Qu’est-ce qu’un wiperware ?

Les tentatives de contournement des outils EDR, qui visent à les tromper pour permettre à un cyberattaquant de percer leurs défenses, ne sont pas une nouvelle stratégie de coercition. Les wiperwares non plus. Shamoon, CaddyWiper, IsaacWiper, etc. ont déjà fait des ravages par le passé. Aikido Wiper se distingue par sa capacité à détruire des fichiers sans utiliser d’appels API explicites, en agissant à la manière d’un utilisateur sans privilèges.
En dépit de la tactique utilisée, Aikido Wiper nous livre les mêmes enseignements que les autres wiperwares : L’DR est un outil de sécurité important qui ne peut toutefois pas être votre seul moyen de défense.
Les Etats-nations ou les terroristes, motivés par la destruction de données plutôt que l’appât du gain, sont particulièrement friands de wiperwares. Ce type d’exploitation est souvent utilisée dans le cadre d’attaques APT (Advanced Persistent Threat) visant des infrastructures essentielles telles que les services publics, dans le but de semer le chaos. Naturellement, le nombre d’attaques de wiperware augmente généralement en période de troubles géopolitiques.

Les outils EDR au cœur du problème

Les solutions EDR – et même les outils de détection et de gestion étendues (XDR) – sont un élément déterminant de votre stratégie de cyberdéfense. Mais Aikido Wiper met en évidence un principe essentiel : Mieux vaut avoir plusieurs niveaux de défense. Vous ne pouvez tout simplement pas vous fier à un seul outil de sécurité pour vous protéger, quelle que soit sa qualité.
Les cyberattaquants sont de plus en plus habiles dans l’art de déjouer les protections EDR et, une fois qu’ils ont infiltré votre réseau, ils visent généralement votre infrastructure d’identité. En s’introduisant dans Active Directory (AD) – le système d’identité utilisé par près de 90 % des entreprises aujourd’hui – ou Azure AD, les cyberattaquants peuvent prendre le contrôle d’un nombre encore plus important d’actifs essentiels de votre environnement.
Les systèmes d’identité étant des cibles privilégiées pour les cyberattaquants – l’utilisation incorrecte des identifiants est considérée comme la cause la plus courante des failles de sécurité –, Gartner met en avant la nécessité d’adopter une « défense en profondeur » centrée sur l’identité.
Aikido Wiper opère sur un poste de travail, sans s’appuyer sur un système d’identité. Ce wiperware utilise des points de jonction (une entité basée sur le système de fichiers de Windows) pour tromper votre solution EDR et la forcer à écraser ou à supprimer certains fichiers système. Une attaque de wiperware de plus grande envergure peut cibler plusieurs postes de travail. Mais, dans la plupart des cas, les attaquants ne sont pas intéressés par ce qui se trouve sur vos postes. Ils veulent avant tout obtenir un accès avec privilèges à vos données et systèmes.
Dans un cas comme dans l’autre, aucun outil EDR ne pourra vous protéger une fois que les attaquants auront pénétré vos postes de travail. La protection de vos systèmes d’identité dans le cadre d’une stratégie de défense à plusieurs niveaux reste une priorité. Le fait de conserver une sauvegarde AD saine et sécurisée peut faire la différence lorsqu’il s’agit de récupérer rapidement votre environnement suite à la mise hors service des systèmes par un malware, une catastrophe naturelle ou tout autre incident.

Comment renforcer ses cyberdéfenses

A l’image d’un oignon, un système de sécurité efficace revêt plusieurs couches de protection : l’EDR étant la couche extérieure, et la sécurité centrée sur l’identité la couche intérieure. Les entreprises se rendent compte que, parmi ces couches, la protection de l’identité doit être au cœur de leur stratégie de cyber-résilience. Voici les trois principales mesures que vous pouvez prendre aujourd’hui pour défendre votre entreprise contre les cybermenaces actuelles.

1. Eviter les points de défaillance uniques
Comme Aikido Wiper exploite les capacités intégrées du système d’exploitation, il incombe aux fournisseurs de solutions EDR concernés de colmater ces brèches. Malheureusement, il n’y a pas de solution miracle pour lutter contre l’exploitation dans Windows. Les fournisseurs de solutions EDR publient finalement des correctifs, ce qui implique de mettre à jour régulièrement vos outils de sécurité EDR.
Outre la nécessité de garder à jour les outils EDR, Aikido a montré qu’il était important de disposer d’une défense en profondeur. Même si cela peut paraître attrayant, consolider plusieurs fournisseurs en un seul pour l’ensemble de vos outils de sécurité peut présenter des inconvénients non négligeables. Mise à part les préoccupations commerciales potentielles liées à la consolidation, la cyber-résilience – en particulier lorsqu’il s’agit de systèmes d’identité – doit présenter une certaine redondance pour éviter les points de défaillance uniques, trop souvent utilisés dans les solutions EDR/XDR.

Pour Gartner, une stratégie XDR exige un niveau élevé de dépendance à l’égard d’un seul fournisseur. En particulier dans le cas de la détection et la gestion des menaces des systèmes d’identité (ITDR), Gartner recommande une méthode multi-fournisseur, précisant qu’« une approche à plusieurs niveaux impliquant l’ITDR est le meilleur moyen de se préparer aux cyberattaques... et de combler les lacunes de l’ITDR en évaluant la gamme complète et maîtrisée des vecteurs d’attaque et des télémétries. Pour répondre aux exigences d’une initiative ITDR complète, mieux vaut prévoir d’utiliser une mosaïque d’outils qui se complètent, voire se recoupent. »
Lorsque vous évaluez des fournisseurs de solutions ITDR, gardez à l’esprit qu’il est vital de protéger le système d’identité. De nombreux fournisseurs XDR n’étant pas spécialisés dans ce domaine, il convient de rechercher une solution ITDR de pointe consacrée spécifiquement à cette tâche.

2. Planifier la récupération
Autre enseignement que nous livre l’Aikido Wiper : il est impératif d’effectuer des sauvegardes saines et testées de vos principaux systèmes d’identité. Notre récente enquête auprès de plus de 50 entreprises – axée sur les priorités en matière de solutions ITDR – a révélé que 77 % des personnes interrogées subiraient un impact grave, voire catastrophique si AD venait à être endommagé par une cyberattaque.
Une sauvegarde AD – distincte des sauvegardes standard du système d’exploitation ou d’autres services – constitue un excellent moyen de défense contre les conséquences dévastatrices des wiperwares et autres attaques. Les autres options de sauvegarde, notamment les instantanés de contrôleur de domaine (DC), risquent d’entraîner des problèmes de cohérence des données, des pertes de données, voire la réintroduction de malware.
En revanche, une sauvegarde dédiée à AD permet de restaurer beaucoup plus rapidement votre environnement et génère une empreinte inférieure à celle des sauvegardes d’état système ou de récupération à chaud (BMR). Un outil de sauvegarde AD robuste comme Semperis Active Directory Forest Recovery (ADFR) protège contre la réintroduction de malware et peut même être automatisé pour éviter les erreurs humaines, en plus de réduire les temps d’arrêt à quelques minutes seulement.
Votre plan de reprise après sinistre doit comprendre des étapes spécifiques pour mettre en œuvre et tester régulièrement les sauvegardes de votre système d’identité et le processus de récupération, sans oublier les autres opérations de maintenance essentielles. Après tout, le meilleur moment pour tester votre plan de récupération est celui où tout va bien.

3. Assurer une surveillance continue
Surveiller régulièrement la surface d’attaque de votre système d’identité peut vous aider à repérer et à corriger les vulnérabilités potentielles avant que les attaquants ne puissent gagner du terrain. Aikido Wiper l’a montré : votre stratégie de surveillance ne doit pas se limiter aux antivirus, aux outils EDR et aux journaux de sécurité. Lorsqu’il s’agit de vous protéger contre les cyberattaques les plus dommageables, les solutions de gestion des informations et des événements de sécurité (SIEM) et d’orchestration, d’automatisation et de gestion de sécurité (SOAR) atteignent vite leurs limites.
A l’instar de votre stratégie de défense globale, vous obtiendrez les meilleurs résultats avec une surveillance à plusieurs niveaux. Pour une sécurité centrée sur l’identité optimale, recherchez une solution qui offre une visibilité en temps réel et des conseils pratiques. Inutile de vous ruiner pour bénéficier de ces capacités. Par exemple, nos outils communautaires gratuits (Purple Knight et Forest Druid) permettent de surveiller les indicateurs de sécurité – à savoir ceux de compromission (IoC) et d’exposition (IoE) – et de gérer les chemins d’attaque du Tier 0 sans dépenser un centime. Pour bénéficier de fonctionnalités supplémentaires, telles que l’annulation automatique des activités suspectes, une solution payante comme Semperis Directory Services Protector (DSP) offre des mesures correctives automatisées et une gestion étendue des incidents, en plus de la surveillance des IoC et IoE.

Vaincre la peur irrationnelle du wiper
Les cyberattaquants sont à l’origine de menaces de plus en plus sophistiquées et persistantes. Une stratégie de cybersécurité à plusieurs couches, avec une défense en profondeur – qui protège à la fois les postes de travail et le cœur de votre identité – est votre meilleur allié contre toutes les attaques, qu’il s’agisse de wiperware comme Aikido, de ransomware ou d’une nouvelle exploitation attendant d’être découverte. Placez la sécurité centrée sur l’identité sur votre liste de priorités en 2023 et vous aurez une préoccupation de moins.