Les ransomwares sont devenus l'un des modèles de gestion les plus solides de la cybercriminalité et coûtent aux organisations des milliards de dollars chaque année. Lors d'une attaque de logiciel rançonneur, les cybercriminels volent ou chiffrent des données précieuses et exigent ensuite un paiement pour les récupérer en toute sécurité. Ces attaques, auparavant de simples nuisances pour les consommateurs, sont maintenant des logiciels malveillants sophistiqués dotés de capacités de chiffrement avancées qui touchent tous les secteurs d'activité, toutes les zones géographiques et des entreprises de toute taille.
La protection de votre organisation contre les ransomwares et autres types de logiciels malveillants exige une réponse rapide, car à chaque seconde qui passe, davantage de fichiers sont chiffrés et davantage d'unités sont infectées, ce qui augmente à la fois les dommages et les coûts. IBM Security QRadar SIEM vous aide à détecter rapidement ces menaces, afin que vous puissiez prendre des mesures immédiates et éclairées pour prévenir ou réduire les effets de l'attaque.
Lire le guide de référence sur les ransomwares
Lire le Rapport 2022 sur le coût des violations de données
Dans la lutte contre les ransomwares, la détection et la prévention précoces sont essentielles. QRadar SIEM offre une analyse de sécurité intelligente permettant de dégager des connaissances exploitables contre les menaces les plus critiques.
21 % des cyberattaques sont des ransomwares¹
Le coût moyen d’une attaque de logiciel rançonneur est de 4,54 millions de dollars US2
Le nombre de ransomwares avec un nouveau code dans Linux a augmenté de 146 %3
Les ransomwares, comme la plupart des logiciels malveillants, passent par plusieurs phases. QRadar SIEM peut repérer les ransomwares connus et inconnus au cours de ces phases. Une détection précoce peut aider à prévenir les dommages causés lors des phases ultérieures. QRadar fournit des extensions de contenu qui incluent des centaines de cas d'utilisation pour générer des alertes au cours de ces phases. Les extensions de contenu sont distribuées par l'intermédiaire d'App Exchange et permettent d'obtenir les cas d'utilisation les plus récents. Les collections IBM Security X-Force Threat Intelligence sont utilisées comme références dans les cas d'utilisation pour aider à trouver les derniers indicateurs de compromission (IOC) connus, tels que les adresses IP, les hachages de fichiers de logiciels malveillants, les URL et bien plus encore.
La plupart des logiciels malveillants et des ransomwares « connus » peuvent être détectés dès les premières phases. Pour détecter les ransomwares inconnus, QRadar SIEM propose des cas d'utilisation qui se concentrent sur la détection des comportements des ransomwares. La visibilité sur les points de terminaison, les serveurs d'application (sur site et dans le cloud) et les périphériques réseau (pare-feu) permettent à QRadar SIEM Use Case Manager de détecter les modèles de comportement des ransomwares qui s'étendent à votre infrastructure informatique et technique. Use Case Manager peut vous permettre de visualiser les cas d'utilisation ou les règles qui portent sur ces phases à l'aide de la matrice MITRE ATT&CK.
Au cours de cette phase, les ransomwares ressemblent à d'autres logiciels malveillants. Ils utilisent des techniques d'hameçonnage pour inciter vos employés peu méfiants à cliquer sur un lien ou un fichier exécutable dans un courrier électronique, un Honeypot, un média social ou un message texte.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements de distribution et des ransomwares connus :
- Fichier exécutable incorporé dans un courrier électronique
- Communication par courrier électronique ou par Internet avec un hôte hostile
- Objet du courrier électronique suspect
C'est à ce moment que le chronomètre se déclenche. Le ransomware se trouve désormais dans votre environnement. Si le ransomware a utilisé un injecteur (dropper) pour éviter d'être détecté lors de la phase de distribution, c'est à ce moment-là que l'injecteur passe un appel à IBM, télécharge l'exécutable réel et l'exécute.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements d'infection :
- Détection d'un fichier ou d'un processus malveillant
- Détection d'IOC malveillants
- Décodage ou téléchargement de fichiers suivi d'une activité suspecte
Le ransomware scanne la machine pour analyser les droits d'administration qu'il pourrait obtenir, s'exécuter à l'amorçage, désactiver le mode de récupération, supprimer les copies miroir, etc.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements d'installation :
- Tentative de suppression des copies miroir et des sauvegardes
- Récupération désactivée dans la configuration d'amorçage
Maintenant que le ransomware détient la machine depuis la phase de lancement, il va entamer une phase de reconnaissance du réseau (chemins d'attaque), des dossiers et des fichiers avec des extensions prédéfinies, et autres.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements de reconnaissance :
- Tentative de suppression des copies miroir et des sauvegardes
- Tailles limites du transfert de données
C'est à ce moment que commencent les véritables dommages. Les actions typiques sont les suivantes : création d'une copie de chaque fichier, chiffrement des copies, placement des nouveaux fichiers à l'emplacement d'origine. Les fichiers originaux peuvent être exfiltrés et supprimés du système, ce qui permet aux attaquants de faire chanter la victime en la menaçant de rendre la violation publique, ou même de divulguer des documents volés.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements de chiffrement :
- Suppression ou création excessive de fichiers
- Nombre suspect de fichiers renommés ou déplacés sur la même machine (UNIX)
- Tailles limites du transfert de données
Les dommages sont causés et l'utilisateur reçoit une notification lui indiquant comment payer la rançon pour obtenir la clé de déchiffrement. À ce stade, il n'y a plus grand-chose à détecter, si ce n'est la création du fichier d'instructions de déchiffrement.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements de notification de rançon :
- Création d'instructions de déchiffrement de ransomware
Les cas d'utilisation pour trouver des ransomwares sont disponibles dans les extensions de contenu suivantes sur App Exchange (lien en dehors du site ibm.com) :
- Extension de contenu IBM QRadar pour l'hameçonnage et les courriers électroniques (lien en dehors du site ibm.com)
- Contenu IBM QRadar pour le contrôle des menaces de sécurité (lien en dehors du site ibm.com)
- Extension de contenu IBM QRadar pour les points de terminaison (lien en dehors du site ibm.com)
Après la phase d'infection initiale, chaque seconde est cruciale. Plus vite vous détectez le ransomware, plus vite vous pouvez lancer votre plan de réponse aux incidents (RI). Plus le plan de RI est efficace, plus il est rapide pour empêcher les ransomwares de passer par les différentes phases.En matière de RI, le NIST (lien en dehors du site ibm.com) et le SANS (lien en dehors du site ibm.com) suivent des lignes directrices qui ont résisté à l'épreuve du temps. Tout plan de RI comporte quelques aspects clés.
Mise en place de sauvegardes.Les sauvegardes hors ligne sont essentielles en cas d'attaque par ransomware. Assurez-vous de savoir où se trouvent ces sauvegardes et comment restaurer vos systèmes. Incluez dans votre processus de RI les étapes pour savoir qui contacter pour chacun de vos actifs informatiques critiques.
Identification des équipes, des outils et des rôles.La composition de l'équipe de réponse aux incidents change au fur et à mesure que le ransomware passe par ses différentes phases, de l'infection initiale au chiffrement. Cela signifie généralement que davantage de personnes au sein de l'organisation doivent s'impliquer. Souvent, il peut s'agir de faire appel à des services tiers ou, en cas de violation, de contacter le service juridique, les régulateurs externes et les clients. Il est essentiel de savoir qui contacter et quand. Il est important de tenir une liste de contacts à jour, mais l'intégration des rôles de ces contacts dans votre processus est vitale pour une réponse efficace. Les documents physiques et les PDF sont suffisants, mais il est essentiel de disposer des bons outils et d'une automatisation qui permettent à l'ensemble de l'équipe d'accéder au processus de réponse aux ransomwares, aux actions et à la documentation historique.
Un processus et une automatisation bien définis.Un processus de RI peut comporter de nombreuses tâches et de multiples points de décision. C'est une bonne pratique que d'aligner votre processus sur les phases décrites par le NIST et le SANS. Par exemple, vous pouvez organiser votre processus de RI selon les phases suivantes :
- Découverte et identification
- Enrichissement et validation
- Confinement et résolution
- Récupération et communication
QRadar SOAR fournit des protocoles pour définir votre processus de RI et automatiser les nombreuses actions qu'un analyste peut avoir besoin d'exécuter pour passer rapidement à travers les phases. La riposte post-violation de QRadar SOAR peut créer les tâches de production de rapports nécessaires au régulateur en fonction des informations personnelles exposées.
Inventaire des actifs informatiques, des propriétaires, des informations personnelles.Lorsqu'un système est infecté, l'analyste de sécurité doit connaître le propriétaire du système, ses applications et ses données. Les solutions de gestion des actifs telles que ServiceNow ou SAP peuvent aider à gérer les contacts pour les systèmes. IBM Security Discover and Classify peut aider à trouver des sources de données et des informations personnelles dans chaque source. Ainsi, en cas de violation de données, les analystes savent si des réglementations sont concernées.
La ville de Los Angeles, le LA Cyber Lab et IBM collaborent pour fournir des renseignements sur les menaces et protéger les entreprises locales vulnérables.
L'intégration des données, l'analyse des logs et la définition de priorité des incidents permettent à l'entreprise vietnamienne d'investissement et de développement immobilier de détecter les menaces et d'y répondre.
En hébergeant une solution QRadar SIEM sur un système de stockage IBM FlashSystem hautes performances, Data Action (DA) offre une sécurité accrue aux banques alternatives.
La détection des menaces du centre au nœud final qu'offre QRadar SIEM protège votre organisation de plusieurs façons.
Incorporez les solutions de chasse aux cyber-menaces d'IBM Security à votre stratégie de sécurité pour contrer et diminuer les menaces plus rapidement.
Intégrez des packs de conformité dans QRadar SIEM pour assurer la conformité et automatiser la production de rapports.
Arrêtez rapidement les cyberattaques grâce à la détection de menace en temps quasi réel de QRadar SIEM.