Les attaques de ransomware continuent à ébranler les organisations du monde entier. Il est particulièrement inquiétant de constater que nombre d’entre eux exploitent Active Directory (AD), une technologie cruciale qui constitue la base même de la plupart des environnements informatiques actuels.
L’accès à l’AD une organisation est inestimable pour les attaquants pour deux raisons principales. Premièrement, AD est utilisé pour stocker une pléthore d’informations relatives à l’identité, notamment les autorisations utilisateur, les mots de passe et les dispositifs présents sur le réseau. Deuxièmement, il assure la gestion centralisée de diverses entités du réseau, notamment les serveurs, les postes de travail et les applications.
Prenez par exemple LockBit ransomware 2.0, qui est une version améliorée du LockBit ransomware qui a été découvert pour la première fois en 2019. Le gang de ransomware LockBit diffuse le malware en utilisant le modèle Ransomware as a Service (RaaS), où les attaquants emballent le malware avec tous les outils nécessaires pour effectuer une attaque et le vendre à des affiliés qui exécutent l’attaque. Les chercheurs en sécurité ont découvert que la nouvelle variante, active depuis Juin, est commercialisée par ses développeurs comme le ransomware le plus rapide disponible sur le marché, car elle peut crypter automatiquement les systèmes appartenant à un domaine dans le réseau en tirant parti de la stratégie de groupe AD.
La stratégie de groupe est une fonctionnalité d’AD qui permet aux administrateurs de gérer de manière centralisée les utilisateurs et les ordinateurs joints à un domaine. Les administrateurs peuvent empêcher les utilisateurs d’installer des logiciels tiers, configurer des scripts qui s’exécutent pendant le démarrage ou l’arrêt du périphérique, bloquer l’accès à l’invite de commandes, et bien plus encore. En bref, avec la stratégie de groupe, les administrateurs peuvent contrôler le fonctionnement des périphériques du réseau. Mais sans cela, les administrateurs devront se connecter individuellement à chaque ordinateur pour effectuer des modifications.
Dans le cas de LockBit 2.0, les chercheurs ont constaté qu’une fois que le ransomware a atteint le contrôleur de domaine (DC), il crée des stratégies de groupe qui peuvent désactiver Windows Defender et exécuter le module ransomware dans chaque machine.
De même, d’autres souches de ransomware telles que Conti comptent également sur la prise de contrôle du contrôleur de domaine et la propagation aux appareils dans le réseau.
Les erreurs de configuration d’AD, telles que les mots de passe faibles pour les comptes d’utilisateurs, y compris les comptes d’administrateur de domaine, la présence de comptes inactifs avec des mots de passe non expirés, des privilèges d’utilisateur non contrôlés sont tous des facteurs que les attaquants exploitent pour prendre le contrôle du contrôleur du DC. Pour éviter d’être la proie d’attaques par ransomware, les organisations doivent redoubler d’efforts pour renforcer la sécurité des AD.
Téléchargez notre guide sur les ransomwares pour en savoir plus sur:
- Exemples concrets d’attaques par ransomware ayant exploité AD.
- Étapes courantes d’une attaque par ransomware impliquant l’exploitation AD.
- Cinq mesures de défense qui peuvent empêcher ransomware de prendre le dessus sur AD.