{"id":17409,"date":"2021-08-04T09:46:18","date_gmt":"2021-08-04T07:46:18","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17409"},"modified":"2021-08-04T09:46:18","modified_gmt":"2021-08-04T07:46:18","slug":"ransomware-group-policies","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ransomware-group-policies\/17409\/","title":{"rendered":"Les GPO facilitent la propagation des ransomwares"},"content":{"rendered":"<p>Depuis quelques temps d\u00e9j\u00e0, les ransomwares <a href=\"https:\/\/www.kaspersky.fr\/blog\/darkside-ransomware-industry\/16786\/\" target=\"_blank\" rel=\"noopener\">sont devenus une industrie parall\u00e8le \u00e0 part enti\u00e8re<\/a> avec un service d\u2019assistance technique, un centre de presse et des campagnes publicitaires. Comme pour n\u2019importe quelle autre industrie, concevoir un produit comp\u00e9titif n\u00e9cessite une am\u00e9lioration constante. LockBit, par exemple, est le dernier d\u2019une multitude de groupes de cybercriminels qui promeut l\u2019infection automatique des ordinateurs locaux via un contr\u00f4leur de domaine.<\/p>\n<p>LockBit fonctionne un peu comme le principe du <em>Ransomware-as-a-Service<\/em> (RaaS) en fournissant aux clients (les pirates informatiques) une infrastructure et un malware en \u00e9change d\u2019une partie de la ran\u00e7on. Pirater le r\u00e9seau d\u2019une victime est la responsabilit\u00e9 du contractant et en ce qui concerne la propagation du ransomware \u00e0 travers le r\u00e9seau, LockBit a con\u00e7u une approche assez int\u00e9ressante.<\/p>\n<h2>Le sch\u00e9ma de distribution de LockBit 2.0<\/h2>\n<p>Une fois que les pirates informatiques ont acc\u00e8s au r\u00e9seau et qu\u2019ils atteignent le contr\u00f4leur de domaine, <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-ransomware-now-encrypts-windows-domains-using-group-policies\/\" target=\"_blank\" rel=\"noopener nofollow\">Bleeping Computer affirme<\/a> qu\u2019ils ex\u00e9cutent le malware plac\u00e9 \u00e0 l\u2019int\u00e9rieur, ce qui cr\u00e9e de nouvelles strat\u00e9gies de groupe qui sont ensuite automatiquement envoy\u00e9es sur chaque dispositif connect\u00e9 au r\u00e9seau. Ces strat\u00e9gies d\u00e9sactivent d\u2019abord la s\u00e9curit\u00e9 int\u00e9gr\u00e9e dans le syst\u00e8me d\u2019exploitation pour que d\u2019autres cr\u00e9ent ensuite une t\u00e2che planifi\u00e9e sur tous les appareils Windows afin d\u2019ex\u00e9cuter le ransomware.<\/p>\n<p>Bleeping Computer mentionne le chercheur Vitali Kremez qui dit que le ransomware utilise l\u2019API dans Windows Active Directory pour effectuer des requ\u00eates LDAP (Protocole d\u2019acc\u00e8s aux annuaires l\u00e9ger) pour obtenir la liste des ordinateurs. LockBit 2.0 contourne ensuite l\u2019<em>User Account Control <\/em>(UAC, \u00ab\u00a0contr\u00f4le du compte de l\u2019utilisateur\u00a0\u00bb) qui fonctionne silencieusement sans d\u00e9clencher aucune alerte sur le dispositif en train d\u2019\u00eatre chiffr\u00e9.<\/p>\n<p>Ce sont vraisemblablement les premiers malwares \u00e0 \u00eatre diffus\u00e9s \u00e0 grande \u00e9chelle via des GPO utilisateur. De plus, LockBit 2.0 laisse des messages de ransomware quelque peu saugrenus\u00a0: ils commandent \u00e0 toutes les imprimantes connect\u00e9es au r\u00e9seau d\u2019imprimer la note.<\/p>\n<h2>Comment faire pour prot\u00e9ger votre entreprise d\u2019une situation similaire ?<\/h2>\n<p>Gardez \u00e0 l\u2019esprit qu\u2019un contr\u00f4leur de domaine est un serveur Windows et que comme tel, il a \u00e9galement besoin d\u2019\u00eatre prot\u00e9g\u00e9. Nous vous conseillons de vous munir de Kaspersky Security for Windows Server qui se trouve dans <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">la plupart de nos solutions de s\u00e9curit\u00e9 destin\u00e9es aux entreprises<\/a> et qui prot\u00e8ge les serveurs sous Windows contre la majorit\u00e9 des menaces modernes.<\/p>\n<p>Cependant, les ransomwares qui se r\u00e9pandent via les GPO font partie de la derni\u00e8re \u00e9tape d\u2019une attaque. Les activit\u00e9s suspectes sont g\u00e9n\u00e9ralement d\u00e9celables bien plus t\u00f4t, par exemple lorsque les pirates informatiques p\u00e9n\u00e8trent pour la premi\u00e8re fois dans le r\u00e9seau ou qu\u2019ils tentent de pirater de contr\u00f4leur de domaine. Nos solutions <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/managed-detection-and-response?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Managed Detection and Response<\/a> sont particuli\u00e8rement efficaces pour d\u00e9celer les signes avant-coureurs de ce genre d\u2019attaque.<\/p>\n<p>Mais la plupart du temps, les cybercriminels utilisent des techniques d\u2019ing\u00e9nierie sociale et envoient des e-mails d\u2019hame\u00e7onnage pour obtenir l\u2019acc\u00e8s initial. Afin d\u2019\u00e9viter que vos employ\u00e9s ne tombent dans leurs pi\u00e8ges, <a href=\"https:\/\/k-asap.com\/fr\/?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">sensibilisez-les sur la cybers\u00e9curit\u00e9<\/a> gr\u00e2ce \u00e0 une formation r\u00e9guli\u00e8re.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Le ransomware LockBit 2.0 peut se propager \u00e0 travers un r\u00e9seau local via les strat\u00e9gies de groupe cr\u00e9\u00e9es dans un contr\u00f4leur de domaine pirat\u00e9. <\/p>\n","protected":false},"author":2581,"featured_media":17410,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[4176,353],"class_list":{"0":"post-17409","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-controleur-de-domaine","10":"tag-ransomware"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ransomware-group-policies\/17409\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ransomware-group-policies\/23123\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ransomware-group-policies\/18605\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ransomware-group-policies\/9294\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ransomware-group-policies\/25107\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ransomware-group-policies\/23122\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomware-group-policies\/22466\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ransomware-group-policies\/25745\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ransomware-group-policies\/25234\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-group-policies\/31178\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-group-policies\/9888\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-group-policies\/40877\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-group-policies\/17873\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ransomware-group-policies\/15096\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ransomware-group-policies\/27141\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ransomware-group-policies\/31314\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ransomware-group-policies\/27355\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ransomware-group-policies\/24164\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-group-policies\/29500\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-group-policies\/29305\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17409","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=17409"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17409\/revisions"}],"predecessor-version":[{"id":17414,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17409\/revisions\/17414"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/17410"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=17409"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=17409"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=17409"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}