Une étude décrit l’anatomie d’une attaque d’un ransomware, de l’infection à la demande de rançon. Un exemple à retenir pour les DSI.
Les chercheurs en sécurité ont révélé l’anatomie d’une attaque de rançongiciel pour illustrer comment les cybercriminels ont accédé à un réseau pour installer un rançongiciel, le tout en seulement deux mois. Des chercheurs de la firme de sécurité technologique Sentinel One ont enquêté sur un serveur utilisé par des cybercriminels en octobre 2019 pour transformer un petit trou de sécurité dans un réseau d’entreprise en une attaque basée sur le ransomware Ryuk.
Selon cette précieuse étude, le réseau a été initialement infecté par le malware Trickbot. Après que des logiciels malveillants aient traversé le réseau, les pirates ont commencé à analyser la zone pour savoir à quoi ils avaient accès et comment en tirer parti. « Au fil du temps, ils creusent le réseau et essaient de le cartographier et de comprendre à quoi il ressemble. Ils ont un but et leur but est de monétiser les données, le réseau pour leur gain illégal », a déclaré Joshua Platt, un Sentinel Un chercheur, interviewé par ZDNet.
« Ils comprennent déjà qu’il existe un potentiel pour gagner de l’argent et cherchent à étendre cet effet de levier », explique le chercheur en détaillant leurs motivations. Une fois que les pirates ont décidé d’exploiter la brèche dans le réseau, ils utilisent des outils tels que PowerTrick et Cobalt Strike pour sécuriser leur emprise sur le réseau et l’explorer davantage, à la recherche de ports ouverts et d’autres appareils auxquels ils pourraient accéder.
Un ransomware particulièrement virulent
Ce n’est qu’à ce moment-là qu’ils décident de passer à la phase des besoins de solution. Selon Sentinel One, il a fallu environ deux semaines pour passer de la première infection TrickBot au profilage réseau, puis aux attaques de logiciels malveillants Ryuk. « Sur la base de l’horodatage, nous pouvons deviner l’attente de deux semaines », explique la société. Pour rappel, Ryuk a été vu pour la première fois en août 2018 et était responsable de plusieurs attaques dans le monde, selon le communiqué du National Cybersecurity Center au Royaume-Uni l’année dernière.
Il s’agit d’un logiciel de rançon ciblé: la rançon est fixée en fonction de la capacité de paiement de la victime, et il peut s’écouler plusieurs jours voire plusieurs mois entre la première infection et l’activation de la rançon. ransomware car les pirates ont besoin de temps pour identifier les systèmes réseau les plus critiques. Mais le NCSC a déclaré que le retard donne également aux défenseurs une fenêtre d’opportunité pour empêcher les ransomwares de lancer l’attaque s’ils peuvent détecter la première infection.
Selon le FBI, Ryuk est un projet extrêmement lucratif pour ses promoteurs criminels, générant environ 61 millions de dollars de rançon entre février 2018 et octobre 2019. Le fait que Ryuk ait réussi à forcer les entreprises à payer une rançon signifie que les escrocs ont un coffre de guerre arrondi qu’ils peuvent affiner leurs attaques. « Bien sûr, cela va augmenter; ils ont maintenant plus d’argent et plus de capacité pour embaucher encore plus de talents », prévient Joshua Platt.LIEN
Le courrier électronique était autrefois la principale méthode de distribution des ransomwares. Maintenant, de nouvelles formes de ransomware l’utilisent à nouveau.
Les attaques de ransomwares par e-mail sont à nouveau en hausse, avec plusieurs nouvelles familles de ransomwares récemment distribuées via des messages de phishing.
Le courrier électronique a été le moyen le plus productif d’infecter les victimes avec des rançongiciels pendant un certain temps, mais ces dernières années, les attaquants ont réussi à utiliser des ports RDP externes, des serveurs publics non sécurisés et d’autres vulnérabilités de réseau d’entreprise pour crypter des réseaux entiers – ce qui nécessite souvent des centaines de milliers de dollars pour accéder à nouveau aux données.
Ces dernières semaines, cependant, les chercheurs de Proofpoint ont constaté une augmentation du nombre d’attaques de ransomwares distribuées par e-mail. Certains escrocs ont envoyé des centaines de milliers de messages chaque jour. Les attaques par e-mail utilisent une variété de leurres pour inciter les gens à les ouvrir, y compris les lignes d’objet liées au coronavirus.
L’une des plus grandes campagnes de messagerie électronique est celle d’un nouveau ransomware appelé Avaddon: en une semaine en juin, ce ransomware a été distribué dans plus d’un million de messages, ciblant principalement des organisations aux États-Unis. Avaddon utilise une technique assez basique comme leurre, avec des lignes de sujet prétendant se rapporter à une photo de la victime, attaquant la vanité ou l’insécurité potentielle de la victime. Si la pièce jointe est ouverte, elle télécharge Avaddon à l’aide de PowerShell.
Les ordinateurs infectés mettent une rançon qui nécessite 800 $ en bitcoins en échange d’un « logiciel spécial » pour décrypter le disque dur.
Les gens à la croisée des chemins
L’attaquant derrière Avaddon offre une assistance 24h / 24 et 7j / 7 pour garantir que les victimes disposent des outils nécessaires pour payer la rançon et avertit que si les utilisateurs tentent de récupérer leurs fichiers sans payer, ils risquent de les perdre pour toujours.
Une autre campagne de ransomware par e-mail, détaillée par des chercheurs, a été baptisée « Mr. Robot ». Il cible les entreprises de divertissement, de fabrication et de construction à travers les États-Unis. Les messages prétendument émanant du ministère de la Santé ou des Services de santé utilisent des sujets liés aux résultats du test Covid-19 dans le but d’encourager les victimes à cliquer sur un lien pour afficher un document.
Si la victime clique dessus, un ransomware est installé et les attaquants ont besoin de 100 $ pour récupérer les fichiers. C’est une petite quantité par rapport à de nombreuses campagnes de rançongiciels, ce qui suggère que ce malware cible les utilisateurs à domicile plutôt que les entreprises.
Mais non seulement les organisations en Amérique du Nord sont confrontées à un nombre croissant d’attaques par ransomware de messagerie: elles visent également l’Europe.
Les chercheurs notent que le ransomware de Philadelphie – qui revient après une aberration de trois ans – est destiné aux entreprises alimentaires et de fabrication allemandes avec des leurres de langue allemande qui prétendent provenir du gouvernement allemand.
Les e-mails prétendent contenir des informations sur la fermeture éventuelle de l’entreprise en raison de la pandémie de Covid-19 et exhortent la victime à cliquer sur un lien: s’ils le font, le rançongiciel Philadelphie est installé, avec une note en anglais exigeant le paiement de 200 $.
Alors que le nombre d’attaques par ransomware par courrier électronique est encore faible par rapport à 2016 et 2017, lorsque Locky, Cerber et GlobeImposter étaient massivement distribués, le récent pic des attaques par courrier électronique montre à quel point les cybercriminels peuvent être flexibles.
«Il est raisonnable de dire que les attaques de ransomwares basées sur les e-mails sont laissées dans l’esprit des acteurs malveillants. Ils ont tendance à être flexibles et agiles dans leur travail », a déclaré Sherrod DeGrippo, directeur principal de la recherche et de l’enregistrement des menaces chez Proofpoint.
«Ils veulent se concentrer sur ce qui donne le plus de gain financier et changer de tactique pour obtenir les meilleurs résultats. Cela peut être un simple test d’eau pour voir quels taux de réussite sont disponibles avec cette méthode », a-t-elle ajouté.
L’une des raisons pour lesquelles certains attaquants ont pu revenir au courrier électronique est le nombre de personnes travaillant à distance et la dépendance à l’égard du courrier électronique qu’il implique. « Le courrier électronique permet aux acteurs malveillants de s’appuyer sur le comportement humain pour réussir en un seul clic », a déclaré DeGrippo.
Dans de nombreux cas, il est possible de se défendre contre les ransomwares – et autres attaques de logiciels malveillants – en s’assurant que les réseaux sont corrigés avec les dernières mises à jour de sécurité, empêchant les attaquants d’exploiter les vulnérabilités logicielles connues.
Cependant, les entreprises doivent également prévoir de tenir compte du fait qu’à un moment donné, quelqu’un cliquera par erreur sur un lien malveillant dans un e-mail de phishing.
« Les entreprises doivent supposer que quelqu’un de leur organisation cliquera et développera toujours une stratégie de sécurité qui protège d’abord les gens », a déclaré DeGrippo.
« Les entreprises doivent veiller à évaluer la vulnérabilité des utilisateurs finaux et à tirer des enseignements des menaces actuelles en leur fournissant des compétences utiles pour se protéger au travail et dans leur vie personnelle. »
Les auteurs du rançongiciel Shade mettent fin aux opérations
Des pirates informatiques derrière des ransomwares connus sous le nom de Shade, Troldesh ou Encoder.858 annoncent la fin de leurs activités. Dans un message étonnant sur Github, ils s’excusent auprès de leurs victimes et publient 750 000 clés de décryptage ainsi que des logiciels de cybercriminels pour décrypter les données sur les machines infectées.
Shade Ransomware est opérationnel depuis environ 2014. Contrairement à d’autres familles de ransomwares qui évitent de chiffrer les stations tierces en Russie et dans d’autres pays de l’ex-Union soviétique, Shade les a ciblées depuis la Russie et l’Ukraine.
Michael Gillespie, créateur de l’ID Ransomware du site d’identification des ransomwares, rapporte que les demandes d’informations s’y rapportant étaient régulières dans les années précédant la fin de l’année précédente, date à laquelle elles ont commencé à décliner. La création récente d’une archive GitHub révèle la raison de ce déclin. En résumé, les auteurs du ransomware ont déclaré avoir cessé de mener des attaques fin 2019.
« Nous sommes l’équipe qui a créé un cheval de Troie, principalement connu sous le nom de Shade, Troldesh ou Encoder.858. En fait, nous avons cessé de le distribuer fin 2019. Nous avons maintenant décidé de mettre fin à cette histoire et de publier tous Nous avons également des clés de déchiffrement en notre possession (plus de 750 000 au total), nous publions également notre logiciel de déchiffrement et espérons également que lorsque les fournisseurs d’antivirus, lorsqu’ils auront les clés de déchiffrement, pourront publier des outils de déchiffrement plus conviviaux. l’activité (y compris le code source du cheval de Troie) est irrémédiablement corrompue. Nous nous excusons auprès de toutes les victimes du cheval de Troie et espérons que les clés que nous avons libérées les aideront à récupérer leurs données « , ont-ils déclaré.
Fondamentalement, l’archive GitHub contient 5 clés de déchiffrement principales, plus de 750 000 clés de déchiffrement individuelles, des instructions sur la façon de les utiliser et un lien vers leur logiciel de déchiffrement.
Kaspersky a confirmé la validité de ces clés. L’éditeur met à jour son outil RakhniDecryptor pour faciliter la tâche aux victimes souhaitant récupérer leurs données. Contrairement à d’autres groupes de hackers spécialisés dans les ransomwares, l’équipe derrière Shade était principalement active en Ukraine et en Russie.
LG et Xerox, toutes nouvelles victimes pour Maze? Le groupe de cybercriminalité derrière le ransomware vient d’ajouter les deux multinationales à son emplacement vitrine. C’est sur la liste des entreprises qui « refusent de coopérer » et « tentent de camoufler l’attaque ». Quant à LG
LG et Xerox attaqués par Maze?
Le groupe de cybercriminalité derrière le ransomware vient d’ajouter les deux multinationales à son emplacement vitrine. C’est sur la liste des entreprises qui « refusent de coopérer » et « tentent de camoufler l’attaque ».
Concernant LG, une première archive (.rar) est publiée. Il contiendra env. 1% des données volées au groupe coréen. Le mot de passe le protégeant « sera livré ultérieurement ».
Le butin total comprendra, entre autres, 40 Go de code source pour les produits livrés à « une entreprise mondiale de télécommunications ».
Une capture d’écran suggère qu’il s’agit d’AT & T. Il existe un fichier KDZ qui correspond au format de firmware LG. Un autre écran affiche une liste de fichiers Python. La propriété du code est associée au domaine lgepartner.com, enregistré au nom de LG Electronics.
Les cas LG et Xerox l’illustrent: les créateurs de Maze se sont fait connaître pour leurs communications « offensives ».
Un de leurs sites Internet a actuellement une note datée du 22 juin 2020. Il prépare le rapport du « suicide » qui engage les entreprises qui tentent de récupérer elles-mêmes leurs données.
« Certains ont entamé le processus fin 2019 et sont toujours à la recherche d’une solution », peut-on lire. En moyenne, les deux fois et demi ont payé plus que la taille de notre première offre. «
Et vivez quelques chiffres où que vous soyez:
Coût de récupération moyen: 60 millions de dollars
Amendes et poursuites coûtent de 18 à 37 millions de dollars
Après la divulgation des données, une perte moyenne de 50 à 60 millions de dollars pour les grandes entreprises. Certaines très grandes entreprises ont perdu entre 250 et 350 millions de dollars.
Une nouvelle famille de ransomwares, que ESET a nommée CryCryptor, a ciblé les utilisateurs d’Android au Canada sous la forme d’une application de suivi COVID-19 officielle. ESET a mis fin à l’attaque.
Avec un tweet annonçant la découverte de ce qui semblait être un malware de banque Android, les chercheurs d’ESET ont découvert une campagne de ransomware ciblant les utilisateurs d’Android au Canada. En utilisant deux sites sur le thème de COVID-19, les militants ont encouragé leurs victimes à télécharger des ransomwares déguisés en un outil de suivi COVID-19 officiel. Les deux sites ont depuis été déconnectés. Les chercheurs d’ESET ont développé un outil de décryptage pour les victimes de CryCryptor grâce à une erreur d’application malveillante.LIEN
Après que la rançon NetWalker a verrouillé plusieurs serveurs de sa faculté de médecine, l’UCSF a payé la rançon pour décrypter les données et restaurer le fonctionnement des systèmes affectés.
29 juin 2020 – L’Université de Californie à San Francisco a récemment payé une demande de rançon de 1,14 million de dollars après que les acteurs de la menace NetWalker aient infecté plusieurs serveurs de sa School of Medicine avec une rançon, rapporté pour la première fois par Bloomberg.
Les acteurs de la menace NetWalker ont suivi la voie du tristement célèbre groupe de piratage de rançongiciels Maze. Les pirates prennent d’abord pied sur le réseau des victimes, se déplacent latéralement sur le réseau à travers des appareils vulnérables, puis volent des informations précieuses avant de lancer la charge utile du ransomware.
Les chercheurs ont récemment averti que NetWalker avait depuis étendu ses opérations à un modèle RaS (Ransomware-as-a-Service) pour s’associer à d’autres cybercriminels expérimentés et cibler le domaine des soins de santé dans le cadre de la pandémie de COVID-19. Le district de santé publique de Champaign-Urbana de l’Illinois a été victime du rançongiciel NetWalker en mars.LIEN
Les ransomwares restent la cyber-menace la plus courante pour les PME, selon une étude Datto auprès de plus de 1 400 décideurs politiques gérant des systèmes informatiques dans les PME.
Les PME, une cible majeure pour les pirates
Généralement, les grandes entreprises ont des systèmes de sécurité plus avancés, tandis que les petites entreprises n’ont pas les ressources et les ressources pour sécuriser sérieusement leur infrastructure informatique. Et les pirates l’ont compris.
Le nombre d’attaques de rançongiciels contre les PME est en augmentation. Quatre-vingt-cinq pour cent des MSP ont signalé des attaques contre les PME en 2019, contre 79% des MSP qui en ont fait état en 2018.
De plus, il y a une réelle rupture de l’importance des ransomwares en tant que menace. 89% des MSP déclarent que les PME devraient être très préoccupées par la menace des ransomwares. Cependant, seulement 28% des MSP disent que les PME sont très préoccupées par la menace
Comment vous en protégez-vous?
Il existe de nombreuses recommandations pour réduire le risque d’attaques, telles que la formation des employés à risque de cybersécurité, la mise à jour des systèmes, le renforcement des politiques de mot de passe, etc. Cependant, et surtout en matière de sécurité informatique, il n’y a pas de risque nul.
Il existe trois scénarios de défense pour ce type d’attaque:
Atténuation des risques: cela implique la mise en œuvre de solutions pour réduire le risque d’attaques. L’un des contrôles les plus efficaces pour se protéger contre les accès non autorisés est l’authentification multifactorielle. Préparation pour un processus de récupération: Il s’agit ici de préparer une attaque et de répondre après l’attaque. Surtout, ne payez pas la rançon car vous n’êtes pas sûr de récupérer vos données. Votre meilleure arme est de faire une sauvegarde régulière de vos données pour vous assurer de restaurer toutes vos données. Détection et approche proactive: cette procédure consiste à détecter et à stopper l’attaque avant que les dégâts ne se produisent. Si vous disposez d’un système de détection des attaques de ransomwares, vous pouvez l’arrêter avant que vos données ne soient cryptées.LIEN
Une campagne de rançongiciels, appelée Hakbit, cible les employés de niveau intermédiaire en Autriche, en Suisse et en Allemagne avec des pièces jointes Excel malveillantes fournies par le célèbre fournisseur de messagerie GMX.
La campagne de spear-phishing est de faible volume et a jusqu’à présent ciblé les secteurs pharmaceutique, juridique, financier, des services aux entreprises, du commerce de détail et des soins de santé. Les campagnes à faible volume, parfois appelées attaques de spam en raquettes, utilisent plusieurs domaines pour envoyer des rafales relativement petites de faux e-mails pour contourner la réputation ou le filtrage du spam en fonction du volume.
« La plus grande quantité de messages que nous avons observés a été envoyée aux secteurs de la technologie de l’information, de la fabrication, de l’assurance et de la technologie », ont écrit les chercheurs de Proofpoint dans une analyse lundi. Ils ont noté que << la majorité des rôles ciblés dans les campagnes Hakbit concernent les clients, les coordonnées des individus étant divulguées publiquement sur les sites Web et / ou les publicités du cabinet. Ces rôles comprennent les avocats, les conseillers à la clientèle, les directeurs, les conseillers en assurance, les PDG. et chefs de projet. «
Les e-mails de spear phishing originaux utilisent un leurre financier avec des lignes d’objet telles que « Fwd: Steuerrückzahlung » (Traduit: Tax Payment) et « Ihre Rechnung (Translated: Your Bill) ». Les e-mails sont fournis par un fournisseur de services de messagerie gratuit (GMX) qui dessert principalement une clientèle européenne.
«C’était une campagne à faible volume. GMX est largement utilisé et bien connu en Europe germanophone, il a donc confiance dans la reconnaissance des noms », a déclaré à Threatpost Sherrod DeGrippo, directeur principal de la recherche sur les menaces chez Proofpoint. « Il s’agit d’un service de messagerie gratuit, il est donc difficile de suivre et de menacer les joueurs susceptibles de générer plusieurs comptes. »
Les pièces jointes aux e-mails sont supposées être de fausses factures et remboursements de taxes. Une adresse e-mail prédit 1 & 1, une entreprise allemande de télécommunications et d’hébergement Web, indiquant à la victime que la pièce jointe à un e-mail, par exemple, est une facture.
Lorsque les pièces jointes Microsoft Excel sont ouvertes, elles demandent ensuite aux victimes d’activer les macros. Il télécharge et exécute à nouveau GuLoader. GuLoader est un compte-gouttes largement utilisé qui compromet les cibles et fournit des logiciels malveillants de deuxième étape. Il est constamment mis à jour tout au long de 2020 avec de nouvelles techniques d’évitement de sandbox sportif binaire, des fonctionnalités de randomisation de code, un cryptage URL de commande et de contrôle (C2) et un cryptage supplémentaire de la charge utile.
sous les projecteurs plus tôt en juin, après que les enquêteurs ont affirmé qu’une entreprise italienne avait vendu ce qu’elle décrit comme un outil de cryptage légitime – mais qu’il a en fait été utilisé comme package de malware pour GuLoader.
Dans cette campagne, lorsque GuLoader est en cours d’exécution, il télécharge puis exécute Hakbit, un utilitaire bien connu qui chiffre les fichiers à l’aide du chiffrement AES-256. Hakbit existe depuis au moins 2019 et a fait plusieurs victimes confirmées, y compris des utilisateurs à domicile et des entreprises aux États-Unis et en Europe, selon Emsisoft. On pense que Hakbit est lié au ransomware Thanos – Dans une analyse récente du ransomware Thanos, les chercheurs de Record Future ont évalué « en toute confiance » que les exemples de ransomware suivis pendant que Hakbit étaient construits à l’aide du constructeur de ransomware Thanos développé par Nosophoros (basé sur la codabilité, la réutilisation rigoureuse, l’extension du rançongiciel et le format des notes de rançon).
Lorsque Hakbit crypte les fichiers des victimes, il publie une note exigeant un paiement de 250 euros en bitcoin pour déverrouiller les fichiers cryptés et donne des instructions sur la façon de payer la rançon.
Ransomware HackBit. Au 16 juin 2020, les chercheurs ont déclaré n’avoir trouvé aucune transaction montrant le paiement d’une rançon pour le portefeuille Bitcoin. Threatpost a atteint Proofpoint sur le nombre d’entreprises ciblées par Hakbit – et sur le nombre de ces cibles qui ont été compromises.
Quoi qu’il en soit, les chercheurs affirment que la campagne provient uniquement de plusieurs campagnes de « ransomware » à faible volume et souvent « boutique » qui ont frappé les victimes depuis janvier 2020.
« Les chercheurs de Proofpoint ont récemment identifié un changement dans le paysage des menaces avec une campagne de rançongiciels Avaddon à grande échelle qui était conforme aux récents rapports des fournisseurs open source », ont-ils déclaré. « Hakbit illustre une campagne de ransomware centrée sur les personnes, adaptée à un public, un rôle, une organisation et une langue maternelle spécifiques à l’utilisateur. » LIEN
Beazley a observé une explosion de cyber-attaques de ransomwares l’année dernière. Hiscox estime que le nombre d’entreprises touchées par un incident de cybersécurité a diminué. Mais que les pertes induites ont considérablement augmenté.
Publié au début d’avril de l’année dernière, Beazley Breach Briefing 2020 a signalé une augmentation de 131% des attaques signalées contre les clients des assureurs l’année dernière. Le rapport s’appuie sur les données de 775 incidents de cybersécurité liés aux ransomwares. Et pour Beazley, c’est une véritable explosion: en 2018 et 2017, il n’avait enregistré qu’une augmentation de 20% et 9% respectivement pour ce type de cyberattaque. Et pour aggraver les choses, « les montants exigés par les cybercriminels ont également augmenté de façon exponentielle avec des demandes à sept ou huit chiffres, ce qui n’est pas inhabituel ».
Mais cette tendance à la hausse de la rançon n’est pas spécifique à l’année écoulée. Pour Katherine Keefe, chef des Services d’intervention en cas de violation de Beazley (BBR), «les opérations de ces délinquants sont couronnées de succès et elles ont été détournées». Et pour souligner qu’ils « sont également intéressés par des choses comme la taille de l’organisation et la façon dont ils se présentent sur leur propre site Web. En général, plus l’organisation est grande, plus la demande est grande ». rançon partagée: de l’ordre de dizaines de milliers de dollars pour les petites structures, jusqu’à plus de dix millions de dollars pour les grandes organisations.
Le rapport de Beazley ne dit pas combien de clients ont choisi de faire du chantage car l’éditeur ne divulgue pas ces informations. Mais lorsqu’un client choisit de payer, Beazley travaille avec Coveware. Début mai, ce dernier a déclaré un montant moyen par Incident de 111605 $ au premier trimestre 2020, 33% de plus qu’au dernier trimestre 2019.
Dans un article de blog, le consultant a attribué cette augmentation au fait que « les distributeurs de ransomware ont de plus en plus ciblé les grandes entreprises et ont réussi à les forcer à payer une rançon pour récupérer leurs données ». Si le constat apporte peu d’indicateurs rassurants sur les garanties de ces grandes entreprises, Coveware a assuré que « les gros versements de rançons constituent une minorité en volume ». Mais ils ont donc remonté la moyenne.
Sur la base du nombre d’échantillons soumis sur le service d’identification des rançongiciels ID Ransomware, Emsisoft a estimé début février que ce malware avait coûté un peu plus de 485 millions de dollars en France en 2019 – pour la rançon uniquement. Depuis Hexagon l’an dernier, plus de 8 700 échantillons ont été déposés à des fins d’identification. Compte tenu de l’interruption d’activité, Emsisoft a estimé le coût de ces attaques pour les organisations françaises à environ 3,3 milliards de dollars.
Hiscox, dans son récent rapport annuel sur la gestion des cyberrisques, montre que 18% des entreprises françaises qui ont été agressées tant paient une rançon. Ainsi, sur l’ensemble de l’échantillon, outre la France uniquement, « les pertes ont été presque trois fois plus importantes pour les entreprises victimes d’une attaque par rançongiciel que pour celles qui ont subi un [simple] malware » soit 821 000 € contre 436 000 € … et que la rançon ait été payée ou non. Mais en France, 19% des victimes de ransomwares affirment avoir pu récupérer leurs données « sans avoir à payer la rançon ». Cependant, cela suggère la possibilité que les autres se soient repliés devant leurs assaillants.
En fait, lorsque Hiscox parle de logiciels malveillants, il couvre également ceux qui peuvent être utilisés pour insérer des ransomwares. Pour l’assureur, « les chiffres montrent l’importance de la détection avant qu’un malware ne devienne un ransomware ». Et souligner que les attaques se déroulent souvent en plusieurs étapes, ce qui laisse du temps pour la détection. SentinelOne a ainsi observé une attaque impliquant TrickBot avant d’installer le rançongiciel Ryuk: entre les deux, deux semaines se sont écoulées. Pour Hiscox, c’est très simple: « Les entreprises disposant de bonnes capacités de détection peuvent arrêter une attaque pendant ce temps et ainsi subir des désagréments moins durables, avec un coût global moindre et moins d’impact sur les affaires ».LIEN
Le ransomware est un malware qui crypte les données sur les machines qu’il infecte. Les personnes ou entités à l’origine de l’attaque demandent alors le paiement d’une rançon en échange de la clé de déchiffrement des systèmes concernés. La conférence organisée par le Cyber Club par EGE le mardi 20 mai 2020 avait pour objectif de jeter les bases d’une gestion de crise pour une entreprise victime d’un tel processus. Béatrice Ghorra, ingénieure avant-vente spécialisée dans les produits de sécurité des centres de données et de l’environnement cloud au CISCO et enseignante à la School of Economic Warfare, était la modératrice de cette conférence.
ransomware
En juin 2017, Wannacry a fait la une des ransomwares pour tous les médias. Ce fut l’attaque informatique la plus massive de l’histoire du domaine. La publicité sur l’incident est un tournant pour le monde de la cybersécurité et les problèmes qui en découlent car ils sont mis en avant. Le discours des professionnels de la discipline est alors légitimé là où ils avaient déjà eu du mal à entendre. Le ransomware, pour le désigner avec le terme français, représente toujours une menace de premier ordre. Selon le CERT France, il s’agit même du risque le plus grave pour les entreprises. La crise actuelle associée à COVID-19 et le succès des campagnes malveillantes liées à l’essor du télétravail en témoignent: particuliers, professionnels, PME ainsi que multinationales, personne n’est à l’abri.
Il est nécessaire de bien comprendre comment ces attaques fonctionnent et les mentors des attaquants pour mieux gérer le risque et la crise si nécessaire. Depuis l’avènement de ce mode de fonctionnement dans les années 80, les attaquants ont affiné leurs techniques et méthodes d’accès aux systèmes d’information. On voit que l’attaquant cherche toujours des portes dérobées. Ils ne veulent pas attaquer le système de front, mais contourner autant que possible les couches de sécurité. En particulier, parmi les vecteurs qui permettent l’infection figurent:
Campagnes de phishing, désormais précédées d’opérations d’ingénierie sociale pour personnaliser les e-mails et optimiser la pénétration.
L’annonce erronée ou « téléchargement en voiture » qui vous permet de démarrer des téléchargements instantanés via des fenêtres contextuelles qui redirigent vers d’autres pages.
Ils ont oublié ou dépassé des machines dans un système d’information. Il existe de nombreuses plates-formes que vous pouvez acheter des informations d’identification pour vous connecter à l’équipement d’une multitude d’entreprises à des prix élevés.
Les fameux périphériques USB, mais non moins efficaces, ont été perdus.
À titre d’exemple, voici le mode de fonctionnement de Loki, une solution qui est apparue pour la première fois en 2013:
Un fichier PDF est capturé et envoyé en pièce jointe à un e-mail soigneusement conçu afin que le destinataire ne se méfie pas d’eux et n’ouvre pas le fichier. Cette action exécute un extrait de code trouvé dans la pièce jointe qui ouvre un canal de communication vers un serveur de commande et de contrôle (C2) sous le contrôle de l’attaquant. Ce serveur télécharge instantanément un ransomware et une clé de cryptage. Le logiciel analyse ensuite méthodiquement le disque dur de l’utilisateur et crypte tous ses fichiers. Ensuite, l’ordinateur est crypté. Un message et un compte à rebours apparaissent sur l’écran montrant les instructions de paiement, souvent associées à la crypto-monnaie, ce qui rend le suivi difficile, permettant aux données de la machine cryptée d’être restaurées.
Certains ransomwares tentent également de se propager latéralement, c’est-à-dire vers toutes les stations voisines pour paralyser complètement un maximum d’équipements. Il a fallu environ sept minutes à NotPetya pour chiffrer l’intégralité du système d’information de Maersk, la plus grande société de transport de conteneurs au monde.
Cependant, les entreprises sont de moins en moins susceptibles de payer la rançon, ce qui équivaut à des montants vertigineux, nous parlons de dizaines de millions de dollars pour les plus importantes. Sophos estime qu’il est toujours plus rentable pour l’entreprise de ne pas payer car les dommages sont déjà présents et qu’il n’y a aucune garantie que l’attaquant tiendra sa parole et fournira la clé de déchiffrement. Ces derniers se sont donc adaptés et procèdent désormais à l’extraction des données par l’entreprise pour obtenir un effet de levier supplémentaire en menaçant leurs victimes de la diffusion des informations ainsi collectées en public.
Les attaquants à l’origine de la campagne de rançongiciels Maze, qui a vu le jour en novembre 2019, maintiennent ainsi un site Web sur lequel ils publient des informations d’entreprises qui refusent de payer la rançon. Maze a également la particularité d’être au cœur d’une attaque dite à long cycle. Une fois qu’une machine a été infectée, une semaine est consacrée à la reconnaissance et à la collecte d’informations utiles sur l’architecture réseau de l’entreprise, les employés et leurs informations d’identification, les comptes d’utilisateurs, etc. La semaine suivante est consacrée aux mouvements latéraux et au filtrage des données à installer dans autant de machines que possible et à maximiser les chances de paiement. Enfin, au cours de la troisième semaine de la campagne, les attaquants tentent de transiger avec Active Directory (serveur central et critique qui donne à la personne en contrôle ce qu’elle veut au sein du système d’information) et implémentent le labyrinthe sur toutes les machines infectées.
Il est important de réaliser que chaque ransomware observé est spécialisé dans ses modes d’attaque. Les canaux d’entrée et de sortie sont très différents. Certains profitent d’erreurs logicielles non corrigées, d’autres préfèrent les vulnérabilités liées aux navigateurs Web ou à certains protocoles de communication. Cette gamme d’opportunités est très bien représentée dans le marché des ransomwares en tant que service (RaaS) qui s’est développé à un rythme rapide ces dernières années. Les développeurs de ce logiciel ont en fait eu la brillante idée de vendre leur logiciel en échange d’une partie du correctif qui a été soulevé. Par conséquent, l’expertise en développement n’est plus nécessaire pour la création d’une campagne de ransomware ciblée! Il s’agit d’un changement très important car il élargit la portée des attaquants potentiels.
gestion de crise
L’impact d’une attaque de ransomware réussie est énorme pour une entreprise. Cela n’endommage pas seulement le système d’information d’une entreprise. Tout son écosystème est affecté. La confiance que nous lui accordons s’évapore, ses parts de marché chutent, ses partenaires, parties prenantes et fournisseurs en souffrent également, l’impact économique qui en résulte étant parfois fatal à la victime qui pourrait tomber sous le coup du RGPD dont les données personnelles sont filtrées. C’est pourquoi il est important de bien gérer une telle crise si elle survient pour permettre à l’entreprise de se remettre sur pied, de contrôler et d’atténuer les dommages causés.
Avant la crise, l’entreprise doit anticiper au maximum les difficultés. Définir une feuille de route ainsi qu’un Business Continuity Plan (BCP), l’adapter au contexte et au développement des attaquants, ce qui implique de surveiller la menace. Déterminer qui fait partie de la cellule de crise, quelle est la responsabilité de chaque membre ou même définir où cette cellule doit être créée? Autant de questions auxquelles il est possible et souhaitable de répondre avant la crise.
De plus, l’utilisation de certaines meilleures pratiques peut limiter l’exposition ou l’impact de l’attaque si nécessaire. Parmi ces bonnes pratiques, citons l’utilisation et les tests réguliers des sauvegardes pour éviter de perdre toutes les données chiffrées. Cela a sauvé Maersk lors de l’attaque de NotPetya, une combinaison de circonstances qui leur a permis de garder une sauvegarde intacte. Cette sauvegarde a complètement empêché la perte de tout le contenu de leur système d’information. D’un autre côté, une analyse régulière des risques vous donne une bonne idée des produits importants que l’entreprise souhaite protéger à tout prix. Il s’agit du point de départ d’actions qui rendront l’accès des tiers à ces ressources beaucoup plus difficile. La surveillance des canaux d’information tels que le courrier électronique et Internet, en particulier via le filtrage DNS et l’utilisation de solutions comme SIEM, vous permet de contrôler les flux qui transitent par l’entreprise. Désactivez les services obsolètes ou inutiles, mettez à jour les systèmes régulièrement, effectuez des tests de pénétration, toutes ces pratiques contribuent à assurer la résilience des entreprises résilientes en cas d’attaque réelle. Le plus élémentaire de tous, cependant, continue de placer les utilisateurs au cœur du processus de sécurité car ils sont le premier matériel de défense de l’entreprise. Les bons réflexes des employés font souvent la différence entre une crise maîtrisée qui cause des dommages tangibles et une catastrophe qui menace la vie d’une entreprise.
Cependant, si cette attaque se produit, la priorité est de déclencher l’alarme et de contenir l’attaque pour empêcher sa propagation en isolant la partie infectée du reste du système d’information. Un bon réflexe à avoir est de documenter l’ensemble du processus pour faciliter les étapes suivantes. Prenez des photos d’écrans, de messages reçus, d’adresses spécifiées, tout ce qui peut constituer un chemin vers l’attaquant doit être enregistré et notifié. Notez qu’il n’est pas recommandé de désactiver les ordinateurs infectés pour les mêmes raisons pour une enquête plus approfondie. Préférez simplement les déconnecter du réseau et assurez-vous qu’ils ne communiquent pas avec le reste du système d’information.
À ce stade, et si l’entreprise n’a pas les compétences, il est impératif qu’elle obtienne l’aide et l’assistance d’entreprises spécialisées dans l’atténuation de l’attaque. Une fois de plus, l’expérience de Maersk sert d’exemple dans ce domaine. Leur communication de crise a permis à leurs partenaires et autorités compétentes de les aider à se remettre le plus rapidement possible. Les experts contactés par l’entreprise pourront appliquer les corrections nécessaires aux systèmes qui en ont besoin, s’assurer que le reste de l’infrastructure ne risque pas d’être réinfecté et pourra assurer la transition vers l’analyse médico-légale.
Cette dernière partie de la gestion de crise vise à déterminer l’origine de l’attaque, à documenter son mode de fonctionnement et tous les aspects techniques s’y rapportant pour établir un post-mortem de la situation et un retour d’expérience. Cette documentation est d’autant plus précieuse qu’elle peut servir de guide à d’autres entreprises et éventuellement les aider à se remettre de la crise qui pourrait les affecter. De plus, cette analyse ainsi que l’expérience de l’entreprise doivent être utilisées. Il est impératif d’apprendre de ce qui s’est passé et de mettre en œuvre les mesures qui serviront à vous protéger à l’avenir.
En conclusion, il existe de nombreuses façons de le gérer, bien qu’il soit impossible d’être insensible aux risques associés aux ransomwares. La préparation joue un rôle important comme nous l’avons vu. Il est donc conseillé de se donner les moyens techniques, organisationnels et humains pour rester au courant et pouvoir réagir rapidement et efficacement si nécessaire. Une bonne préparation vous permet de vous concentrer sur l’essentiel au cœur de la crise. Cependant, communiquer correctement sur le test est important car il vous permet de rechercher une aide extérieure pour obtenir des ressources et des compétences que l’entreprise peut ne pas avoir en interne. Enfin, une victime de ransomware devrait être en mesure de tirer des leçons de ce qui lui est arrivé pour prévenir plus efficacement ce risque à l’avenir.LIEN
