Les nouvelles familles de ransomwares complexifient la détection et la réponse aux menaces pour les équipes des SOC, déjà fortement sollicitées. In fine ces attaques impactent non seulement la stabilité financière et la réputation de l’entreprise, mais également le confort de travail des équipes sécurité.
« Les attaques actuelles de ransomwares sont hautement ciblées, évolutives et furtives. Elles s’appuient sur des approches éprouvées et précédemment perfectionnées par les groupes APT. En usurpant des données et en verrouillant les systèmes clés, des groupes tels que Nefilim cherchent à extorquer des organisations mondiales très rentables », déclare Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Notre dernier rapport est une lecture incontournable pour tous ceux qui, dans le secteur de la sécurité, souhaitent comprendre cette économie souterraine, à croissance rapide. Il permet également d’appréhender la manière dont certaines solutions peuvent aider à riposter. »

Sur les 16 groupes de ransomwares étudiés entre mars 2020 et janvier 2021, Conti, Doppelpaymer, Egregor et REvil sont ceux ayant ciblé le plus de victimes, et Cl0p celui qui compte le plus grand nombre de données volées hébergées en ligne, soit 5 Téra-octets. Cependant, en se concentrant impitoyablement sur les organisations générant plus d’un milliard de dollars de revenus, Nefilim a quant à lui extorqué le revenu médian le plus élevé.

Comment opère Nefilim ?

Le rapport révèle qu’une attaque Nefilim implique généralement plusieurs étapes :
• Un accès initial exploite les mots de passes faibles sur les services RDP exposés ou des services HTTP accessibles depuis l’extérieur du réseau
• Une fois à l’intérieur du système, des outils d’administration légitimes sont utilisés pour analyser l’infrastructure et trouver les systèmes pertinents pour le vol et le chiffrement de données
• Un système « call home » est mis en place avec Cobalt Strike en employant des protocoles qui peuvent traverser des firewalls, tels que HTTP, HTTPS et DNS
• Des services d’hébergement ultrasécurisés sont utilisés pour les serveurs C&C (Command & Control)
• Les données sont exfiltrées et stockées sur des sites Web protégés par TOR pour ensuite extorquer la victime (en 2020, Nefilim a publié environ 2 Téra-octets de données)
• La charge utile du ransomware est lancée manuellement une fois que suffisamment de données ont été exfiltrées

Trend Micro a déjà mis en garde contre l’utilisation généralisée d’outils légitimes tels qu’AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec et MegaSync, utilisés par les cybercriminels pour atteindre leur objectif tout en restant dissimulés. Cela peut en effet compliquer la tâche des différents analystes des SOC, qui doivent inspecter les journaux d’événements des différentes couches de l’infrastructure afin d’obtenir une vue d’ensemble des attaques. Il est donc indispensable que les analystes disposent de solutions proposant une surveillance et une corrélation des comportements suspects à chaque niveau : endpoints, emails, serveurs et instances Cloud). Ils pourront ainsi accélérer le temps de réponse aux incidents et stopper les attaques avant qu’elles n’aient eu un impact notable sur l’organisation.