Blogue
/
Confinement des ransomwares

Se défendre contre le rançongiciel Conti : pourquoi la CISA recommande de toute urgence la segmentation

Raghu Nandakumara
,
Directeur principal du marketing des solutions industrielles
September 23, 2021
23 min. de lecture

Hier, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) et le Federal Bureau of Investigation (FBI) ont publié une déclaration conjointe sur la cybersécurité consultatif concernant la vague continue d'attaques du rançongiciel Conti, une variante du modèle de ransomware en tant que service (RaaS) connue pour avoir été à l'origine de plus de 400 attaques contre des organisations américaines et internationales depuis sa création en 2020.

Conti n'est que le dernier né du fléau actuel des rançongiciels. À l'approche du premier anniversaire de la Violation de SolarWinds, les attaques de rançongiciels continuent d'évoluer et de se multiplier, à une échelle sans équivoque.

Aujourd'hui plus que jamais, il est impératif que les organisations prennent les mesures nécessaires pour renforcer leur cyberrésilience, non seulement pour protéger et défendre leurs propres activités, mais également leurs clients et leurs chaînes d'approvisionnement contre la vague de ransomware attaques.

Qu'est-ce que Conti ?

Selon le conseil conjoint de la CISA et du FBI, « Lors d'attaques typiques du rançongiciel Conti, des cyberacteurs malveillants volent des fichiers, chiffrent des serveurs et des postes de travail et exigent le paiement d'une rançon. »

L'avis indiquait également que les développeurs de Conti versaient souvent aux déployeurs du ransomware un salaire plutôt qu'un pourcentage des recettes d'une attaque réussie. Cette révélation rend le modèle lui-même encore plus alarmant, car les déployeurs sont payés quel que soit le « succès » d'une attaque donnée.

Plus tôt ce mois-ci, SiliconAngle signalé que Conti est « lié à une série d'attaques, dont une visant les services de santé irlandais en mai... Parmi les victimes précédentes de Conti figurent le fabricant d'ordinateurs industriels Advantech en novembre, le fabricant de matériel et de logiciels VOIP Sangoma Technologies en décembre et des hôpitaux de Floride et du Texas en février ».

SiliconAngle a également noté que Conti avait fait l'objet d'un avertissement du FBI en mai selon lequel le gang et ses affiliés ciblaient les prestataires de soins de santé, un secteur vital, en particulier alors que la pandémie de Covid-19 se poursuit.

Protection contre Conti

Afin de sécuriser les systèmes contre le ransomware Conti, la CISA et le FBI recommandent les précautions suivantes : Confiance zéro et segmentation les principes sont les principaux parmi lesquels :

  • Utiliser l'authentification multifactorielle pour accéder à distance à des réseaux depuis des sources externes.
  • Mettez en œuvre la segmentation du réseau et filtrez le trafic. Implémentez et garantissez une segmentation robuste du réseau entre les réseaux et les fonctions afin de réduire la propagation du ransomware. Filtrez le trafic réseau pour interdire les communications entrantes et sortantes avec des adresses IP malveillantes connues. Activez des filtres anti-spam puissants pour empêcher les e-mails de phishing d'atteindre les utilisateurs finaux.

    Les organisations devraient également envisager de mettre en œuvre un programme de formation destiné à décourager les utilisateurs de consulter des sites Web malveillants ou d'ouvrir des pièces jointes malveillantes. Les équipes informatiques doivent mettre en place une liste de blocage d'URL et/ou liste d'autorisation pour empêcher les utilisateurs d'accéder à des sites Web malveillants ; grâce à des boîtes à outils technologiques plus avancées, cela peut être automatisé.
  • Recherchez les vulnérabilités et maintenez les logiciels à jour. Configurez des programmes antivirus et antimalware pour effectuer des analyses régulières des actifs du réseau à l'aide de signatures à jour. Les entreprises doivent également s'assurer qu'elles mettent à niveau les logiciels et les systèmes d'exploitation, les applications et les microprogrammes des actifs réseau dans les meilleurs délais.
  • Supprimez les applications inutiles et appliquez des contrôles. Supprimez toute application qui n'est pas jugée nécessaire pour les opérations quotidiennes. Enquêtez sur tout logiciel non autorisé.
  • Mettez en œuvre des outils de réponse aux terminaux et à la détection. Les outils de réponse aux terminaux et à la détection sont connus pour améliorer la visibilité des équipes SecOps sur un environnement de cybersécurité donné, ce qui signifie que les cyberacteurs malveillants et les menaces potentielles peuvent être identifiés et mieux atténués à un stade précoce.
  • Comptes utilisateurs sécurisés. Auditez régulièrement les comptes utilisateurs administratifs et configurez les contrôles d'accès selon les principes du moindre privilège (Zero Trust) et de la séparation des tâches. Les organisations devraient également vérifier régulièrement les journaux pour s'assurer que les nouveaux comptes sont des utilisateurs légitimes.

Alors que de plus en plus de modèles RaaS et de souches de rançongiciels apparaissent, il est essentiel que les entreprises identifient et minimisent les vecteurs de menaces ou les vulnérabilités potentiels dès le début. Parmi les recommandations décrites ci-dessus, l'une des meilleures pratiques essentielles que les organisations devraient appliquer aujourd'hui est la segmentation.

Voici comment Illumio peut vous aider

Illumio arrête le ransomware suit son cours et, contrairement à la segmentation réseau traditionnelle, évolue avec votre organisation en fournissant :

  • Segmentation simple et rapide. Avec Illumio, vous pouvez segmenter les applications, les utilisateurs et des actifs spécifiques en quelques minutes grâce à la création automatique de politiques.

    Dans le cas de Conti, le ransomware a exploité le bloc de messages du serveur (SMB) et le protocole de bureau à distance (RDP) pour se déplacer latéralement. Avec Noyau Illumio, vous pouvez rédiger une police simple qui bloque ces deux protocoles dans l'ensemble de votre patrimoine, sauf lorsqu'ils sont absolument nécessaires, afin de réduire rapidement et efficacement l'exposition au risque.
  • Une politique qui s'adapte à vos environnements dynamiques. Comme Illumio utilise votre infrastructure existante pour appliquer les politiques, elle évoluera en même temps que votre réseau.
  • Segmentation au niveau de l'hôte. En utilisant les pare-feux existants basés sur l'hôte, vous pouvez gérer toutes vos politiques de segmentation à partir d'une seule instance cloud sans avoir à toucher à l'infrastructure ni à déplacer des câbles.


Découvrez comment Illumio peut réduire considérablement vos risques en limitant la portée d'une violation réussie : lisez le document, Comment éviter que les rançongiciels ne deviennent une cybercatastrophe, et consultez le billet de blog, 9 raisons d'utiliser Illumio pour lutter contre les rançongiciels.

Pour plus d'informations sur le gang de rançongiciels Conti, visitez le site officiel consultatif page.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Comment arrêter la variante Clop Ransomware avec Illumio
Confinement des ransomwares

Comment arrêter la variante Clop Ransomware avec Illumio

Le paysage des rançongiciels est complexe et instable. Les variantes vont et viennent, les développeurs s'empruntent et se volent les uns aux autres, et les affiliés ajoutent leurs propres personnalisations sur mesure.

En savoir plus
CCPA et Zero Trust Security pour les informations personnelles : santé et éducation
Confinement des ransomwares

CCPA et Zero Trust Security pour les informations personnelles : santé et éducation

En savoir plus
Ransomware : comment les petites et moyennes entreprises peuvent arrêter sa propagation
Confinement des ransomwares

Ransomware : comment les petites et moyennes entreprises peuvent arrêter sa propagation

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus