Comment les pirates exploitent une mauvaise sécurité des applications dans les attaques de ransomware

Version imprimable, PDF et e-mail

Les attaques par ransomware sont devenues si fréquentes et dangereuses qu'elles sont désormais traitées comme des attaques terroristes. Dans un précédent article de cette série, nous vous conseillions déjà de partir du principe que vous serez tôt ou tard la cible, voire la victime d'une attaque de ce type et de réfléchir à un plan pour ÉVITER de payer la rançon. Dans ce billet, vous découvrirez qu'il est impératif de sécuriser vos applications web pour déjouer ces attaques.

Il est important de comprendre que pour vous prémunir des ransomwares ou de tout autre type de logiciel malveillant, vous devez sécuriser vos e-mails, mais aussi vos applications. L'OWASP (Open Web Application Security Project) vise à sensibiliser le public aux vulnérabilités les plus courantes qui peuvent être exploitées dans le cadre d'une attaque par ransomware.

Un exemple classique est le piratage d'une chaîne logistique par le ransomware REvil, révélé pas plus tard que la semaine dernière. Les vulnérabilités d'une application MSP destinée au public ont été exploitées pour diffuser un ransomware auprès de ses clients. En raison des autorisations avancées dont disposait cette application, le ransomware a pu se propager massivement et causer d'importants dégâts avant qu'il ne puisse être arrêté. Toute application web peut faire l'objet de ce type d'attaque. En effet, les pirates s'introduisent dans l'application et se déplacent ensuite latéralement pour faire des ravages. Un scénario similaire est possible si vous laissez vos ports RDP ouverts sur Internet, même si vous modifiez le port par défaut. Lorsqu'elles sont mal protégées, les connexions RDP constituent un vecteur d'attaque idéal pour les cybercriminels, qui exploitent les identifiants dérobés pour tenter d'infecter l'ensemble du réseau par un ransomware.

Déroulement d'une attaque par ransomware

Voici un autre scénario (fictif, mais tout à fait possible) que les pirates peuvent suivre pour exploiter les applications mal sécurisées et réussir leur attaque par ransomware. Il s'agit de profiter de la nouvelle popularité dont jouissent les extensions de codes promo pour tenter une arnaque bien connue.

Étape 1. Le pirate crée un site qui imite un vrai site web de codes promo. Il y parvient assez facilement grâce aux techniques d'usurpation de domaine et de web scraping, ou extraction automatique des données. Nous appellerons ce faux site le « site web X ».

Étape 2. Le pirate recherche une ou plusieurs vulnérabilités classées dans le top 10 de l'OWASP pour voler les identifiants d'un vrai site web professionnel mal protégé, que nous appellerons le « site web Y ». Le cybercriminel exploite les défaillances d'authentification et l'exposition de données sensibles pour récolter des identifiants et d'autres informations sensibles sur le site web Y.

Étape 3. Le pirate utilise les identifiants volés pour lancer Credential Stuffingune attaque contre un site e-commerce légitime, que nous appellerons le « site web Z ». Il s'agit d'une attaque automatisée, qui peut s'exécuter lentement sur plusieurs semaines. Son objectif est de tenter d'associer les identifiants volés aux comptes existants sur ce site.

Étape 4. Dès lors qu'une correspondance est trouvée et que le pirate parvient à se connecter au compte de la victime, le compte de cette dernière est utilisé pour publier des avis sur les produits les plus vendus du site web Z. En voici un exemple : « Ce produit est génial ! Pour profiter de ce code de réduction et économiser 50 %, cliquez ici. » Le lien de la réduction redirige le visiteur vers le site web X créé lors de la première étape.

Étape 5. Les victimes potentielles se connectent au site web Z, cliquent sur l'évaluation du produit et suivent le lien vers le site web X, sans se rendre compte qu'elles sont redirigées vers un site frauduleux, à moins qu'elles ne scrutent attentivement le nom de domaine, l'URL, le certificat et d'autres détails du site. Les internautes qui tombent dans le piège entrent ensuite leurs coordonnées pour pouvoir bénéficier du code de réduction. Le pirate connaît désormais l'adresse de quelqu'un qui attend un e-mail de ce site web. Il vient de gagner la confiance de la victime, qui baisse donc la garde.

Étape 6. La victime reçoit un e-mail personnalisé concernant le produit et le code de réduction, accompagné d'une pièce jointe qu'elle doit installer pour pouvoir en profiter. Il peut s'agir d'un exécutable ou d'une extension de navigateur qui utilise JavaScript pour mener l'attaque. Étant donné que l'e-mail est entièrement personnalisé et attendu par son destinataire, il a peu de chances d'être bloqué par les systèmes de défense traditionnels. Bien que son système d'exploitation lui déconseille l'installation d'exécutables non fiables, la victime, ayant déjà baissé la garde, clique dessus.

Étape 7. La victime installe la pièce jointe, et l'attaque par ransomware est lancée. Une fois l'exécutable installé, plusieurs types d'attaques peuvent être menés : infecter l'enregistrement de démarrage principal, chiffrer la table du système de fichiers ou même empêcher le système d'exploitation de démarrer. Peu de temps après, une demande de paiement est envoyée à la victime. Le pirate tentera probablement d'étendre cette attaque pour récolter d'autres identifiants et d'autres données disponibles sur le réseau. Une fois cette opération terminée, le ransomware chiffrera les données du réseau.

Dans cet exemple, l'attaque par ransomware aboutit uniquement parce que les vulnérabilités des différentes applications web ont permis le déroulement de ce scénario convaincant, à savoir le web scraping d'un site légitime à l'étape 1, le vol d'identifiants à l'étape 2, le « credential stuffing » à l'étape 3, l'avis frauduleux et l'URL malveillante aux étapes 4 et 5, puis l'installation de l'exécutable à l'étape 7. Si les applications avaient été sécurisées efficacement, l'attaque n'aurait jamais abouti.

L'attaque par ransomware aboutit uniquement parce que les vulnérabilités des différentes applications web ont permis le déroulement de ce scénario convaincant.Cliquez ici pour tweeter

Comment se protéger contre ce type d'attaques ?

Pour protéger vos applications web, il est vivement conseillé d'utiliser un pare-feu d'application web (WAF). Optez pour une solution qui propose les caractéristiques suivantes :

  • Déploiement facile et adaptabilité : seul un WAF que vous pouvez configurer en fonction de votre environnement pourra vous assurer une protection complète.
  • Évolutivité : le développement de votre activité, la transformation numérique, ainsi que d'autres facteurs, peuvent accroître vos besoins en matière d'applications et de sites web. Votre WAF doit pouvoir évoluer en même temps que votre entreprise.
  • Protection complète contre les menaces sophistiquées : un bon WAF saura vous protéger tout au moins contre les vulnérabilités classées au Top 10 de l'OWASP et les attaques DDoS de la couche application. Pour bénéficier d'une protection complète, optez pour une solution efficace contre les attaques « zero-day », le credential stuffing (bourrage d'identifiants), les fuites de données, les bots malveillants, etc.
  • Mise à jour facile : le firmware du WAF doit être mis à jour régulièrement pour sécuriser votre appareil et améliorer ses performances. Il est préférable de choisir une solution hébergée qui se met à jour automatiquement, sans l'intervention de votre administrateur.
  • Information continue sur les menaces : de nouvelles attaques, capables de se propager dans le monde entier en quelques heures, sont mises au point tous les jours. Votre WAF doit pouvoir en être informé en temps réel et utiliser l'apprentissage automatique pour s'adapter aux variants.

Les solutions Web Application Firewall et WAF-as-a-Service de Barracuda répondent à ces besoins, et plus encore. Avec une interface intuitive, facile à utiliser et une architecture de déploiement flexible, vos applications sont sécurisées en quelques minutes seulement. Pour essayer Barracuda WAF-as-a-Service sans attendre ni téléphoner, téléchargez notre version d'évaluation disponible sur la place de marché Azure . Cette version permet aux clients de Microsoft Azure d'explorer le produit et ses fonctionnalités sans abonnement et sans licence d'évaluation.

Pour démarrer le test, accédez à la page WAF-as-a-Service de la place de marché Azure. Sélectionnez « Version d'évaluation » et remplissez le formulaire de configuration. Vous bénéficierez d'un compte WAF-as-a-Service, d'un guide de laboratoire et d'un environnement de test complet que vous pourrez explorer. Bien que la plupart des utilisateurs fassent le tour du produit en une heure environ, vous disposez de quatre heures pour l'essayer avant que la version d'évaluation n'expire. Si vous avez besoin de plus de temps, vous pouvez revenir sur la page WAF-as-a-Service de la place de marché Azure pour obtenir une licence d'évaluation et démarrer un essai gratuit de 30 jours.

Remonter en haut de page
Tweeter
Partager
Partager