Microsoft a donné des détails sur les tactiques et techniques de certains des rançongiciels les plus ravageurs de ces dernières années, qui ne sont pas automatisés, mais plutôt contrôlés manuellement. Il a averti que certains groupes de ransomware utilisent désormais les mêmes compétences que les pirates informatiques soutenus par des États-nations, et montrent une « connaissance approfondie de l'administration des systèmes et des erreurs de configuration de la sécurité des réseaux », effectuent une reconnaissance approfondie, puis fournissent des charges utiles de ransomware « dévastatrices » :
« Les campagnes de rançongiciels gérés par l'homme constituent une menace importante et croissante pour les entreprises et représentent l'une des tendances les plus percutantes des cyberattaques aujourd'hui. Dans ces campagnes d’attaques manuelles, qui sont différentes des propagations automatiques de ransomware comme WannaCry ou NotPetya, les hackers se servent du vol d'informations d'identification et des méthodes de déplacement latéral traditionnellement associées aux attaques ciblées comme celles menées par des acteurs des États-nations. Ils présentent une connaissance approfondie de l'administration des systèmes et des erreurs de configuration de sécurité réseau courantes, effectuent une reconnaissance approfondie et s'adaptent à ce qu'ils découvrent dans un réseau compromis.
« Ces attaques sont connues pour tirer parti des faiblesses de la configuration du réseau et des services vulnérables pour déployer des charges utiles de ransomware dévastatrices. Et tandis que le ransomware est la pointe de l’iceberg durant ces attaques, les opérateurs humains fournissent également d'autres charges utiles malveillantes, volent les informations d'identification, et accèdent et exfiltrent les données des réseaux compromis ».
Microsoft note que, sur la base de ses enquêtes, ces campagnes semblent indifférentes à la furtivité et ont montré qu'elles pouvaient fonctionner sans entraves dans les réseaux : « les opérateurs humains compromettent les comptes avec des privilèges plus élevés, augmentent les privilèges ou utilisent des techniques de vidage des informations d'identification pour prendre pied sur les machines et continuer sans relâche d’infiltrer les environnements cibles ».
L’éditeur explique que les campagnes de rançongiciels gérés par l'homme commencent souvent par des « logiciels malveillants de base » comme des chevaux de Troie bancaires ou des vecteurs d'attaque « peu sophistiqués » qui déclenchent généralement plusieurs alertes de détection; cependant, ceux-ci ont tendance à être triés comme étant sans importance et ne sont donc pas étudiés et corrigés de manière approfondie. De plus, les charges utiles initiales sont fréquemment arrêtées par les solutions antivirus, mais les attaquants déploient simplement une charge utile différente ou utilisent un accès administratif pour désactiver l'antivirus sans attirer l'attention des intervenants en cas d'incident ou des centres d'opérations de sécurité.
Certaines campagnes bien connues de ransomwares gérés par l'homme incluent REvil, Samas, Bitpaymer et Ryuk. Microsoft surveille activement ces campagnes de ransomwares de longue durée, exploitées par l'homme, qui ont des modèles d'attaque qui se chevauchent. Ils profitent de faiblesses de sécurité similaires, mettant en évidence quelques leçons clés en matière de sécurité, notamment que ces attaques sont souvent évitables et détectables.
Groupe PARINACOTA: Campagnes de monétisation Smash-and-grab
« Un acteur qui a émergé dans cette tendance des attaques humaines est un groupe actif et hautement adaptatif qui laisse souvent Wadhrama comme charge utile. Microsoft suit ce groupe depuis un certain temps, mais les appelle désormais PARINACOTA, en utilisant notre nouvelle désignation de dénomination pour les acteurs de la criminalité numérique basée sur les volcans mondiaux.
« PARINACOTA impacte trois à quatre organisations chaque semaine et semble assez ingénieux: au cours des 18 mois que nous avons surveillés, nous avons observé les tactiques de changement de groupe pour répondre à ses besoins et utiliser des machines compromises à diverses fins, y compris le minage de cryptomonnaie, l'envoi de courriers indésirables ou par procuration pour d'autres attaques. Les objectifs et les charges utiles du groupe ont évolué au fil du temps, influencés par le type d'infrastructure compromise, mais ces derniers mois, ils ont principalement déployé le rançongiciel Wadhrama.
« Le groupe utilise le plus souvent une méthode smash-and-grab, par laquelle ils tentent d'infiltrer une machine dans un réseau et de procéder à une rançon ultérieure en moins d'une heure. Il existe des campagnes dans lesquelles ils tentent d’effectuer de la reconnaissance et de se déplacer latéralement, généralement lorsqu'ils atterrissent sur une machine et un réseau qui leur permettent de se déplacer rapidement et facilement dans l'environnement.
« Les attaques de PARINACOTA se frayent généralement un chemin brutalement vers des serveurs sur lesquels le protocole RDP (Remote Desktop Protocol) est exposé à Internet, dans le but de se déplacer latéralement à l'intérieur d'un réseau ou d'effectuer d'autres activités de force brute contre des cibles extérieures au réseau. Cela permet au groupe d'étendre l'infrastructure compromise sous leur contrôle. Fréquemment, le groupe cible les comptes d'administrateur local intégrés ou une liste de noms de comptes courants. Dans d'autres cas, le groupe cible les comptes Active Directory (AD) qu'ils ont compromis ou dont ils ont une connaissance préalable, tels que les comptes de service de fournisseurs connus.
« Le groupe a adopté la technique de force brute RDP que l'ancien rançongiciel appelé Samas (également connu sous le nom de SamSam) a utilisée. D'autres familles de logiciels malveillants comme GandCrab, MegaCortext, LockerGoga, Hermes et RobbinHood ont également utilisé cette méthode dans des attaques de ransomware ciblées. Le PARINACOTA, cependant, a également été observé pour s'adapter à n'importe quel chemin de moindre résistance qu'ils peuvent utiliser. Par exemple, ils découvrent parfois des systèmes non corrigés et utilisent des vulnérabilités révélées pour obtenir un accès initial ou élever des privilèges ».
Certaines entreprises ont facilité ces attaques en affaiblissant leur propre sécurité intérieure
En raison de tout ce travail de fond, les organisations qui parviennent à nettoyer une infection à Wadhrama ne peuvent souvent pas supprimer complètement les mécanismes de persistance, laissant la cible vulnérable à la réinfection.
Le groupe facture entre 0,5 et 2 Bitcoins (4 033 € à 16 134 €) par machine compromise. Les attaquants adaptent la demande à la gravité de la perception de la machine.
L’un des éléments que souligne le billet de Microsoft est l’illustration de la raison pour laquelle les équipes de sécurité devraient activer les fonctionnalités disponibles dans Windows Defender ATP, telles que la protection contre les falsifications et même les protections standard, comme les mises à jour de sécurité et l'antivirus fourni par le cloud de Microsoft.
Ryuk est un autre exemple de ransomware opéré par l'homme qui pénètre souvent dans les réseaux via le cheval de Troie bancaire Trickbot.
« Dans nos enquêtes, nous avons constaté que cette activation se produit sur des implants Trickbot d'âges différents, indiquant que les opérateurs humains derrière Ryuk ont probablement une sorte de liste de check-ins et de cibles pour le déploiement du ransomware », écrit l'équipe.
Microsoft note que Trickbot est souvent considéré comme une menace de faible priorité et n'est donc pas isolé immédiatement.
« Cela est en la faveur des attaquants, leur permettant d'avoir une persistance de longue durée sur une grande variété de réseaux. Trickbot et les opérateurs Ryuk profitent également des comptes utilisateurs s'exécutant en tant qu'administrateurs locaux dans les environnements et utilisent ces autorisations pour désactiver les outils de sécurité qui entraveraient autrement leurs actions », ont-ils noté.
Certaines entreprises ont facilité ces attaques en affaiblissant leur propre sécurité intérieure. Microsoft a déclaré que certaines campagnes de rançongiciels gérés par l'homme ont été couronnées de succès contre des serveurs qui ont un logiciel antivirus et d'autres sécurités intentionnellement désactivés, ce que les administrateurs ont pu faire pour améliorer les performances. « Les mêmes serveurs manquent souvent de protection par pare-feu et MFA, ont des informations d'identification de domaine faibles et utilisent des mots de passe d'administrateur local non aléatoires », a-t-il déclaré.
Combattre et prévenir les attaques de cette nature nécessite un changement de mentalité, qui se concentre sur la protection complète requise pour ralentir et arrêter les attaquants avant qu'ils ne réussissent. Les attaques manuelles continueront de tirer parti des failles de sécurité pour déployer des attaques destructrices jusqu'à ce que les défenseurs appliquent de manière cohérente et agressive les meilleures pratiques de sécurité à leurs réseaux.
Source : Microsoft
Microsoft : les hackers derrière des ransomware déploient des techniques dévastatrices
Certaines entreprises ont facilité ces attaques en affaiblissant leur propre sécurité intérieure
Microsoft : les hackers derrière des ransomware déploient des techniques dévastatrices
Certaines entreprises ont facilité ces attaques en affaiblissant leur propre sécurité intérieure
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !