Le ransomware de « Big game hunt » diffère de ses prédécesseurs qui ont combattu sans distinction. L’activité la plus courante dans les ransomwares reste l’arnaque non sophistiquée qui cible une très grande échelle. Mais de plus en plus de cybercriminels ont les ressources pour développer des campagnes beaucoup plus sophistiquées et du temps pour pénétrer profondément dans les systèmes d’information, planifier et identifier les ressources les plus précieuses, puis tout détruire uniquement après avoir rentabilisé leur investissement.
Ces attaques de rançongiciels de «gros gibier» peuvent représenter un danger moins fréquent mais beaucoup plus grave pour la victime. Pour cette raison, la détection préventive est devenue extrêmement importante pour les entreprises. Cet article explique pourquoi:
Les vagues précédentes étaient différentes
Les anciennes campagnes de rançongiciels comme Locky étaient critiques et n’avaient pas la sophistication des attaques modernes. Leurs auteurs ont ciblé le plus grand nombre, souvent dans le cadre de vastes campagnes de phishing. Les destinataires non acceptants ont cliqué sur un lien malveillant. Les ransomwares pourraient alors gagner de l’espace jusqu’à ce que les fichiers chiffrés soient stockés sur leur machine ou dans le cas des entreprises de leur centre de données. C’était généralement suffisant pour collecter des sommes importantes en très peu d’efforts.
L’attaque bien documentée de WannaCry a marqué le début d’une nouvelle vague de ransomwares. Cependant, la propagation sans discrimination s’est avérée plus dangereuse car elle exploitait les vulnérabilités de manière plus sophistiquée. WannaCry et NotPetya se sont propagés de pair à pair et hors des frontières de l’entreprise, infiltrant des systèmes non corrigés et prenant à la fois des données et des otages de données. Bien que les cybercriminels n’aient pas nécessairement obtenu des fortunes en échange de leurs efforts, ces attaques ont été dévastatrices et ont offert un avenir troublant.
Que pouvez-vous attendre d’un ransomware de gros gibier?
Les ransomwares manquent toujours de subtilité. Loin de saper de petites quantités régulières ou d’espionnage discret des communications d’entreprise, ils s’apparentent davantage à des vols à main armée. Le but est d’être vu, effrayé et payé. Les ransomwares ne sont pas non plus très furtifs, surtout lorsqu’ils ont commencé à chiffrer des fichiers ou à désactiver des systèmes.
Inversement, le ransomware «chasse au gros gibier» infecte discrètement de nombreux systèmes sur le réseau de la victime avant de faire du bruit et de rester silencieux jusqu’au stade de la destruction.
L’énorme télétravail introduit pendant la crise du COVID-19 a permis à de nombreux attaquants d’infiltrer plus facilement les réseaux et de prendre le temps de se préparer à des attaques plus sophistiquées … comme nous le verrons peut-être dans les mois à venir.
Active Directory, l’épine dorsale des nouvelles attaques de ransomwares
Nous avons récemment étudié un nouveau type de ransomware appelé Save the Queen, qui se propage à partir des serveurs Active Directory de la victime (contrôleurs de domaine).
Les contrôleurs de domaine ont les clés du monde numérique. Presque tout autre système s’y connecte, ce qui le rend très important et en fait une cible principale pour la distribution de ransomwares. En raison de leur importance, la manipulation des serveurs Active Directory nécessite des droits d’accès étendus, exactement ce dont les cybercriminels bénéficient dans ce cas. L’ANSSI s’intéresse – et est au courant – depuis longtemps sur ce sujet et vient de publier une collection sur AD Security: https://www.cert.ssi.gouv.fr/uploads/guide -ad.html
L’accès est l’une des raisons pour lesquelles les ransomwares de gros gibier sont si troublants. Pour les cybercriminels, infiltrer un réseau est un jeu d’enfant. Ils peuvent facilement accéder à des applications de niveau supérieur ou à des comptes administratifs. Ils peuvent également utiliser leur propre infrastructure contre leur victime. Les auteurs de Save the Queen l’ont fait.
Avec tous ces accès, l’attaquant peut accéder à des données extrêmement sensibles: informations financières, propriété intellectuelle, monétiser ces informations confidentielles, copier des fichiers importants avant de les chiffrer pour menacer de les publier. Il faudrait être naïf pour penser qu’ils n’ont pas réussi à s’en éloigner et le phénomène est suffisamment grave pour mériter d’être inversé. Certains cybercriminels peuvent ne pas vouloir s’embêter à chercher quand ils peuvent se contenter d’une entrée et d’une introduction rapide, efficace et facile. Mais plus ces groupes sont organisés et efficaces pour gagner de l’argent sur la propriété de quelqu’un d’autre, plus ils sont susceptibles de ne laisser aucune miette à leurs victimes.
Quatre étapes pour protéger votre entreprise
* Sachez où les données de propriété intellectuelle, les informations financières, les données personnelles et les e-mails sensibles sont stockés avant que les cybercriminels ne tentent de les voler, de les transmettre ou de les chiffrer. Limitez l’accès à ceux qui en ont absolument besoin pour réduire la surface de l’attaque.
* Identifiez la période pendant laquelle l’indisponibilité d’un système ou de données aura les pires conséquences, par exemple, les jours précédant la semaine la plus occupée de l’année. Les cybercriminels sont intéressés par ce type d’informations sur leurs victimes. Mieux vaut avoir élaboré un plan d’affaires pour la continuité / reprise plutôt que d’avoir à improviser sous pression.
* Une grande partie de la prévention des ransomwares repose sur les sauvegardes. Bien qu’évidemment important, le défi consiste à décider lesquels restaurer, en particulier en ce qui concerne les fichiers. Sans suivi de l’activité du système de fichiers, de nombreuses entreprises doivent saisir une rançon pour savoir ce qui a été chiffré et quand. Si le registre d’activité de fichier n’existe pas, il doit être créé. Cela fournit ensuite des informations sur les activités des utilisateurs infectés.
* Profitez de l’automatisation. Des journaux d’activité et d’analyse adéquats permettent de détecter et d’arrêter les attaques potentielles avant qu’elles ne se propagent. Hiérarchisez et analysez les activités des ensembles de données et les systèmes critiques tels que les grands entrepôts de données, Active Directory et d’autres données télémétriques qui peuvent alerter lorsqu’un cybercriminel est entré sur le réseau.
Actuellement, les fournisseurs de télécommunications offrent un moyen simple d’accéder aux ressources, notamment en raison des capacités de recherche et de filtrage offertes par les outils de collaboration utilisés. Dans le même temps, la plupart des entreprises ne sont pas prêtes à détecter une activité inhabituelle générée par ces utilisateurs externes. Le but principal de toute entreprise est de détecter les cybercriminels qui tentent d’en profiter pour neutraliser leurs activités le plus rapidement possible.LIEN