Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Darktrace présente deux études de cas identifiés grâce à l’Enterprise Immune System

mai 2018 par Darktrace

Darktrace fait l’état des lieux sur les ransomware, l’une des cybermenaces les plus graves et les plus disruptives. Alors que les cyberattaques se sont diversifiées, autant dans les motivations que dans les méthodes, les nouvelles formes de ransomware continuent de surpasser les derniers outils de décryptage. À l’horizon 2019, le montant des dommages provoqués par les ransomware à l’échelle de la planète devraient dépasser les 11,5 milliards de dollars par an.

Les trois campagnes de ransomware les plus marquantes de 2017 ont été Wannacry, NotPetya et Bad Rabbit. Leur ampleur, leur propagation et leur pouvoir de destruction restent inégalés. Elles ont démontré que chaque entreprise, chaque secteur d’activité et chaque pays pouvait devenir une cible potentielle. Si les dommages provoqués par ces attaques ont permis de mettre en exergue la nécessité d’une bonne protection, il n’en reste pas moins que de nombreuses entreprises ont éprouvé des difficultés à résoudre ces failles, mêmes les plus répandues d’entre elles.

Les motivations : appât du gain ou volonté de provoquer des ravages ? Les ransomware sont généralement destinés à gagner de l’argent rapidement en forçant la victime à payer une rançon pour débloquer des fichiers cryptés. Le phénomène du ransomware-as-a-service a considérablement simplifié ce processus. Il a en effet permis à n’importe qui d’acheter sur le Darknet des kits de distribution de ransomware encore plus puissants. L’émergence récente des cryptomonnaies a également permis de simplifier la préservation de l’anonymat, entraînant une hausse sensible des cybercriminels motivés par l’appât du gain.

Hélas, l’objectif des ransomware ne consiste plus uniquement à gagner de l’argent. NotPetya et d’autres campagnes telles qu’Ordinypt ont davantage été conçues pour détruire volontairement des données. Même si le ransomware NotPetya a fourni à ses victimes des instructions de paiement, il n’avait aucun moyen d’identifier la personne qui avait effectivement réalisé le virement. L’incertitude concernant la récupération des fichiers perdus et le risque d’être associées au financement d’associations malveillantes ont par conséquent dissuadé de nombreuses victimes d’honorer les demandes de rançon.

Quels que soient les moyens déployés par une entreprise pour protéger ses actifs, les incidents sont inévitables, et le rançonnage s’impose comme le mode privilégié des actions criminelles. Mais il est désormais possible d’identifier des attaques en cours et de les gérer avant qu’elles ne se transforment en crise.

Etude de cas 1 : téléchargement d’un fichier exécutable depuis un site Internet compromis

De nombreuses attaques réussies de ransomware ont été distribuées par phishing, téléchargement de fichiers infectés, sites Internet compromis, lmalvertising ou encore des exploit kits. Dans la plupart des cas, les ransomware sont souvent téléchargés et installés à l’insu de la victime. Pour illustrer la mécanique de téléchargement des ransomware, nous analyserons le cycle de vie d’un incident provoqué par GandCrab. Dans l’étude de cas détaillée ci-dessous, l’Enterprise Immune System de Darktrace a signalé la récupération, par l’appareil d’un client, d’un fichier exécutable depuis un emplacement jusqu’ici non surveillé, après avoir été redirigé depuis un autre site rare.

Le fichier contenant le ransomware a été téléchargé depuis un site Internet enregistré sur un nom de domaine en Pologne. Rapidement après le téléchargement du fichier, l’appareil du client a commencé à se connecter à deux emplacements qui n’avaient été contactés par aucun autre appareil du réseau : nomoreransom.bit et bleepingcomputer.bit. Dans les deux cas, il s’agissait de serveurs de commande et de contrôle pour le ransomware GandCrab. Une fois la connexion établie, le virus malveillant a procédé au cryptage des fichiers sur le serveur SMB, ajoutant l’extension .GDCB (GandCrab) à mesure qu’il parcourait les répertoires.

Le virus a modifié les extensions des fichiers d’origine lors du processus de cryptage.

Quelques secondes seulement après l’apparition du virus sur le réseau de l’entreprise, l’équipe d’analystes de Darktrace alertait l’équipe de sécurité du client au sujet de la menace. Une action préventive était alors engagée, permettant de contenir la menace le plus rapidement possible.

Étude de cas 2 : Attaque par force brute via le Protocole de bureau à distance

En plus d’imaginer des façons toujours plus intelligentes de télécharger des ransomware sur les appareils d’une victime, certains hackers ont opté pour l’attaque par force brute via le Protocole de bureau à distance (RDP) (HC7 et Lockcrypt). Exposer les services de RDP sur Internet est une opération risquée, car les hackers peuvent forcer l’accès à un réseau en devinant les informations de connexion et en exploitant à distance, le cas échéant, toute une gamme de failles et d’outils administratifs afin de contaminer d’autres machines disponibles.

Lors d’une autre intrusion particulièrement grave, Darktrace a détecté plusieurs activités suspectes indiquant qu’un agent malveillant avait pris le contrôle d’un serveur clé et l’utilisait comme pivot pour se déplacer latéralement dans l’ensemble du réseau et installer des Outils d’administration à distance (RAT) sur de nombreux appareils.

Lors de la première phase de l’attaque, l’Enterprise Immune System de Darktrace a observé plus de 400 000 connexions entrantes sur un port qui ciblait des appareils avec RDP activé et a immédiatement donné l’alerte dès les premiers signes de l’attaque par force brute.

Plus de 400 000 connexions entrantes avec RDP depuis plusieurs appareils externes rares

L’attaque a été une réussite ; un serveur compromis a ensuite été utilisé pour récupérer un malware qui offrait un accès backdoor et balayait le réseau à la recherche de canaux RDP ouverts. Le hacker a ensuite navigué sur l’appareil intermédiaire, pris le contrôle de nombreuses autres machines, et installé un logiciel tiers d’accès à distance vers tous les appareils disponibles.

Même si la plupart des attaques par force brute de RDP repérés par l’Enterprise Immune System de Darktrace n’atteignent pas un tel niveau de criticité, l’équipe d’analystes en cybersécurité de Darktrace signale en permanence des exemples de services d’administration à distance accessibles au public. Pour prévenir les ransomware exploitant précisément les configurations de RDP non sécurisées, il est recommandé aux entreprises de déplacer ces services critiques vers un réseau virtuel privé. Par ailleurs, avec Darktrace Antigena, la solution de réponse autonome de Darktrace, les entreprises peuvent bénéficier d’une couche de protection supplémentaire. Dans ce cas précis, cette dernière aurait permis de bloquer toute connexion suspecte via RDP vers le serveur, prévenant ainsi tout mouvement latéral à travers le réseau.




Voir les articles précédents

    

Voir les articles suivants