Sauvegardes dans le cloud : Mimikatz vient en aide aux cybercriminels

Les sauvegardes de données à distance et notamment dans le cloud semblent être le dernier rempart contre le ransomware. A défaut de pouvoir bloquer le ransomware, les sauvegardes permettent de restaurer rapidement les systèmes infectés pour une reprise d’activité rapide.

Conscients que ces dernières offrent un moyen aux entreprises de refuser de payer pour la récupération de ces données, les cybercriminels s’évertuent désormais à rendre inutilisables ces sauvegardes.

Le cas récent d’une attaque via le ransomware DoppelPaymer confirme cette tendance. Les cybercriminels cherchent en effet à obtenir l'accès aux informations d'identification d’un compte à privilèges d’administration et au contrôleur de domaine. Une fois qu’ils y sont parvenus, ils collectent des informations d'identification à partir d'Active Directory d'outils à l’aide d’outils tels que Mimikatz. Le fait que des administrateurs utilisent l'authentification Windows pour la gestion de leur logiciel de sauvegarde permet aux cybercriminels d'accéder aux données hébergées dans le cloud.

Eclairage de Jocelyn de Larocque, Directeur France de l’entité Quest Plateforme Management :

« L’utilisation d’outils massivement disponibles sur le Web (et pas seulement sur le Darknet) tels que - Mimikatz pour ne citer que l’un des plus connus - rend l’intrusion via les « mouvements latéraux » sur les systèmes de plus en plus facile dès l’instant où le pirate dispose d’un accès à une simple station de travail du réseau (cet accès étant très souvent obtenu via des attaques de phishing de plus en plus ciblées). Couplées à des attaques de Ransomware, ces intrusions peuvent avoir des conséquences dévastatrices pour les données.

Il est critique que les sauvegardes ne soient pas stockées sur le même environnement que les données elles-mêmes. Par exemple, Quest préconise que les sauvegardes de l’Active Directory utilisée par notre solution de « Disaster Recovery AD » soient stockées sur des systèmes de stockage indépendants de l’Active Directory afin de garantir leur intégrité en cas d’attaque massive de Ransomware.

De plus, il est très important pour les entreprises de mettre en place des stratégies de sécurités pas uniquement basées sur la présence de sauvegardes mais aussi sur la segmentation d’administration et sur la surveillance des principaux canaux d’intrusions. Pour contrer les tentatives de mouvements latéraux lors d’une intrusion, les entreprises peuvent, par exemple, surveiller en temps réel si des commandes à risques telles que celles de Mimikatz sont exécutées sur les stations du parc afin d’automatiser la mise en œuvre de contres mesures.

Les attaques sont de plus complexes : les stratégies de sécurité doivent donc s’adapter et s’outiller en conséquence. »

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !