Sept indices qui montrent que votre réseau a été piraté
Sept (7) indices qui montrent que votre réseau a été piraté
Certains signes ne trompent pas quand il est question de piratage informatique. En effet, lors des cyberattaques, que ce soit des intrusions classiques, des exfiltration de données ou des rançongiciels, plusieurs traces sont laissées par les pirates dans le réseau. Si vous surveillez constamment la sécurité de votre réseau, vous les identifierez peut-être rapidement, ce qui minimisera l’impact de la cyberattaque.
Si vous ne surveillez pas la sécurité de votre réseau, le pirate aura tout le temps de fouiner dans votre réseau, de trouver des cibles intéressantes avant de passer à l'action, par exemple les infecter par un ransomware. Selon un rapport de IBM sur les brèches de sécurité, en 2021 les organisations mettaient en moyenne 212 jours avant de découvrir qu’elles ont été piratées! Pendant tout ce temps plusieurs traces sont laissées dans votre réseau!
Voici 6 indices qui montrent que votre réseau a été piraté. Surveillez-les de près et réagissez rapidement si vous les identifiez.
Vos serveurs deviennent subitement lents sans aucune raison
Les lenteurs subites et inexpliquées de vos serveurs sont souvent le signe que vous avez été piratés pour du minage de crypto-monnaies. Trois (3) scénarios sont très souvent exploités pour pirater vos serveurs pour miner les crypto-monnaies:
- Le fichier malicieux est introduit dans votre réseau via une attaque par hameçonnage
- Le pirate trouve une faille sur votre serveur exposé sur Internet et l’exploite pour prendre le contrôle du serveur. Le pirate exécute ensuite son outil malicieux de minage de crypto-monnaies.
- Le pirate exploite une faille qui lui permet de déposer et exécuter son outil malicieux directement sur votre serveur sans en prendre le contrôle.
Conduite à tenir: lorsque vous faites face à une lenteur inexpliquée de vos serveurs, faites des recherches dans les événements de sécurité (logs) générés par les serveurs concernés. Cherchez des exécutions de scripts Powershell qui se connectent sur des sites web distants pour télécharger d’autres fichiers. Si vous en trouvez, vous avez la confirmation du piratage. Considérez aussi que le minage de crypto-monnaie n’est qu’une étape dans une attaque. L’objectif final du pirate peut être d’introduire un ransomware dans votre réseau. Déclenchez votre plan de réponse aux incidents.
Vous trouvez des fichiers douteux sur vos serveurs ou postes de travail
Ce n’est jamais un bon signe de trouver des fichiers douteux sur ses serveurs ou postes de travail. Dans la plupart des cas, c’est le signe que vous avez été piratés et que le pirate est dans votre réseau.
Conduite à tenir: ne négligez jamais un tel événement. Déconnectez toutes les machines sur lesquelles des fichiers douteux ont été trouvés. Analysez ensuite ces fichiers afin de déterminer s’ils sont malicieux ou non. Des outils en ligne tels que VirusTotal, Triage ou Any.run vous permettent de vérifier si un fichier est malicieux. La règle à respecter ici est de ne jamais essayer de bricoler. Si vous n’avez pas l’expertise interne, allez chercher de l’aide externe. Des compagnies spécialisées en réponse aux incidents telles que Streamscan peuvent nous aider à analyser des fichiers afin d’avoir le cœur net. Au besoin, elles vous aideront aussi à gérer l’incident de bout en bout, pour limiter les impacts.
Votre antivirus ou votre EDR détecte et bloque plusieurs fichiers douteux/malicieux dans une période de temps courte
Votre antivirus ou votre EDR a beau être efficace, le fait qu’il détecte et bloque plusieurs fichiers malicieux dans votre réseau dans une période de temps courte (ex: 1 semaine ou 1 mois) est inhabituel et n’est jamais rassurant. Chaque fois que vous avez un pic de détection d’outils malicieux dans votre réseau, il faut agir et surtout ne pas baisser la garde. Il y’a de fortes chances qu’un pirate doit déjà dans votre réseau et essaie d’introduire un arsenal d’outils malicieux. Certains de ces outils seront bloqués par votre antivirus/EDR mais d’autres pas. Il suffit qu’un seul outil malicieux ne soit pas détecté par votre antivirus/EDR pour que tout s’enclenche.
Conduite à tenir: en cas d’observation de ce type d’événement inhabituel, analysez les fichiers bloqués par l’antivirus/EDR afin de déterminer leur nature. Ex: est-ce des outils de balayage de ports ou de vulnérabilités? Est-ce des outils de contrôle à distance? Est-ce des outils de craquage de mots de passe?
Nous vous recommandons aussi fortement d’analyser les journaux (logs) de sécurité sur toutes les machines ou les fichiers douteux ont été détectés et bloqués afin de vérifier s’il y a eu des accès suspects.
Vous découvrez un compte utilisateur douteux créé dans votre parc informatique
La découverte d’un compte utilisateur douteux ou ne respectant pas votre nomenclature des noms d’usagers dans votre parc informatique est très souvent un indice de compromission de votre réseau. S’il se trouve que ce compte douteux a des privilèges administrateurs, il y’a urgence à agir car le pirate est très certainement dans votre réseau.
Conduite à tenir: dans un tel cas, gardez la tête froide et faites les vérifications afin de confirmer si le compte a été créé par une personne de votre équipe. Si ce n’est pas le cas, déclenchez immédiatement votre processus de réponse aux incidents. Si vous n’avez pas l’expertise interne pour gérer l’incident, allez chercher de l’aide externe.
Surtout ne supprimez pas le compte douteux créé, le pirate se rendra compte que vous l’avez repéré et il accéléra la cadence d’attaque, ce qui va causer plus de dégâts. Notez que les pirates aiment avoir plusieurs cordes à leur arc. Généralement ils ne se contentent pas d’avoir un seul accès dans votre réseau, mais plusieurs.
Découverte d’un outil de contrôle d’accès à distance installé à votre insu
Les pirates aiment garder le contrôle sur les machines qu’ils piratent car cela leur donne la possibilité de planifier et exécuter leurs actions malicieuses dans se mettre de la pression. Pour cela, l’un de leurs premiers réflexes est d’installer un outil de contrôle ou administration de systèmes à distance sur leurs victimes. La découverte d’un tel outil installé sans autorisation dans votre parc informatique n’est donc jamais un événement anodin. Il faut agir rapidement.
Conduite à tenir: prenez le temps de confirmer si l’outil a été installé par un membre de votre personnel TI (s’il s’agit d’un serveur) ou par l’utilisateur (s’il s’agit d’un terminal). Si l’installation n’a pas été faite par une personne interne, déclenchez votre plan de réponse aux incidents.
Découverte d’un scanner réseau installé dans votre réseau à votre insu
Une fois qu’un pirate contrôle votre réseau, sa prochaine étape consiste à trouver des cibles intéressantes qu’il pourra infecter. Il va rechercher en priorité des serveurs qui sont sensibles (contrôleurs de domaines, bases de données, etc.). Pour cela, il utilisera un outil de balayage réseau qui lui permettra d’identifier les machines de votre parc informatique ainsi que les serveurs qu’ils hébergent. Avec ces informations, il sera en mesure d’identifier les machines importantes et il se focalisera sur elles.
Conduite à tenir: si vous trouvez un scanner réseau installé de manière non autorisé dans votre parc informatique, déclenchez immédiatement votre plan de réponse aux incidents.
Vous trouverez des traces d’attaques connues dans les logs d’un serveur ayant une vulnérabilité fortement médiatisée
Lorsqu’une vulnérabilité de sécurité est fortement médiatisée, des programmes informatiques d’attaque (aussi appelés preuve de concept/POC ou exploits d’attaques) deviennent très vite disponibles sur Internet. N’importe qui peut les télécharger, les adapter et lancer des attaques. Les pirates vont en profiter pour mettre en place des serveurs d’attaque automatisés qui vont balayer Internet 24/7 pour trouver et exploiter cette vulnérabilité. Au final un très grand nombre de machines seront piratés en un temps record. Ce fut le cas des vulnérabilités PrintNightMare, Proxyshell et Log4Shell. Suite a genre de médiatisation, il est fortement recommandé que les organisations fassent un balayage de vulnérabilité afin d’identifier s’ils ont des systèmes vulnérables ou non. Si lors de cet exercice vous avez la confirmation que vos serveurs sont vulnérables, faites des investigations approfondies. Si vous trouvez des indices qui montrent que des tentatives d’exploitation de la vulnérabilité ont ciblé un ou des serveurs donnés, considérez pas défaut qu’ils ont été piratés.
Conduite à tenir: ne prenez aucun risque, déconnectez immédiatement les serveurs concernés et poussez vos analyses: des codes informatiques douteux ont-ils été exécutés sur vos serveurs, par exemple des scripts Powershell? Votre antivirus a-t-il été arrêté à un moment donné? Des logs ont-ils été supprimés à une date donnée après la médiatisation de la vulnérabilité? Des connexions ont-elles eu lieu sur le serveur tard dans la nuit? etc. Si vous avez la confirmation qu’il y a eu piratage, déclenchez votre plan de réponse aux incidents. Si vous n’avez pas d’expertise en interne, allez chercher de l’aide externe. Surtout ne négligez pas l’événement.
Besoin d'aide ? StreamScan est là.
Si vous avez aussi besoin d’aide pour définir votre plan de réponse aux incidents de sécurité, pour gérer un incident de cybersécurité ou mettre en œuvre une solution de supervision de sécurité (Managed Detection and Response, MDR), contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au 1 877 208-9040.
Si vous cherchez une technologie pour protéger votre réseau, notre technologie de détection de cybermenaces CDS est la meilleure option pour vous. Elle est capable de détecter les attaques en amont, à chacune de leurs étapes (balayage du réseau et identification des vulnérabilités, tentative d’injection d’exploits d’attaque, attaque brute force et assimilés, mouvements latéraux, persistance, etc.), de les bloquer et de vous alerter.