Attaques de ransomware : les adversaires ne sont pas infaillibles !

Même les attaques de ransomware les plus soigneusement planifiées ne se déroulent pas toujours comme prévu.

Prenons, par exemple, une attaque de ransomware avancée dirigée par l’homme où les intrus bien souvent sont présents au sein du réseau depuis des jours, voire des semaines avant de libérer leur charge virale sous la forme d’un ransomware. Pendant ce temps, ils peuvent, entre autres, se déplacer sur le réseau, compromettre des ressources, installer de nouveaux outils et supprimer des sauvegardes et des données. À tout moment, l’attaque peut être détectée et bloquée par les défenseurs.

Cette manière de procéder peut mettre la pression sur les opérateurs devant leur clavier qui sont à la manœuvre et qui contrôlent l’attaque. Ils vont peut-être devoir changer de tactique à mi-déploiement ou bien relancer le ransomware une deuxième fois et tenter leur chance de nouveau, si le premier essai a échoué. La pression peut donc conduire à des oublis ou à des erreurs.

“Les adversaires utilisant les ransomwares peuvent paraître redoutables pour des défenseurs confrontés à l’impact direct d’une attaque”, a déclaré Peter Mackenzie, manager de Sophos Rapid Response. “Les attaquants déployant des ransomwares n’hésitent pas à exploiter cette crainte justement, en adoptant un comportement menaçant et agressif avec, à l’issue, une demande de rançon. Mais il est aussi important de se rappeler que les adversaires sont aussi des êtres humains, capables de faire des erreurs comme tout le monde”.

Voici donc les cinq principaux incidents liés à des attaques de ransomware que les experts de Sophos Rapid Response ont pu récemment observer lors de leurs investigations.

1. Les attaquants utilisant le ransomware Avaddon qui se sont retrouvés dans une situation où la victime leur a demandé de divulguer les données volées parce qu’elle avait du mal à restaurer certains de ses fichiers. Les attaquants ont continué à menacer cette dernière de publier les données si elle ne coopérait pas. La victime n’ayant pas obtempéré, les attaquants ont alors divulgué les données et la victime a pu récupérer les informations souhaitées.
2. Les attaquants utilisant le ransomware Maze qui ont exfiltré une importante quantité de fichiers appartenant à la victime pour découvrir au final qu’ils étaient illisibles car ils avaient été chiffrés par le ransomware DoppelPaymer une semaine plus tôt.
3. Les attaquants utilisant le ransomware Conti qui ont chiffré leur propre backdoor nouvellement installée. Les attaquants avaient installé AnyDesk sur une machine infectée afin de bénéficier d’un accès à distance, puis ont lancé un ransomware qui a tout chiffré sur la machine, y compris AnyDesk.
4. Les attaquants utilisant le ransomware Mount Locker qui ne comprenaient pas pourquoi une victime refusait de payer après la divulgation de quelques-unes de ses données, sans se rendre compte qu’ils avaient en réalité publié des informations appartenant à une autre entreprise inconnue.
5. Les attaquants qui ont laissé derrière eux les fichiers de configuration du serveur FTP qu’ils utilisaient pour l’exfiltration de données, permettant ainsi à la victime de se connecter et de supprimer toutes les données volées.

“Les mésaventures de certains adversaires que nous avons pu observer montrent bien la saturation et la banalisation du paysage des ransomwares”, a déclaré Mackenzie. “En raison de ces tendances, vous pouvez vous retrouver avec plusieurs attaquants ciblant la même victime potentielle. Si vous ajoutez la pression défensive des logiciels de sécurité et des experts en réponse aux incidents, il est tout à fait compréhensible que les adversaires puissent faire des erreurs”.

“Tout ce dont un attaquant a besoin pour mettre en place et déployer une attaque de ransomware est déjà probablement disponible sous forme de service payant quelque part sur le dark web : à savoir des courtiers en accès initial (Initial Access Broker) vendant l’accès à des cibles vérifiées, aux offres de type Ransomware-as-a-Service (RaaS) qui louent les exécutables et l’infrastructure utilisés par les ransomwares. Même les familles de ransomware très en vue qui cherchent à gagner des millions d’euros grâce au paiement des rançons utilisent des courtiers en accès pour accéder à leurs victimes. Ainsi, l’accès à des cibles à forte valeur ou à des entreprises qui ont déjà montré qu’elles étaient prêtes à payer la rançon demandée pourrait bien être revendu plusieurs fois, incitant alors plusieurs acteurs malveillants à essayer de pénétrer au sein du même réseau.

“Les familles de ransomware ont également tendance à apparaître, puis à disparaître. Rien qu’en 2021, nous avons perdu REvil et Avaddon, entre autres, les opérateurs utilisant ces derniers ayant probablement rejoint d’autres groupes ou bien redémarré leurs activités sous une nouvelle “marque”, emportant certainement leur collection d’identifiants compromis avec eux”.

Que peuvent faire les défenseurs ?

Le fait de savoir que les adversaires utilisant des ransomwares puissent commettre des erreurs ne signifie pas que les défenseurs doivent s’éloigner des meilleures pratiques. D’une certaine manière, la cybersécurité est encore plus critique car certaines erreurs peuvent augmenter les risques, par exemple un mauvais codage au niveau du chiffrement peut déboucher sur des clés de déchiffrement qui ne fonctionneront pas.

Vous trouverez ci-dessous des mesures proactives à prendre pour améliorer votre cybersécurité et son évolution future :

• Surveillez la sécurité du réseau 24h/24 et 7j/7 et gardez à l’esprit les cinq premiers indicateurs révélant la présence d’un attaquant afin de stopper les attaques de ransomware avant qu’elles ne soient véritablement lancées.
• Désactivez le protocole RDP (Remote Desktop Protocol) exposé à Internet pour empêcher les cybercriminels d’accéder aux réseaux. Si les utilisateurs ont besoin d’accéder au RDP, placez-le derrière un VPN ou une connexion de type accès réseau Zero-Trust (confiance zéro) et utilisez l’authentification multifacteur (MFA).
• Sensibilisez les employés en matière de phishing et de spams malveillants et mettez en place des politiques de sécurité robustes.
• Faites régulièrement des sauvegardes de vos données les plus importantes et récentes sur un périphérique de stockage hors ligne. La recommandation standard pour les sauvegardes est de suivre la règle 3-2-1 : 3 copies des données, en utilisant 2 systèmes différents, dont 1 hors ligne, et testez votre capacité à effectuer une restauration.
• Empêchez les attaquants d’accéder au système de sécurité et de le désactiver : choisissez une solution avec une console de gestion hébergée dans le Cloud avec une authentification multifacteur activée et une Administration Basée sur les Rôles (Role Based Administration) afin de limiter les droits d’accès.
• N’oubliez pas que la solution miracle en matière de protection n’existe pas et qu’un modèle de sécurité multicouche offrant une défense en profondeur est essentiel : étendez-le à tous vos systèmes endpoint et serveurs et assurez-vous que ces derniers soient en mesure de partager les données liées à la sécurité.
• Ayez un plan de réponse aux incidents en place et efficace et mettez-le à jour si besoin. Faites appel à des experts externes pour surveiller les menaces ou répondre aux incidents urgents afin d’obtenir une aide supplémentaire, si nécessaire.

Vous pouvez obtenir de plus amples informations sur les comportements des attaquants, des rapports d’incidents réels et des conseils pour les professionnels des opérations de sécurité en vous rendant sur le site Sophos News.

Les tactiques, techniques et procédures (TTP), et bien plus encore, pour différents types de ransomware sont disponibles sur SophosLab Uncut, le site de Sophos concernant les renseignements sur les menaces (threat intelligence) les plus récents.

Billet inspiré de Ransomware mishaps: adversaries have their off days too, sur le Blog Sophos.