ransomware revil
Opérations de sécurité

MTR en temps réel : combat au corps à corps avec le ransomware REvil

Il y a quelques semaines, une entreprise du secteur des médias, de taille moyenne et opérant sur une base 24/7, qui avait fait migrer certaines de ses activités critiques en ligne pendant la pandémie, s'est retrouvée embarquée dans un combat en temps réel avec les attaquants utilisant le ransomware REvil, lesquels étaient déterminés à récupérer une rançon de plusieurs millions de dollars. L'attaque a échoué, mais l'entreprise n'a pas encore complètement achevé son processus de récupération.

Début juin 2021, une détection de Cobalt Strike sur le réseau d’une entreprise du secteur des médias, de taille moyenne, a déclenché une alerte de sécurité. Cobalt Strike est un agent d’accès à distance largement utilisé par les adversaires comme précurseur d’une attaque de ransomware.

Les attaquants ont lancé un ransomware quelques heures plus tard, à 4 heures du matin, heure locale. Pendant les quatre heures qui ont suivi, l’équipe IT de la cible et celle Rapid Response de Sophos ont été embarquées dans un combat en temps réel avec les adversaires humains orchestrant cette attaque.

L’attaque a finalement échoué, mais pas avant que les attaquants n’aient chiffré les données sur des appareils non protégés, supprimé les sauvegardes en ligne et mis hors service un domaine en ligne et non défendu.

La demande de rançon laissée sur des appareils chiffrés exigeait un paiement de 2,5 millions de dollars (environ 2,1 millions d’euros) et a été signée par le ransomware REvil, également connu sous le nom de Sodinokibi.

Comment cette attaque a débuté ?

Le ransomware REvil fait partie de la catégorie ransomware-as-a-service, signifiant ainsi que ses clients cybercriminels peuvent louer le malware auprès de développeurs, puis utiliser leurs propres outils et ressources pour cibler et lancer l’attaque. La cible de ce client particulier utilisant le ransomware REvil était une entreprise du secteur des médias avec environ 600 appareils informatiques, dont 25 serveurs, et trois domaines Active Directory, qui étaient essentiels à l’entreprise pour lui permettre de maintenir ses activités 24h/24 et 7j/7.

La ruée vers les opérations à distance et en ligne

Comme tant d’entreprises au début de la pandémie de COVID-19, la cible s’était précipitée pour équiper et mettre en place des équipes distantes, et tous les appareils n’avaient pas le même niveau de protection. L’entreprise a également décidé de connecter à Internet un réseau qui était auparavant en mode air-gap. Ces actions allaient, malheureusement, lui être fatales.

Une fois à l’intérieur du réseau, les intrus se sont alors dirigés directement vers les appareils non protégés et les autres systèmes en ligne auxquels ils pouvaient accéder, installant leurs outils et les utilisant pour propager l’attaque à d’autres appareils.

Le déroulement de l’attaque

Lorsque l’équipe Rapid Response de Sophos est entrée en scène, elle a découvert que les attaquants avaient déjà réussi à compromettre un certain nombre de comptes et avaient pu se déplacer sans entrave au sein d’ordinateurs non protégés.

“L’un des plus grands défis de la réponse aux incidents est le manque de visibilité sur ce qui se passe sur les appareils non protégés”, a déclaré Paul Jacobs, responsable de la réponse aux incidents chez Sophos. “Nous pouvons voir et bloquer les attaques entrantes provenant de ces appareils vers un endpoint protégé, mais nous ne pouvons pas supprimer de manière centralisée les intrus présents sur ces appareils ou voir ce qu’ils y font”.

L’équipe a également examiné les applications logicielles installées sur les appareils pour rechercher celles qui pourraient être utilisées dans le cadre de cette attaque.

“En raison de la pandémie, il n’est pas rare de trouver des applications d’accès à distance installées sur les appareils des employés”, a déclaré Jacobs. “Lorsque nous avons vu Screen Connect sur 130 systèmes endpoint, nous avons supposé qu’il était là intentionnellement pour aider les personnes en télétravail. Il s’est avéré que l’entreprise n’en savait rien, les attaquants avaient en effet installé le logiciel pour s’assurer qu’ils pouvaient maintenir l’accès au réseau et aux appareils compromis.

Il ne s’agissait que d’un des nombreux mécanismes mis en œuvre par les attaquants pour mettre en place la persistance. Les attaquants ont également créé leur propre compte d’administrateur de domaine comme solution de secours après avoir volé un autre ensemble d’identifiants d’administrateur de domaine.

Combat au corps à corps

“Alors que l’attaque devenait de plus en plus bruyante, les attaquants savaient qu’ils seraient détectés et bloqués. Nous pouvions dire qu’ils savaient que nous étions là et qu’ils faisaient tout ce qu’ils pouvaient pour nous vaincre”, a déclaré Jacobs. “Nos produits de sécurité ont une fonction comportementale appelée CryptoGuard qui détecte et bloque les tentatives de chiffrement des fichiers même si la source est un appareil distant non protégé. Une fois que nous avions commencé à observer de telles détections, nous savions que le ransomware avait été lancé et que la bataille avait commencée”.

Les attaquants ont tenté à plusieurs reprises de pénétrer au sein d’appareils protégés et de chiffrer des fichiers, lançant des attaques à partir de différents appareils non protégés qu’ils avaient pu compromettre.

Chaque tentative a dû être bloquée et investiguée pour s’assurer qu’il ne se passait rien d’autre et qu’il n’y avait pas d’autres dommages, même si à ce moment-là, une autre tentative d’attaque était déjà en cours. Cette tâche a été rendue plus difficile que d’habitude car l’entreprise devait maintenir la plupart de ses serveurs en ligne pour prendre en charge les systèmes de diffusion 24h/24 et 7j/7.

Finalement, l’assaut a commencé à perdre en intensité. Le deuxième jour, des attaques entrantes étaient toujours détectées par intermittence, mais il était clair que la tentative d’attaque principale était terminée et avait échoué.

Les conséquences

Alors que les experts en réponse aux incidents et l’équipe de sécurité IT de l’entreprise faisaient le point, ils ont constaté que les dommages étaient principalement limités aux appareils et domaines non protégés. Le domaine en ligne précédemment en mode air-gap a été complètement détruit et devait être reconstruit et les sauvegardes en ligne avaient été supprimées. Cependant l’entreprise n’a pas été totalement paralysée par cette attaque, et elle n’a pas eu besoin de payer la rançon exorbitante demandée. Néanmoins, le restauration complète des capacités opérationnelles s’est avérée être assez lente et était toujours en cours au moment de la publication de cet article.

Les leçons apprises

“Dans la plupart des cas, au moment où nous sommes appelés, l’attaque a déjà eu lieu et nous sommes là pour aider à contenir, neutraliser et investiguer les conséquences éventuelles”, a déclaré Peter Mackenzie, manager de Sophos Rapid Response. “Dans ce cas-ci, nous étions présents alors que se déroulait la dernière phase de l’attaque et nous avons pu véritablement observer la détermination et la frustration croissante des attaquants, qui ont vraiment tout tenté, en utilisant tous les angles d’attaque possibles”.

Les experts de Sophos pensent que les défenseurs peuvent tirer deux leçons importantes de cet incident :

  1. La première concerne la gestion des risques. Lorsque vous apportez des modifications à votre environnement, par exemple en faisant passer un réseau de type air-gap à un réseau en ligne, comme dans le cas de cette entreprise, votre niveau de risque change. De nouveaux domaines de vulnérabilité s’ouvrent et les équipes de sécurité IT doivent comprendre et résoudre ce problème.
  2. La seconde concerne la préservation des données. Le premier compte compromis lors de cette attaque appartenait à l’un des membres de l’équipe IT. Toutes les données avaient été effacées et cela signifiait que des informations précieuses, telles que les détails de la violation d’origine, qui auraient pu être utilisées pour une analyse post-mortem et l’investigation à proprement parler, ont été perdues. Plus les informations sont conservées sous une forme non-altérée, plus il sera facile de voir ce qui s’est vraiment passé et s’assurer qu’un tel incident ne se reproduira plus.

Les recommandations

Sophos recommande les bonnes pratiques suivantes pour vous aider à vous défendre contre le ransomware REvil ainsi que d’autres familles de ransomwares et leurs cyberattaques associées :

  1. Surveiller et répondre aux alertes : assurez-vous que les outils, processus et ressources (personnes) appropriés soient disponibles pour surveiller, investiguer et répondre aux menaces observées dans l’environnement. Les attaquants utilisant les ransomwares planifient souvent leur assaut pendant les heures creuses, le week-end ou pendant les vacances, en partant du principe que peu ou pas d’employés seront présents.
  2. Définir et utiliser des mots de passe forts : les mots de passe forts constituent l’une des premières lignes de défense. Les mots de passe doivent être uniques ou complexes et ne jamais être réutilisés. Cette tâche sera facilitée si vous fournissez au personnel un gestionnaire de mots de passe qui pourra stocker leurs identifiants.
  3. Authentification multifacteur (MFA) : même les mots de passe forts peuvent être compromis. N’importe quelle forme d’authentification multifacteur sera bien meilleure qu’aucune pour sécuriser l’accès aux ressources critiques telles que la messagerie électronique, les outils de gestion à distance et les ressources du réseau.
  4. Verrouillez les services accessibles : effectuez des analyses du réseau de votre entreprise depuis l’extérieur et identifiez et verrouillez les ports couramment utilisés par le VNC, RDP ou d’autres outils d’accès à distance. Si une machine doit être accessible à l’aide d’un outil de gestion à distance, placez alors cet outil derrière un VPN ou une solution d’accès réseau de type zero-trust (confiance zéro) qui utilisera le MFA lors de sa connexion.
  5. Segmentation et Zero-Trust (Confiance Zéro) : séparez les serveurs critiques les uns des autres et aussi des postes de travail en les plaçant dans des VLAN distincts pendant la mise en œuvre d’un modèle de réseau zero-trust (confiance zéro).
  6. Effectuez des sauvegardes hors ligne des informations et des applications, maintenez-les à jour et conservez-en une copie hors ligne.
  7. Faites l’inventaire de vos ressources et de vos comptes : les appareils non protégés et non corrigés au sein du réseau augmentent les risques et créent une situation dans laquelle des activités malveillantes pourraient passer inaperçues. Il est donc essentiel de disposer d’un inventaire à jour de tous les ordinateurs et périphériques IoT connectés. Utilisez des analyses de réseau et des contrôles physiques pour les localiser et les cataloguer.
  8. Installez une protection à plusieurs couches pour bloquer les attaquants le plus possible et ce à de multiples points, et étendez cette sécurité à tous les endpoints que vous autorisez sur votre réseau.
  9. Configuration du produit : les systèmes et appareils sous-protégés sont également vulnérables. Il est important de vous assurer que les solutions de sécurité soient correctement configurées, de vérifier et de mettre à jour, si nécessaire, les politiques de sécurité régulièrement. Les nouvelles fonctionnalités de sécurité ne sont pas toujours activées automatiquement.
  10. Active Directory (AD) : effectuez des audits réguliers de tous les comptes dans AD, en vous assurant qu’aucun n’a plus d’accès que nécessaire pour mener à bien sa mission. Désactivez les comptes des employés sur le départ et ce dès qu’ils quittent l’entreprise.
  11. Corrigez tout : gardez Windows et les autres logiciels à jour. Cela signifie également qu’il faut vérifier que les correctifs ont été installés correctement et, en particulier, sont en place pour les systèmes critiques tels que les machines connectées à Internet ou les contrôleurs de domaine.

Conseils supplémentaires pour avoir un bon leadership en matière de sécurité

  1. Comprendre les tactiques, techniques et procédures (TTP) que les attaquants peuvent utiliser et savoir repérer les signes avant-coureurs annonçant une attaque imminente.
  2. Ayez un plan de réponse aux incidents qui soit continuellement revu et mis à jour pour refléter les changements au niveau de votre environnement IT et de vos activités commerciales et mieux appréhender leur impact sur votre posture de sécurité et votre niveau de risque.
  3. Faites appel à un support externe si vous n’avez pas les ressources ou l’expertise en interne pour surveiller l’activité sur le réseau ou répondre à un incident. Les ransomwares sont souvent déclenchés à la fin d’une attaque, vous avez donc besoin à la fois d’une technologie anti-ransomware dédiée et d’une traque des menaces dirigée par l’homme pour détecter les tactiques, techniques et procédures qui indiquent qu’un attaquant se trouve ou tente d’entrer dans votre environnement.
  4. Si vous êtes ciblé, des experts en réponse aux incidents sont disponibles 24h/24 et 7j/7, et vous pourrez faire appel à eux pour contenir et neutraliser l’attaque en question.

Des informations techniques sur les tactiques, techniques et procédures (TTP) utilisées dans cette attaque et d’autres attaques du ransomware REvil peuvent être trouvées dans les articles complémentaires suivants : What to Expect When You’ve Been Hit with REvil Ransomware et L’infatigable ransomware REvil : un RaaS aussi imprévisible que les cybercriminels qui l’utilisent.

Billet inspiré de MTR in Real Time: Hand-to-hand combat with REvil ransomware chasing a $2.5 million pay day, sur le Blog Sophos.