Deux gangs de ransomware de haut niveau qui ciblent les vulnérabilités des applications

Depuis le début de l’épidémie de ransomwares, le phishing a toujours été la méthode d’attaque privilégiée par les cybercriminels. La sécurité des e-mails et le comportement des utilisateurs n’ont pas toujours été aussi sophistiqués qu’aujourd’hui. De nombreuses infections par ransomware résultaient de l’inattention des utilisateurs, qui ne vérifiaient pas les liens avant de cliquer dessus. Grâce à l’avènement de l’apprentissage automatique, de la sécurité des e-mails basée sur l’IA comme Barracuda Email Protection et de l’amélioration de la formation et de la sensibilisation des employés aux problèmes de sécurité, le vecteur du phishing n’est plus aussi efficace qu’auparavant pour les criminels du ransomware.

Cette conjoncture a poussé les gangs de ransomware à trouver de nouveaux vecteurs d’attaque. À la recherche d’une nouvelle cible, ils ont commencé à s’intéresser aux applications web, car elles sont généralement mal protégées. Cette tendance a été observée de nombreuses fois depuis quelques années, en premier lieu avec les vulnérabilités de ProxyShell apparues en 2021.

Examinons brièvement deux groupes de ransomware, BlackByte et CL0P, qui utilisent actuellement les vulnérabilités des applications comme méthode d’attaque privilégiée.

Bon à savoir sur BlackByte

Le groupe de ransomware BlackByte a défrayé la chronique lorsque l’équipe de réponse aux incidents de Microsoft a publié un article décrivant la manière dont les attaquants, en l’espace de cinq jours, se sont introduits dans une application web et ont chiffré les appareils dans l’ensemble de l’environnement.

BlackByte a obtenu un accès initial à l’environnement de la victime en exploitant les vulnérabilités ProxyShell sur des serveurs Microsoft Exchange non protégés. Ces vulnérabilités ont été découvertes pour la première fois en 2021 et sont devenues des cibles de choix pour les pirates qui cherchent à s’introduire sur des réseaux d’entreprise.

Le groupe BlackByte a ensuite exploité la vulnérabilité pour obtenir des privilèges système sur les serveurs Exchange compromis. Il est évident qu’aucun correctif n’avait été appliqué aux serveurs Exchange, ceci malgré le temps qui s’était écoulé depuis la découverte de la vulnérabilité. Les attaquants de BlackByte ont ensuite obtenu des privilèges plus élevés, ont créé un shell web et l’ont utilisé pour obtenir un contrôle à distance des serveurs Exchange. L’article de Microsoft fournit des informations détaillées sur la persistance, l’exfiltration des données et le cryptage mis en œuvre, ce qui en fait une lecture captivante.

Cependant, le plus important ici est l’accès initial. Celui-ci a été obtenu par le biais d’une application web accessible au public : un serveur Exchange. Si BlackByte a réussi cette opération, c’est parce que ces applications web sont souvent mal protégées. Les pirates n’ont pas besoin qu’un utilisateur clique sur quoi que ce soit pour avancer dans leur processus. Ils peuvent obtenir un accès, élever les privilèges, déployer un shell web et lancer l’ensemble du processus sans qu’aucun utilisateur ne clique sur un lien. C’est la raison pour laquelle les applications web sont un vecteur d’attaque très puissant pour les groupes de ransomware.

Bon à savoir sur CL0P

Le groupe de ransomware CL0P attire l’attention des médias depuis plus d’un an en raison de l’exploitation qu’il fait de vulnérabilités web. Alors qu’il envoyait initialement des e-mails de phishing pour propager des ransomwares, il s’est ensuite tourné vers les vulnérabilités web pour obtenir l’accès initial. Après 2021, date à laquelle le groupe a ciblé Accelion File Transfer Appliance pour la première fois, le groupe semble s’être tourné vers l’utilisation des vulnérabilités zero-day sur des logiciels gérés de transfert de fichiers similaires. Les utilisateurs du logiciel GoAnywhere MFT et plus récemment MOVEit ont récemment fait l’objet d’attaques très médiatisées. Il n’y a là rien d’étonnant, car ce qui compte le plus pour les criminels du ransomware, c’est que les données soient exfiltrées puis utilisées contre rançon.

Aujourd’hui, les groupes de ransomware sont beaucoup plus organisés. Ils sont bien financés, ont un certain nombre de ressources et un grand nombre d’« employés ». Finie l’époque où ils devaient attendre qu’une vulnérabilité zero-day soit découverte pour pouvoir l’exploiter. Dans le cas de MOVEit, on soupçonne que CL0P était au courant de l’existence de cette vulnérabilité zero-day avant qu’elle ne soit dévoilée publiquement. Dans chacune de ces attaques, le nombre d’entreprises touchées est également très élevé. À l’heure actuelle, la faille de GoAnywhere aurait touché 135 entreprises, et celle de MOVEit, 160.

Garder une longueur d'avance sur les attaquants

Les applications web contiennent souvent des failles qui restent non détectées pendant des années avant d’être dévoilées publiquement dans un feu d’artifice d’infamie. La meilleure façon de se tenir au courant de ces attaques et d’éviter de tomber dans le piège est d’appliquer immédiatement les correctifs. Rappelons cependant que de nombreux administrateurs ont besoin de temps pour appliquer ces correctifs, et ils ont besoin d’une protection pendant qu’ils testent et corrigent leurs systèmes. Barracuda Application Protection offre une protection complète des applications web et des API, ceci quel que soit le lieu d’hébergement des applications. Notre solution empêche les attaques web et API du Top 10 de l’OWASP, les attaques zero-day, les attaques DDoS, les attaques par bot et bien plus encore. Pour bénéficier d’un essai gratuit, accédez à https://www.barracuda.com/products/application-protection/try-free.