Sean Deuby | Technologue principal

Le dernier développement de la saga de l'attaque NotPetya de 2017 devrait rappeler aux organisations qu'il suffit d'une poignée de cybercriminels pour mettre à mal l'ensemble de leurs opérations.

La semaine dernière, le ministère américain de la justice a annoncé l'inculpation de six pirates informatiques, notamment pour fraude informatique et conspiration. du groupe cybercriminel connu sous le nom de Sandworm, qui sont des membres confirmés de l'agence de renseignement militaire russe GRU.

Sandworm serait à l'origine d'attaques qui ont mis hors service une partie du réseau électrique ukrainien en 2016, se sont immiscées dans les élections françaises de 2017, ont détruit des ordinateurs utilisés lors des Jeux olympiques d'hiver de 2018 et, surtout, sont responsables de la fameuse attaque NotPetya.

L'attaque NotPetya a touché des organisations dans 65 pays à travers le monde, causant des dommages estimés à 10 milliards de dollars. L'une des organisations qui a fait la une des journaux est la plus grande compagnie maritime du monde, Maersk. Selon les rapports, le réseau de Maersk a été paralysé en l'espace de quelques minutes et les dommages causés par le logiciel malveillant ont été achevés en l'espace d'une heure. Maersk a perdu tous ses serveurs de contrôle de domaine Active Directory (AD) en ligne, ainsi que leurs sauvegardes. Leur salut est venu d'un contrôleur de domaine hors tension dans leur bureau d'Accra, au Ghana. 

Il a fallu neuf jours à Maersk pour récupérer l'AD. Andy Powell, RSSI de Maersk, aurait déclaré : "Neuf jours pour la récupération d'Active Directory, ce n'est pas suffisant, vous devriez viser 24 heures ; si vous ne pouvez pas, alors vous ne pouvez rien réparer d'autre".

L'histoire a été relatée sur le site wired.com par le célèbre journaliste spécialisé dans la cybersécurité et auteur de Sandworm : A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers, Andy Greenberg. Nous avons récemment eu l'occasion l'occasion de nous entretenir avec Andy lors de la conférence 2020 Hybrid Identity Protection et de discuter de ce que les organisations peuvent apprendre des cyberattaques destructrices telles que NotPetya, et de la manière d'envisager une stratégie de repli. Andy a souligné que "plus encore que la défense, il faut se concentrer sur la résilience. Vous ne pourrez peut-être pas empêcher une attaque, mais vous pouvez être prêt à y répondre et à rebondir."

Lecture associée

Enseignements tirés : Êtes-vous prêt pour le prochain "NotPetya" ?  

NotPetya est apparu il n'y a pas très il n'y a pas Il n'y a pas si longtemps, et la plupart des RSSI d'aujourd'hui travaillaient dans l'industrie informatique à un titre ou à un autre lorsque l'attaque s'est produite. Maersk a été assez transparent sur l'ampleur des dégâts causés par NotPetya, à tel point que les détails concernant la perte totale de l'Active Directory ont été inclus dans presque tous les articles techniques couvrant l'attaque. On pourrait penser que les RSSI en prendraient note et que la stratégie de récupération d'AD serait différente aujourd'hui.

Pourtant, la plupart des organisations n'ont toujours pas de plan pour garantir la récupérabilité d'AD.

Bien sûr, vous faites des sauvegardes et des solutions de sécurité sont en place pour soutenir une position de sécurité préventive appropriée, mais les organisations d'aujourd'hui ne sont toujours pas préparées à une attaque sur AD du calibre de NotPetya.

Selon notre récente publication Recovering Active Directory from Cyber Disasters récemment publié, 84 % des organisations admettent que la perte de contrôleurs de domaine AD dans le cadre d'une cyberattaque aurait un impact significatif, grave ou catastrophique sur l'organisation.

Les sauvegardes jouent certainement un rôle dans une stratégie de reprise après sinistre, mais AD représentant le seul ou le principal service d'identité dans 58 % des organisations, il est impératif d'être prêt à faire face à une perte "catastrophique" d'AD. NotPetya a prouvé que cela pouvait arriver. Et pourtant, un peu plus des deux tiers (68 %) des entreprises n'ont pas de plan de reprise d'activité AD, ont un plan mais ne l'ont pas testé, ou ne l'ont pas testé dans l'année qui suit. 

Sur la base de l'attaque NotPetya et d'autres cyberattaques plus récentes, la cyberattaques récentes impliquant AD, il existe quelques types de tactiques d'attaque ciblant AD auxquelles vous devez vous attendre. s'attendre et que votre plan de réponse doit prendre en compte :

  • AD Manipulation-Capacité d'AD à fournir un accès aux ressources et de contrôler les utilisateurs et les points de terminaison la place dans les sites des cybercriminels. Il est nécessaire de pouvoir de ramener votre AD à un état connu et état de sécurité connu
  • AD Disponibilité-Iors de l'attaque du Maersk attaquel'enregistrement d'amorçage principal de chaque contrôleur de domaine a été crypté, rendant les rendant non amorçables. Vous devez pouvoir de tout récupérer à partir d'un seul contrôleur de domaine jusqu'à la forêt entière (avec toutes ses complexités) sans risquer la réintroduction de logiciels malveillants.
  • Pas de sauvegardes AD-De nombreuses souches de ransomware ciblent le service Volume Shadow Copy de Microsoft, sauvegardent les fichiers par type de fichier et tentent même d'accéder aux solutions de sauvegarde via l'API. Au minimum, la règle règle des 3-2-1 sauvegardes s'applique ici, avec une copie conservée hors site. Et pour les organisations qui considèrent AD comme la charge de travail critique qu'il est, avoir une solution qui se concentre sur la récupération de la forêt AD crée une stratégie de réponse à plusieurs niveaux. De cette façon, vous pouvez compter sur la capacité de remédier à la situation même s'il n'y a pas de sauvegardes viables.

Le vieil adage adapté "ceux qui ne se souviennent pas du passé sont condamnés à le répéter" est toujours d'actualité. Et si vous faites partie des organisations qui n'ont pas tiré les leçons de l'expérience de Maersk pour se remettre de NotPetya, l'inculpation de Sandworm devrait vous rappeler qu'il est temps de commencer à planifier la prochaine grande cyberattaque frappera.