10min

Chiffrement ou effacement en cours : qualifier et endiguer un rançongiciel

Cybersecurity - Protection - Remediation

Votre système d’information est touché par un logiciel malveillant de chiffrement ou d’effacement de type rançongiciel (ransomware en anglais) ? De la qualification à l’endiguement de l’incident, voici des conseils pratiques issus des fiches réflexes d’InterCERT France.

En premier lieu, il faut confirmer qu’un incident est en cours et qu’il s’agit bien d’un ransomware. Cette première étape vise à évaluer la gravité de l’incident : le périmètre et l’impact sur votre organisation, et sa criticité.

Qualifier un rançongiciel 

Prérequis pour qualifier un rançongiciel 

En interne ou en externe, une organisation doit mobiliser les expertises autour de la qualification de l’incident de sécurité. Les personnes impliquées à ce stade doivent avoir accès à l’administration et au monitoring du système d’information, aux équipements de sécurité, et elles doivent aussi avoir connaissance des priorités métier de l’organisation et des contacts d’urgence. 

Une main courante doit être ouverte en prenant soin de la stocker en dehors du système d’information compromis – sur un support partagé en cloud ou éventuellement au format papier. Si des actions en réponse à l’incident ont déjà été entreprises, ces notes doivent être reportées dans la main courante. 
Elle va permettre d’établir un historique du traitement de l’incident, suivre l’avancement de la remédiation et évaluer son efficacité. Elle doit notamment comporter :  

  • La date et l’heure de l’action ou de l’événement
  • Le nom de la personne ou du service qui a détecté ou informé de l’événement
  • La description détaillée de l’action ou de l’événement

En pratique, quelles sont les étapes clés pour confirmer qu’un incident est un ransomware, évaluer son périmètre, son impact et sa criticité ? Entrons à présent dans les détails.

Rançongiciel : comment évaluer l’incident 

Confirmer la nature de l'incident de sécurité 

L’évaluation d’un ransomware commence par remonter à l’origine de l’incident : de quand date la première anomalie constatée et depuis quand l’incident semble avoir commencé ? Les investigations peuvent être menées à l’aide des données d’un SIEM, d’un EDR, de sondes réseau... et peuvent révéler deux types d’informations : 

  • Les signaux forts collectés par des outils de type EDR ou SOC, le signalement par des utilisateurs du système d’information (pop-up qui apparaît sur le poste de travail, fichier readme.txt qui demande explicitement une rançon, présence de fichiers avec des extensions anormales, création d’archives en masse... 
  • Les signaux faibles tels que l’accès impossible à des services, des serveurs ou des fichiers, la désactivation d’outils de protection ou détection, l’extinction massive de machines virtuelles... 

Si l’incident est confirmé en tant que ransomware, voire un chiffrement est avéré, des mesures d’endiguement immédiates doivent être envisagées. En parallèle l’aide d’équipes spécialisées CERT ou CSIRT peut être sollicitée.

Evaluer le périmètre touché par un rançongiciel 

Une fois le ransomware ou le chiffrement qualifiés, le périmètre touché doit être identifié : postes de travail, serveurs, serveurs de stockage, hyperviseurs ou machines virtuelles... et avec quel niveau de compromission, notamment en vue de comprendre si des postes d'administration ou l’Active Directory sont touchés.

Par ailleurs, quels sont les types de systèmes impactés : DMZ, systèmes bureautiques, métiers, d’administration, de sauvegarde ?
Les systèmes touchés sont-ils connectés avec d’autres systèmes ou ressources en interne ou en externe ?

Evaluer l’impact d’un rançongiciel

En plus de l'impact sur les actifs, l’impact sur l’activité doit être mesuré : quelles sont les activités perturbées et s’agit-il d’activités métier, externes ou vitales ? La continuité de l’activité est-elle compromise ? Des infrastructures critiques pour le fonctionnement du système d’information sont-elles touchées (eg. contrôleur de domaine, DNS, hyperviseur, postes d’administration...) ? 

Un ransomware peut aussi avoir des conséquences sur le plan réglementaire - notamment pour les organisations critiques ou d’importance vitale (OSE ou OIV). Ainsi, il convient de vérifier si des données sensibles et des sauvegardes ont été touchées, et si l’infrastructure de récupération est disponible et opérationnelle.

Evaluer l’urgence des actions à mener pour remédier à un rançongiciel 

A ce stade, l’organisation touchée par un ransomware doit aussi valider l’existence et l’application des procédures de continuité et de maintien de l’activité en mode nominal et en mode dégradé. Cette étape permet d’évaluer pendant combien de temps ces procédures peuvent être maintenues, et ainsi définir les services vitaux pour lesquels une intervention en urgence est nécessaire et celles qui peuvent être maintenues en mode dégradé.

A l’issue de la qualification de l’incident, son impact et son éventuelle circonscription par des mesures d’endiguement, sa criticité pourra être établie en tant qu’anomalie courante, incident mineurincident majeur voire crise cyber.

Voyons à présent les mesures d’endiguement pour un ransomware, à travers les mesures de gestion pour résoudre l’incident ou encore le déploiement du dispositif de gestion de crise.

L’endiguement d’un rançongiciel

Les premières actions d’endiguement visent à circonscrire l’attaque pour limiter son extension et son impact, et de laisser du temps aux défenseurs pour s’organiser et répondre efficacement. Les équipes chargées de la défense peuvent être sollicitées en interne ou en externe (InterCERT France indique les contacts à solliciter dans ses fiches réflexes).

Contenir la propagation d’un rançongiciel 

La première mesure à prendre est d’isoler temporairement le système d’information d’Internet.

Il s’agit de désactiver tous les flux entrants et sortants, en préservant si besoin les WAN essentiels aux flux métiers internes, pour empêcher le rançongiciels de recevoir de nouveaux ordres de chiffrement et de latéralisation, d’exfiltrer de données sensibles ou installer des portes dérobées, ou encore observer les opérations de défense en cours. Cette mesure peut engendrer un manque à gagner si l’activité de l’organisation est interrompue, mais c’est un coût potentiellement bien inférieur aux dégâts liés à une propagation de la menace ! 
Les accès internet peuvent être rétablis progressivement en temps utile avec une sécurisation par un EDR ou un SOC.

Par la suite, les machines infectées doivent être isolées, en mettant par exemple les machines virtuelles en pause, les machines physiques en veille prolongée, ou en isolant le réseau. Objectif : éviter la propagation sur le reste du système d’information.

Si la propagation continue malgré tout, c’est probablement le signe que le système d’administration est compromis, ou que le code se déploie de manière centralisée ou autonome avec les identifiants d’un compte à hauts privilèges. Les comptes à privilèges suspectés d’être compromis peuvent être neutralisés ou réinitialisés, et le dossier SYSVOL du domaine Active Directory peut être analysé par un antivirus en attendant l’intervention des équipes spécialisées.

Préserver les actifs essentiels face à un rançongiciel 

La préservation des sauvegardes (serveurs de gestion, supports de stockage, serveurs de sauvegarde sur hyperviseur et dans le cloud) est aussi cruciale pour endiguer une attaque par ransomware.

Après avoir identifié les types de sauvegarde du système d'information et les serveurs de gestion des sauvegardes, et après avoir préservé les machines physiques et virtuelles, la désactivation ou l’isolation du réseau des supports de type NAS, SAN, robots de sauvegarde... peut être nécessaire. Notez qu’ils sont a priori déjà préservés par les actions précédentes sur les serveurs de gestion de sauvegarde, et que des effets de bord peuvent survenir si ces serveurs stockent des fichiers d’application. 
Attention à ne pas restaurer les sauvegardes tant que l’équipe de réponse à incident n’a pas indiqué de date de restauration sûre !

Dans le cas où le serveur de gestion des sauvegardes est une machine virtuelle qui a été éteinte par mesure de sécurité, il est nécessaire de prendre un instantané de la machine virtuelle mise en pause et de l’exporter sur un disque dédié hors ligne.

Enfin, les serveurs de gestion ou de stockage des sauvegardes hébergés dans le cloud doivent être considérés comme des machines virtuelles et faire l’objet des mêmes procédures - en notant qu’il ne sera pas possible de réaliser de nouvelles sauvegardes jusqu’à leur remise en service.

Quant aux serveurs de fichiers non sauvegardés, ils doivent être éteints en attendant la remédiation totale de la menace, ou ils peuvent être confinés dans une bulle réseau avec les applications critiques qui en dépendent pour pouvoir maintenir les activités vitales.

Le contrôleur de domaine doit être éteint s’il est physique, ou exporté sur un disque hors ligne s’il est virtuel.
Pour les organisations qui gèrent plusieurs domaines Active Directory avec des contrôleurs de domaines distincts, la conservation d’un contrôleur par domaine est recommandée ; autrement, un seul contrôleur de domaine suffit.

A noter : dans la plupart des cas, les services d’un contrôleur de domaine sont redondants et ne sont pas interrompus si l’un des contrôleurs est mis à l’écart. Toutefois, des effets de bord peuvent survenir si le contrôleur de domaine est le premier contacté dans la liste des DNS reçus par les clients, ou si le FQDN ou l’IP du contrôleur de domaine a été renseigné en dur dans un service. 

La préservation des traces 

Les traces sont essentielles aux équipes d’investigation. Les logs issus de consoles EDR, pares-feux, passerelles VPN, proxy... doivent ainsi être conservés le plus longtemps possible et avec un maximum de détails. Ils peuvent être exportés sur un disque hors ligne ou dans un puits de logs de type SIEM en ayant vérifié au préalable qu’il n’est pas compromis (une déconnexion du réseau peut être nécessaire dans ce cas). 

Au-delà des investigations par des experts cyber, toutes les traces peuvent être utiles aux forces de l’ordre en cas de poursuites judiciaires.

Endiguement de ransomware : et après ?  

A la suite de la détection d’un incident de sécurité tel qu’un ransomware, la résolution doit se faire en cohérence avec les impacts identifiés, et si besoin avec l’aide d'équipes spécialisées pour les investigations forensique, la remédiation, la reprise d’activité, la communication en interne et en externe, le dépôt de plainte et les déclarations...

Comment protéger votre espace de travail contre les ransomwares ?
Découvrez notre moteur de détection dédié :


Tout savoir sur Ransomguard

Plus d'articles

Cybersecurity

Qualifier et endiguer la compromission d’un équipement de bordure réseau

Un équipement de bordure réseau est un équipement physique ou virtuel incluant les pares-feux en périmètre d’organisation, les passerelles VPN ou encore…

En savoir plus
8min
Méthodologie
Cybersecurity Platform MITRE Evaluations

Unifiez votre centre d'opérations de sécurité et votre centre d'opérations de vulnérabilité

La gestion des vulnérabilités devient de plus en plus complexe à mesure que le nombre de CVE et la surface…

En savoir plus
5min
Méthodologie
Cybersecurity Information System Mapping

Sécurité et résilience cyber : la sauvegarde des données

L’atteinte aux données est un risque pour les utilisateurs, clients ou usagers, et pour le fonctionnement même d’une entreprise ou…

En savoir plus
7min
Méthodologie
Cybersecurity Best Practices

Quelles règles de base pour une bonne hygiène informatique

La protection d’un système d’information doit s’adapter en continu pour faire face à l’évolution des usages mais aussi des menaces…

En savoir plus
12min
Méthodologie