Le spécialiste de la détection et la réponse aux cyberattaques ciblant les endpoints (EDR), Cybereason, a créé un pot de miel/honeypot simulant le réseau IT-OT d'une grande compagnie d'électricité présentant des opérations en Europe et en Amérique du Nord. L'objectif du projet mis en place depuis le début de l’année 2020, était de découvrir les tactiques, techniques et procédures utilisées par les cybercriminels pour infiltrer les réseaux d'infrastructures critiques (réseaux électriques, systèmes de gestion des eaux, systèmes SCADA, etc.) dans le monde entier. Par rapport à une première simulation menée en 2018, ce "honeypot" version 2020 a permis de confirmer que les pirates utilisent des ransomwares au sein d’attaques élaborées en plusieurs phases, pour essayer de contourner les solutions de sécurité en place et optimiser le succès de leurs attaques.
Les ransomwares s’intègrent dans des attaques bien plus sophistiquées, en plusieurs phases
Lors d’une opération similaire en 2018, il n’avait fallu que deux jours à un groupe cybercriminel pour infiltrer le réseau IT-OT du fournisseur d’électricité fictif créé par Cybereason, et y installer des outils malveillants.
Ce nouveau honeypot déployé au début de l’année 2020, a permis d’observer une vraie complexification des attaques ainsi qu’un déroulement assez représentatif des attaques actuelles. Les chercheurs de Cybereason ont ainsi pu identifier le procédé le plus classique des attaques ayant ciblé le système industriel.
- Phase 1 : La compromission initiale de l’interface d’administration du RDP suite à l’obtention du mot de passe du compte utilisateur via une attaque brute-force, puis le téléchargement et l’exécution d’un script PowerShell, pour créer une backdoor utilisateur.
- Phase 2 : Le téléchargement de nouveaux outils via le serveur compromis à l’aide du PowerShell, tels que Mimikatz, utilisé pour voler les informations d'identification des utilisateurs. Des informations ensuite utilisées pour tenter de se déplacer latéralement vers les contrôleurs de domaine, l’épine dorsale de l’opération (NB : la tentative de mouvement latéral a échoué dans l’environnement du honeypot, car aucun des comptes utilisateurs volés n’a été autorisé à accéder au contrôleur de domaine).
- Phase 3 : Déplacement latéraux du malware dans le réseau en utilisant un scanner de réseau pour découvrir d'autres endpoints.
- Phase 4 : Déclenchement du ransomware après la fin des opérations préliminaires, pour assurer la compromission d’un maximum de endpoints et maximiser l’impact de l’attaque.
Israël Barak, RSSI de Cybereason explique : « Le modèle d’attaque est bien différent de celui que nous avions observé en 2018. A l’époque, notre honeypot avait été ciblé par des attaques DDoS, du phishing, et différents types de malwares, de cryptominage notamment. Un attaquant était également parvenu à installer une backdoor puis à la revendre sur le Dark Web ». Il ajoute : « En 2020, nous n’avons pas détecté beaucoup de nouvelles souches de malwares, ce qui démontre que les outils existants sont toujours efficaces. La nouveauté est bien dans le ciblage et le processus en plusieurs phases qui rend les attaques bien plus dangereuses. Cette menace devrait définitivement et rapidement devenir la préoccupation première de toute infrastructure critique, et des responsables de leur sécurité informatique ».
Le piratage d’infrastructures critiques en très forte hausse
Même s’il est avéré que les cyberattaques contre des infrastructures critiques sont souvent parrainées par des États, elles peuvent être aussi être le fait de groupes cybercriminels sophistiqués et indépendants. A titre d’exemple, citons par exemple, le plus grand fournisseur d'énergie du Portugal, EDP, qui a été victime d’un ransomware en 2020. Les attaquants menaçant de divulguer 11 téraoctets d'informations sensibles si une rançon de 11 millions de dollars n'était pas payée.
Israël Barak, RSSI de Cybereason
A propos de Cybereason
Cybereason, édite l’une des plus importantes plateformes de cyberdéfense. Grâce à une approche complètement nouvelle de la cybersécurité, et à des services de prévention, détection, réponse et surveillance active contre les menaces ciblant les terminaux, Cybereason permet aux entreprises de reprendre l’avantage sur les menaces qui les ciblent. La solution offre une prévention multicouche des terminaux en exploitant les techniques avec ou sans signature pour éviter les menaces connues et inconnues, conjointement avec des techniques de comportement, afin d'empêcher les rançongiciels et les attaques sans fichier. Cybereason est une société privée dont le siège social se trouve à Boston et qui compte des bureaux à Londres, Sydney, Tel-Aviv, Tokyo, dans la région Asie-Pacifique et en Europe continentale.
Lire l'analyse complète
Source : Cybereason