Des chercheurs en sécurité avaient mis en place un leurre pour surveiller la progression de l’attaque … qui ne tarda pas à venir.
Mise en place du leurre
L’entreprise de sécurité Cybereason a construit un leurre conçu pour ressembler à une entreprise d’électricité opérant en Europe et en Amérique du Nord. Le réseau a été conçu pour paraître authentique afin d’attirer des attaquants potentiels en incluant des environnements informatiques technologiques et opérationnels ainsi que des systèmes d’interface humaine.
Toutes les infrastructures sont construites en tenant compte des problèmes de sécurité communs aux infrastructures critiques, en particulier les ports des stations distantes connectées à Internet, les mots de passe de complexité moyenne et certains contrôles de sécurité habituels, y compris la segmentation du réseau.
Le leurre a commencé plus tôt cette année et il n’a fallu que trois jours aux attaquants pour découvrir le réseau et trouver des moyens de le compromettre – y compris une campagne de ransomware qui a infiltré des parties du réseau et qui a réussi à récupérer les informations de connexion.
Le cours de l’attaque
« Très peu de temps après le lancement du » pot de miel « , la capacité du ransomware a été placée sur chaque machine compromise », explique Israel Barak, chef de la sécurité informatique de la cyber-raison chez ZDNet.
Les pirates ont placé des ransomwares sur le réseau à l’aide d’outils de gestion à distance pour accéder au réseau et déchiffrer le mot de passe administrateur pour se connecter et contrôler le bureau à distance.
À partir de là, ils ont créé une porte dérobée pour un serveur compromis et utilisé des outils PowerShell supplémentaires, y compris Mimikatz, qui ont permis aux attaquants de voler des informations de connexion, permettant un mouvement latéral sur le réseau – et la possibilité de compromettre encore plus de machines. L’attaquant a effectué des analyses pour trouver autant de points d’accès qu’ils le souhaitaient et collecté des identifiants au fur et à mesure.
Double peine
En fin de compte, cela signifie qu’en plus de déployer un rançongiciel, les attaquants ont également la possibilité de voler des noms d’utilisateur et des mots de passe qu’ils pourraient exploiter comme un levier supplémentaire en menaçant de révéler des données sensibles si la rançon n’était pas payée.
« Ce n’est qu’après la fin des autres étapes de l’attaque que le ransomware se propage simultanément à tous les terminaux compromis. C’est une caractéristique commune des campagnes de ransomware à plusieurs étapes visant à amplifier l’impact de l’attaque sur la victime », explique Israël Barak.
Réseau compromis
Les attaques de ransomwares provenant de diverses sources ont souvent révélé le piège, et beaucoup ont essayé d’autres attaques, tandis que d’autres pirates informatiques étaient plus intéressés par la reconnaissance du réseau – comme c’était le cas dans une précédente expérience d’oiseau de leurre.
Même si cela ne semble pas aussi dangereux, à première vue qu’une rançon, les attaquants qui tentent d’exploiter le réseau de ce qu’ils croient être un fournisseur d’électricité peuvent finalement avoir des conséquences très dangereuses.
Néanmoins, il semble que les ransomwares soient devenus l’une des principales méthodes par lesquelles les attaquants tentent d’exploiter une infrastructure qu’ils peuvent facilement compromettre, que le rapport décrit comme un «barrage constant» d’attaques contre le secteur. Et le risque devrait s’intensifier.
Renforcer la sécurité de la prévention
Heureusement, ces attaques contre un leurre ne feront aucun mal.
L’expérience montre cependant que les réseaux qui prennent en charge les infrastructures critiques doivent être suffisamment résilients pour résister aux intrusions indésirables en concevant et en exploitant des réseaux pour la résilience – en particulier lorsqu’il s’agit de séparer les réseaux informatiques de la technologie opérationnelle.
Même des améliorations relativement simples, telles que la protection des réseaux avec des mots de passe complexes et difficiles à deviner, peuvent aider, tandis que des initiatives de sécurité plus complexes peuvent aider à renforcer la protection. LIEN