Threat Spotlight : histoires inédites sur les ransomwares

Thèmes:

24 août 2022

Les ransomware restent une menace pour les entreprises, quelle que soit leur taille, dans une année dominée par l'incertitude géopolitique et le chaos. L'année 2022 a démarré avec la guerre en Ukraine et depuis lors, les objectifs de nombreuses cyberattaques majeures ont changé : après le pur gain financier, les pirates cherchent désormais à créer autant de dégâts et de perturbations que possible.

Les attaques de ransomware surviennent encore à un rythme incontrôlable. Parfois, ce sont des vagues de malwares wiper. Nos chercheurs ont analysé 106 attaques de ransomware très médiatisées entre août 2021 et juillet 2022 et ont identifié une augmentation des attaques sur tous les secteurs les plus ciblés, les attaques visant des infrastructures critiques ayant même quadruplé sur cette période.

Outre ces attaques qui font les titres de l'actualité, un nombre bien plus important de petites entreprises se battent en silence contre des ransomware et tentent tant bien que mal de se remettre sur pied après ces attaques. Pour faire la lumière sur ces histoires de ransomware encore inconnues, nous avons également recueilli cette année des données et des exemples auprès de notre équipe SOC-as-a-Service, en examinant le volume d’attaques détectées par le SOC et le nombre d’incidents de ransomware qu'il a permis de résoudre pour ces entreprises.

tentatives de ransomware

Le volume de menaces de ransomware détectées par l'équipe SOC a atteint un pic entre janvier et juin de cette année, pour atteindre plus d'1,2 million de menaces par mois En comparaison, le nombre d'incidents de ransomware réels a atteint un pic en janvier puis a commencé à ralentir en mai.

réponse aux incidents après un ransomware

Dans ce Threat Spotlight, nous examinerons les schémas d'attaque que nous avons identifiés dans notre analyse des 12 derniers mois et proposerons des conseils sur la prévention et la reprise après attaque.

Menaces particulièrement importantes

Ransomware — Les cybercriminels utilisent des logiciels malveillants, qui se présentent souvent sous forme de pièce jointe ou de lien dans un e-mail, pour infecter le réseau et bloquer l'accès aux e-mails, aux données et autres fichiers critiques jusqu'au paiement d'une rançon. Sophistiquées et en perpétuelle évolution, ces attaques occasionnent des dégâts et des frais importants. Elles ont en effet la capacité de gripper le fonctionnement quotidien des administrations et de semer le chaos. Il en résulte des pertes financières importantes du fait de l'interruption de service, du paiement de la rançon, des coûts liés à la reprise et d'autres dépenses imprévues et non budgétées.

En 2021, est apparue une nouvelle tendance, la double extorsion, dans laquelle les pirates dérobent des données sensibles à leurs victimes et demandent un paiement en échange de la promesse de ne pas publier ni vendre les données à d'autres criminels. En plus de cela, nous avons détecté, dans nos recherches de cette année, des cas où les pirates demandaient également des frais ou des pénalités de retard si la rançon n'était pas versée rapidement.

Les détails

Parmi les 106 attaques très médiatisées analysées par nos chercheurs, les cinq secteurs suivants restent les cibles principales : l'éducation (15 %), les municipalités (12 %), la santé (12 %), l'infrastructure (8 %) et le secteur financier (6 %).

Attaques par ransomware, par secteur

Le nombre d’attaques de ransomware a augmenté depuis l'année dernière dans chacun de ces cinq secteurs, et les attaques visant les autres secteurs ont plus que doublé par rapport à ce que nous avons constaté l’année dernière.

comparaison annuelle des attaques de ransomware

Tandis que les attaques contre les municipalités n’ont que légèrement augmenté, notre analyse des 12 derniers mois a montré que les attaques de ransomware visant les établissements d’enseignement ont plus que doublé et que les attaques visant les secteurs de la santé et des finances ont triplé.

Les attaques liées à l’infrastructure ont été multipliées par quatre, ce qui montre que les cybercriminels cherchent aujourd'hui à causer des dommages dans un rayon beaucoup plus vaste que la première victime. Nous réalisons donc à quel point nous sommes tous vulnérables aux cyberattaques potentielles provenant des États-nations, car ce sont les menaces les plus probables après celles qui visent les infrastructures.

Cette année, nous nous sommes davantage intéressés aux attaques très médiatisées pour déterminer quels autres secteurs commencent à être ciblés. D'après les graphiques ci-dessous, vous pouvez constater que ce sont les prestataires de services qui ont été le plus touchés (14 %). Qu'ils fournissent des services informatiques ou d'autres services professionnels, ces types d'entreprises sont des cibles de choix pour les gangs de ransomware en raison de la nature de l'accès qu'ils ont aux systèmes de leurs clients. L'accès aux victimes se multiplie si les pirates réussissent à mettre un pied chez ces prestataires de services.

ransomware dans les autres secteurs

Les attaques de ransomware visant les entreprises du secteur automobile, de l'hôtellerie, des médias, du commerce de détail, des logiciels et des technologies ont également augmenté, et nous les surveillerons à l’avenir.

comparaison des ransomware dans les autres secteurs

Notez que nos données ne montrent aucune attaque de ransomware visant les entreprises de cybersécurité entre août 2021 et juillet 2022. La récente attaque qui a frappé Cisco n'a été confirmée que mi-août, et n'a donc pas été incluse dans cet ensemble de données.

Ce qu’il faut retenir

Au cours de l'année dernière, davantage de paiements de ransomware ont pu être récupérés par les forces de l'ordre et de nouveaux niveaux de coopération entre les États-Unis et l’Union européenne ont été mis en place pour lutter contre les ransomware.

Je suis donc surpris de constater que les pirates à l'origine des ransomware persistent face à ces mesures gouvernementales et qu'ils restent dans ce business en multipliant les tentatives d'extorsion.

Je suis également étonné de voir qu'un grand nombre d'attaques aboutissent contre des systèmes VPN sans mécanisme d'authentification solide. La transition rapide au télétravail en raison de la pandémie de COVID-19 a montré la faiblesse de ces systèmes pour de nombreuses entreprises. Pas surprenant donc que les cybercriminels continuent d'essayer d'exploiter ces vulnérabilités, même si les entreprises ont eu suffisamment de temps pour améliorer leur système d'authentification.

La bonne nouvelle, c'est que dans notre analyse des attaques très médiatisées, nous avons constaté que de moins en moins de victimes payaient la rançon et que plus d’entreprises tenaient bon, grâce à de meilleures défenses, en particulier dans les attaques contre les infrastructures critiques.

La collaboration avec le FBI et d'autres agences des forces de l'ordre a également un impact. Selon moi, les attaques visant les infrastructures critiques ont été une prise de conscience pour les autorités, les forçant à prendre des mesures. Les accords passés entre différents États-nations et dirigeants ont créé une forme de collaboration pour sévir contre ces crimes.

3 attaques de ransomware réelles

Cependant, la majorité des attaques de ransomware ne font pas les gros titres. Bon nombre de victimes choisissent de ne pas rendre publique l'attaque. Les attaques sont souvent sophistiquées et très difficiles à gérer pour les petites entreprises. Pour étudier de plus près l'impact des ransomware sur les petites entreprises, revenons sur trois exemples tirés de notre équipe SOC-as-a-Service. Nous passerons en revue l'anatomie de chaque attaque et aborderons les solutions qui auraient pu stopper ces attaques.

Étude de cas 1 : BlackMatter

Vecteur de menace initial : les pirates ont utilisé un e-mail de phishing envoyé en août 2021 pour compromettre l'un des comptes de la victime. À partir de là, ils ont continué d'étendre leur attaque sur la cible en analysant et en s'infiltrant latéralement dans l'infrastructure, pour au final installer des outils de piratage et dérober des données.

Exemple du ransomware BlackMatter

Demande de rançon : l'entreprise a reçu une demande de rançon en septembre 2021 et a contacté son prestataire de services pour obtenir de l'aide de la part de notre équipe SOC.

Maîtrise de l'attaque et analyse : l'équipe SOC a analysé les logs des événements, déployé des outils EDR, isolé les systèmes infectés et fourni un contact au FBI. L'équipe a également mis en place un blocage géographique sur le firewall de l'entreprise, a démarré une surveillance et mis en place la réinitialisation des mots de passe.

Reprise : les machines chiffrées ont été remises en route à partir de la sauvegarde et les machines affectées remises en ligne. Un audit complet du compte a été réalisé et l'authentification multifacteur activée.

Paiement de la rançon : dans ce cas, l'entreprise a choisi de verser la rançon, en négociant de payer la moitié du montant exigé au départ, en bitcoins. Malheureusement, les données volées ont tout de même été divulguées par les cybercriminels quelques semaines plus tard.

Étude de cas 2 : Karakurt

Vecteur de menace initial : en octobre 2021, une attaque par force brute sur une page de connexion VPN a compromis plusieurs contrôleurs de domaine. Les cybercriminels se sont ensuite servis du protocole RDP pour s'introduire sur les systèmes compromis. Puis, en novembre 2021, ils ont commencé à modifier les règles du firewall.

Exemple d'attaque Karakurt

Demande de rançon : l'entreprise a reçu une demande de rançon en janvier 2022 et a contacté son prestataire de services pour obtenir de l'aide de la part de notre équipe SOC.

Réponse à l'incident : l'équipe a analysé les logs des événements et isolé les systèmes infectés. Un blocage géographique a été mis en place sur le firewall et les indicateurs de compromission (IOC) détectés ont été bloqués. Les applications de stockage de fichiers dans le cloud et de bureau à distance ont été bloquées. Le client a été ajouté à la surveillance, le compte compromis réinitialisé et des règles dédiées créées dans le SIEM.

Reprise : l'entreprise a travaillé avec un tiers pour la récupération et l'enquête liée à l'attaque.

Fuite de données : les données dérobées pendant l'attaque ont été divulguées en ligne en février 2022.

Étude de cas 3 : Lockbit

Vecteur de menace initial : la page de connexion SSL au VPN n'avait pas d'authentification multifacteur et les pirates ont réussi à se connecter grâce à des identifiants volés. Les cybercriminels ont ensuite utilisé des scripts PowerShell malveillants et installé des bibliothèques de liens dynamiques (DLL) au niveau du système pour voler davantage d’identifiants et récolter des mots de passe.

Dans cet exemple, plusieurs manquements à la sécurité ont entraîné d'autres conséquences désastreuses, comme un système compromis doté de Windows 7, qui n'était plus pris en charge, car Microsoft a mis fin aux mises à jour de sécurité pour ce système d'exploitation en janvier 2020. La compromission d'un compte administrateur a entraîné la perte d'autres identifiants, avant de se transformer en attaque « Golden Ticket » (jackpot), donnant au pirate un accès supplémentaire aux ressources du domaine, tout en restant relativement peu visible.

Demande de rançon : en avril 2021, l'entreprise a reçu une demande de rançon puis contacté son prestataire de services pour obtenir de l'aide de la part de notre équipe SOC.

Réponse à l'incident : l'équipe a analysé les logs des événements et les serveurs publics, mis en quarantaine les fichiers suspects et recréé Active Directory.

Points communs de ces attaques

Ces attaques présentent plusieurs similarités qu'il est important de noter :

Elles ne se sont pas déroulées sur une seule journée ou une semaine, mais sur plusieurs mois.
Le VPN est constamment ciblé. Pourquoi ? Parce qu'il permet d'accéder à votre infrastructure et vos actifs.
Les identifiants sont soit volés dans des attaques de phishing soit achetés sur le Dark Web.
Vos liens d'identifiants e-mail avec Microsoft 365 sont faits pour être pratiques, mais ils signifient également que l’authentification unique crée de nombreux accès potentiels à votre infrastructure.

En calquant ces trois études de cas sur le framework MITRE ATT&CK, on peut en déduire les ressources et les outils dont disposent les pirates. Toute combinaison de ces outils et méthodes peut complexifier la défense de votre entreprise, et il existe des centaines de combinaisons possibles.

Comment se protéger des attaques de ransomware

Voici cinq mesures que vous pouvez prendre dès maintenant pour vous protéger de ce type d'attaque :

Désactiver les macros – empêchez toute exécution en désactivant les scripts de macros des fichiers Microsoft Office transmis par e-mail.
Mettez en place une segmentation solide du réseau pour limiter la propagation d'un ransomware s'il réussit à s'infiltrer sur votre système.
Supprimer toute application non utilisée ou inhabituelle – recherchez tout logiciel non autorisé, comme les bureaux à distance ou la surveillance à distance, qui peuvent signaler que la machine a été compromise.
Améliorer les services de protection des applications web et des API – protégez vos applications web des pirates et des bots malveillants en activant des services de protection API et des applications web, qui incluent la protection contre les attaques DDoS.
Renforcer le contrôle d'accès aux sauvegardes – la sauvegarde devrait être hors ligne, les identifiants cloud devraient être différents des identifiants normaux.

Les solutions de sécurité basées sur des règles ne seront pas suffisamment fortes contre ce genre d'attaque et leurs évolutions. Quand la surface d'attaque augmente, la solution doit tirer parti de l'intelligence artificielle à la fois pour être plus efficace et pour comprendre le comportement de ces attaques.

Protégez-vous des ransomwares en quelques clics.

Fleming Shi

Fleming Shi est directeur technologique chez Barracuda et, à ce titre, dirige les équipes d'ingénieurs spécialisés dans la recherche et l'innovation pour permettre l'émergence des plateformes technologiques de demain. Il a déposé plus de 20 brevets et demandes de brevets dans le domaine de la sécurité des réseaux et des contenus. Connectez-vous avec lui sur LinkedIn.