Threat Activity Clusters
Recherche sur les menaces

Présentation de la méthode des TAC (Threat Activity Clusters)

Identifier et clouer au pilori les ‘méchants’ peut être gratifiant, mais pour une protection plus pratique, la méthode des TAC (Threat Activity Clusters) est véritablement la solution.

Sophos X-Ops vient de publier un article de blog très intéressant permettant d’établir des liens entre certaines activités menées par des groupes de ransomware : une méthode de déduction dérivée d’un processus que nous utilisons pour compiler et corréler les renseignements sur les menaces (Threat Intelligence), appelée ‘Threat Activity Clusters’ (TAC). Les TAC ne sont pas vraiment l’équivalent d’une attribution précise, mais ils sont utiles pour la détection pratique des menaces et pour mener les deux actions les plus importantes pour vaincre les cyberattaques modernes : à savoir réduire à la fois le temps de détection (TTD) et le temps de réponse (TTR).

L’attribution est souvent inutile en dehors d’un contexte de poursuite judiciaire, et elle est très difficile à établir avec un niveau de confiance élevé, à moins que l’acteur malveillant n’ait commis une erreur (ou à moins que vous ne disposiez d’autres moyens pour recueillir des informations sur la situation, comme le font les gouvernements par exemple). Les défenseurs ont véritablement besoin de pouvoir reconnaître rapidement des modèles (clusters) de comportement adverse, accélérant ainsi la capacité à expulser les attaquants hors des réseaux.

Un autre avantage de cette approche est qu’elle peut nous permettre d’identifier plus facilement les recherches non-Sophos qui correspondent également au modèle, nous permettant ainsi d’ajouter plus de détails à une “correspondance floue” au niveau d’activités malveillantes. Après avoir présenté les quatre premiers cas couverts dans notre article de blog, nous avons pu tirer des leçons des informations découvertes, et publiées par Kroll, sur les cas Cactus supplémentaires correspondant à notre cluster.

L’un des avantages de fournir des services MDR (Managed Detection and Response) à plus de 17 000 organisations est que nous rencontrons les mêmes attaquants à plusieurs reprises. Cet avantage nous permet de repérer plus rapidement les tendances et de progresser malgré le flou généré par la dénomination des différentes variantes de ransomware et les autres surnoms utilisés par les cybercriminels. Depuis que l’adoption du RaaS (Ransomware-as-a-Service) s’est généralisée, c’est souvent un affilié spécifique que nous souhaitons connaître, plus que le nom du groupe qui est apposé sur les demandes de rançon.

Les vieilles habitudes ont la vie dure

Les groupes de ransomware vont et viennent, mais le cybercrime est là pour durer. Il est important de célébrer nos victoires lorsque des groupes comme Conti s’autodétruisent ou lorsque le ministère américain de la Justice perturbe l’infrastructure d’un groupe comme Hive, car en fin de compte tel est l’objectif… à savoir créer une perturbation pour les adversaires, et un moment de joie pour nous. Les troupes sur le terrain pénètrent dans les réseaux du monde entier et au final les groupes perturbés dans leurs actions évoluent, se regroupent et se dirigent, tout simplement, vers d’autres cibles.

Qu’avons-nous réellement à notre disposition ? En fait, nous en savons beaucoup sur les modèles d’activité utilisés par ces groupes d’attaquant, et il est peu probable qu’ils se donnent la peine de réinventer la roue. Dans ce cas, nous avons pu associer quatre “marques de fabrique” de ransomware différentes avec un ensemble d’attaques dont les tactiques utilisées étaient trop étroitement liées pour qu’il s’agisse d’une simple coïncidence.

Aucune de ces techniques, prise individuellement, n’a suscité beaucoup d’attention, mais lorsque l’on s’attarde un peu sur les petits détails et sur l’ordre dans lequel elles ont été exécutées, alors nous nous retrouvons avec l’équivalent d’empreintes digitales partielles. Ces informations ne sont peut-être  pas suffisantes pour condamner un groupe devant un tribunal, mais elles permettent de savoir ‘sur qui’ nous recueillons des preuves et comment repérer les actions menées par ces derniers. Si une telle technique fonctionne pour les tueurs en série, pourquoi pas pour les chiffreurs en série ?

Réduire la fenêtre de compromission et de risque

Une fois qu’un TAC a été identifié, nous pouvons alors atteindre nos deux principaux objectifs en tant que défenseurs : à savoir réduire notre TTD et notre TTR. Un mélange aléatoire de techniques pourrait alerter un fournisseur MDR ou bien un SOC (Security Operations Center) qu’un incident a certainement eu lieu, mais notre cerveau humain a des capacités remarquables pour observer un ensemble d’indicateurs de compromission (IoC), et pour reconnaître rapidement un modèle et réagir instinctivement en passant à l’action. Ces capacités nous aident à identifier des outils admin, pour la plupart inoffensifs, mais qui se transforment aujourd’hui de plus en plus en véritables armes et nous permettent d’estimer que la situation n’est pas normale. Une fois que nous savons que nous avons un problème, nous pouvons très bien deviner les évènements qui vont à priori avoir lieu ensuite, réduisant ainsi la fenêtre de compromission et de risque.

Non seulement nous utilisons les TAC (Threat Activity Clusters) pour mieux protéger les clients Sophos MDR, mais nous partageons également ces IoC avec la communauté pour aider à informer le plus de monde possible et permettre à toute personne qui utilise nos données partagées de répondre plus rapidement. Alors que les cybercriminels sont devenus plus experts dans le perfectionnement de leurs capacités à escroquer, exploiter et tirer profit de leurs méfaits, nous devons, de notre côté, nous unir pour mieux reconnaître leurs actions et les expulser hors de nos systèmes le plus rapidement possible.

Ne laissez pas le mieux être l’ennemi du bien

Trop souvent, dans le domaine de la cybersécurité, nous ne tenons pas toujours compte des conseils avisés de Voltaire : à savoir ne pas laisser notre désir de perfection nous dissuader de nous en rapprocher suffisamment. Dans nos cœurs, nous voulons tous attraper ces cybercriminels une bonne fois pour toutes ; nous voulons les voir purger une peine de prison et que justice soit enfin rendue. Pour autant, est-ce vraiment réconfortant de savoir quels Nord-Coréens ont volé votre crypto-monnaie, ou quel Vladimir a chiffré vos fichiers ?

Nous devons nous rappeler de ne pas confondre ce qui est réellement utile pour notre propre défense et celle de notre collectivité et ce qui est simplement satisfaisant sur le plan émotionnel. Si nous travaillons ensemble pour mettre en œuvre les éléments vraiment utiles, nous aurons peut-être la chance d’obtenir les deux.

Billet inspiré de Enough attribution to count, sur le Blog Sophos.