excited
Excited
0
Sleppy
Sleppy
0
Angry
Angry
0
Surprise
Surprise
0

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire

Next Post

Comment les stratégies de contenu Glocal peuvent-elles faire évoluer votre marque mondiale localement ?

4 juin 2021 Bien que la description populaire d’une marque mondiale s’applique toujours, elle a évolué avec le marché. Les marques mondiales fructueuses doivent se conformer pour répondre aux besoins locaux en traitant ce qui est reconnu comme une perspective « glocale ». Crédits : agilitypr.com Être une marque mondiale […]

Abonnez-vous maintenant