{"id":19094,"date":"2022-07-08T08:57:55","date_gmt":"2022-07-08T06:57:55","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19094"},"modified":"2022-07-11T16:05:28","modified_gmt":"2022-07-11T14:05:28","slug":"ransomware-ttp-report","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ransomware-ttp-report\/19094\/","title":{"rendered":"Techniques, tactiques et proc\u00e9dures d&rsquo;un ransomware"},"content":{"rendered":"<p>Les experts de Kaspersky ont analys\u00e9 en profondeur les tactiques, les techniques et les proc\u00e9dures (TTP) les plus souvent utilis\u00e9es par les huit groupes de ransomware les plus prolifiques\u00a0: Conti\/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte et BlackCat. Cette comparaison entre les m\u00e9thodes et les outils utilis\u00e9s par les cybercriminels aux diff\u00e9rents moments d\u2019une attaque leur a permis d\u2019en conclure que de nombreux groupes op\u00e8rent presque de la m\u00eame fa\u00e7on. Cette \u00e9tude permet de mettre au point des contre-mesures universelles et efficaces afin de prot\u00e9ger l\u2019infrastructure d\u2019une entreprise contre les ransomwares.<\/p>\n<p>Tous les d\u00e9tails de cette \u00e9tude, ainsi qu\u2019une analyse approfondie de chaque technique et des exemples d\u2019utilisation dans le monde r\u00e9el, sont disponibles dans notre <a href=\"https:\/\/media.kasperskycontenthub.com\/wp-content\/uploads\/sites\/43\/2022\/06\/23093553\/Common-TTPs-of-the-modern-ransomware_low-res.pdf\">rapport sur les groupes modernes de ransomware et les TTP les plus courantes<\/a>. Ce guide contient \u00e9galement des r\u00e8gles de d\u00e9tection SIGMA des techniques malveillantes.<\/p>\n<p>Ce rapport s\u2019adresse principalement aux analystes SOC, aux \u00e9quipes charg\u00e9es de traquer les menaces, aux analystes de renseignement sur les menaces, aux sp\u00e9cialistes de la criminalistique num\u00e9rique et aux sp\u00e9cialistes de la cybers\u00e9curit\u00e9 impliqu\u00e9s dans le processus de r\u00e9ponse aux incidents. Nos chercheurs ont \u00e9galement regroup\u00e9 dans ce rapport les bonnes pratiques \u00e0 adopter dans la lutte contre les ransomwares \u00e0 partir de diverses sources. Il serait int\u00e9ressant de partager sur notre blog les principaux conseils pratiques qui permettent de prot\u00e9ger l\u2019infrastructure d\u2019une entreprise et de renforcer les mesures pr\u00e9ventives contre l\u2019intrusion.<\/p>\n<h2>Pr\u00e9venir l\u2019intrusion<\/h2>\n<p>L\u2019option id\u00e9ale est d\u2019interrompre l\u2019attaque du ransomware avant que la menace n\u2019atteigne le p\u00e9rim\u00e8tre de l\u2019entreprise. Les mesures suivantes aident \u00e0 r\u00e9duire le risque d\u2019intrusion\u00a0:<\/p>\n<p><strong>Filtrer le trafic entrant.<\/strong> Des politiques de filtrage doivent \u00eatre mises en place sur tous les dispositifs de p\u00e9riph\u00e9rie : routeurs, pare-feu et syst\u00e8mes de d\u00e9tection d\u2019intrusion (IDS). N\u2019oubliez pas de filtrer les messages que vous recevez comme spam ou comme e-mail d\u2019hame\u00e7onnage. Il serait judicieux d\u2019utiliser une <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/anti-targeted-attack-platform?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">sandbox<\/a> pour valider les pi\u00e8ces jointes des messages.<\/p>\n<p><strong>Bloquer les sites malveillants.<\/strong> Vous devez restreindre l\u2019acc\u00e8s aux sites malveillants connus. Par exemple,\u00a0 en mettant en place un syst\u00e8me qui intercepte les serveurs proxy. Il convient d\u2019utiliser les renseignements de Threat Intelligence pour que la liste des menaces informatiques soit \u00e0 jour.<\/p>\n<p><strong>Utiliser\u00a0 l\u2019inspection profonde des paquets (DPI)<\/strong>. Une solution de type DPI au niveau de la passerelle vous permet de contr\u00f4ler le trafic \u00e0 la recherche de programme malveillant.<\/p>\n<p><strong>Bloquer un code malveillant.<\/strong> Utilisez les signatures pour bloquer un programme malveillant.<\/p>\n<p><strong>Protection RDP.<\/strong> D\u00e9sactivez le RDP dans la mesure du possible. Si vous devez constamment l\u2019utiliser, placez les syst\u00e8mes \u00e9quip\u00e9s d\u2019un port RDP ouvert (3389) derri\u00e8re un pare-feu et n\u2019autorisez l\u2019acc\u00e8s que via un VPN.<\/p>\n<p><strong>Authentification \u00e0 plusieurs facteurs. <\/strong>Utilisez une authentification \u00e0 plusieurs facteurs, des mots de passe complexes et des politiques de d\u00e9connexion automatique des comptes pour tous les points accessibles \u00e0 distance.<\/p>\n<p><strong>Liste des connexions autoris\u00e9es.<\/strong> Imposez une liste des IP autoris\u00e9es \u00e0 utiliser le pare-feu du mat\u00e9riel.<\/p>\n<p><strong>Corriger les vuln\u00e9rabilit\u00e9s connues.<\/strong> Il convient d\u2019installer d\u00e8s que possible les correctifs des vuln\u00e9rabilit\u00e9s d\u00e9tect\u00e9es dans les syst\u00e8mes d\u2019acc\u00e8s \u00e0 distance et dans les dispositifs ayant une connexion directe \u00e0 Internet.<\/p>\n<p>Ce <a href=\"https:\/\/media.kasperskycontenthub.com\/wp-content\/uploads\/sites\/43\/2022\/06\/23093553\/Common-TTPs-of-the-modern-ransomware_low-res.pdf\">rapport<\/a> donne aussi des conseils pratiques de protection contre l\u2019exploitation et les mouvements lat\u00e9raux, et explique comment lutter contre les fuites de donn\u00e9es et comment \u00eatre pr\u00eat en cas d\u2019incident.<\/p>\n<h2>Une protection suppl\u00e9mentaire<\/h2>\n<p>Nous avons mis \u00e0 jour notre solution EDR afin d\u2019armer les entreprises d\u2019outils suppl\u00e9mentaires qui peuvent les aider \u00e0 \u00e9liminer la propagation d\u2019une attaque le plus t\u00f4t possible et d\u2019enqu\u00eater sur l\u2019incident. Cette nouvelle version, qui convient aux entreprises ayant des processus de s\u00e9curit\u00e9 informatique matures, s\u2019appelle Kaspersky Endpoint Detection and Response Expert. Elle peut \u00eatre d\u00e9ploy\u00e9e sur le Cloud ou dans les installations. Cliquez <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/endpoint-detection-response-edr?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">ici<\/a> pour en savoir plus sur les fonctionnalit\u00e9s de cette solution<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une analyse d\u00e9taill\u00e9e des outils de chiffrement modernes et des ransomwares vous permet d&rsquo;adopter des m\u00e9thodes universelles pour les contrer.<\/p>\n","protected":false},"author":2581,"featured_media":19096,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[353,3189],"class_list":{"0":"post-19094","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ransomware","11":"tag-soc"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ransomware-ttp-report\/19094\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ransomware-ttp-report\/24309\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ransomware-ttp-report\/19777\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ransomware-ttp-report\/10009\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ransomware-ttp-report\/26662\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ransomware-ttp-report\/24606\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomware-ttp-report\/24982\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ransomware-ttp-report\/27326\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-ttp-report\/33371\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-ttp-report\/10801\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-ttp-report\/44706\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ransomware-ttp-report\/28945\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ransomware-ttp-report\/25153\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-ttp-report\/30674\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-ttp-report\/30423\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19094","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=19094"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19094\/revisions"}],"predecessor-version":[{"id":19098,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19094\/revisions\/19098"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/19096"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=19094"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=19094"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=19094"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}