Avis sur les menaces de cybersécurité : inquiétudes croissantes concernant le groupe de ransomware ALPHV

Remarque : cet article a été initialement publié sur SmarterMSP.

Ces dernières semaines, les cyberattaques attribuées au groupe de ransomware ALPHV se sont multipliées. Les attaques les plus récentes du groupe ont notamment visé Tipalti, MGM Resorts, Caesars Entertainment, Clorox, McClaren Health Care, Fidelity National Financial, Five Guys, Estée Lauder et NCR. Cet avis sur les menaces de cybersécurité explique comment des pratiques rigoureuses en matière de cybersécurité peuvent vous protéger contre les attaques par ransomware.

Nature de la menace

Le groupe de ransomware ALPHV est apparu pour la première fois sur la scène en novembre 2021. Selon le FBI, le réseau ALPHV/BlackCat a compromis 60 entreprises et autres entités publiques entre novembre 2021 et mars 2022. Il est lié à quelques-unes des attaques les plus médiatisées de ces derniers temps.

Pourquoi est-ce important ?

La capacité du groupe ALPHV/BlackCat à compromettre des systèmes dans des secteurs hautement réglementés suscite des inquiétudes quant au risque de préjudice financier et d’atteinte à la réputation. Contrairement à de nombreux autres ransomwares, ALPHV a été développé avec Rust. Ce langage de programmation est connu pour ses performances rapides et ses capacités multiplateformes. C’est pourquoi des variantes Linux et Windows ont été observées entre décembre 2021 et janvier 2022.

Quel est le risque ou le degré d'exposition ?

Le groupe emploie des techniques éprouvées pour pénétrer dans le réseau de sa cible, notamment en exploitant des vulnérabilités courantes dans des dispositifs d’infrastructure réseau (comme les passerelles VPN) et en détournant des identifiants par le biais d’hôtes RDP (protocole de bureau à distance) exposés. Ensuite, il a été observé qu’il utilise PowerShell pour modifier les paramètres de sécurité de Windows Defender sur l’ensemble du réseau de la victime, ainsi que pour lancer le binaire du ransomware sur plusieurs hôtes à l’aide de PsExec.

Quelles sont les recommandations ?

Barracuda MSP recommande les mesures de sécurité suivantes :

• Dispensez une formation de sensibilisation à la sécurité qui aborde les attaques ciblant le navigateur, par exemple les fausses publicités. Ces attaques conduisent à des intrusions par ransomware, ou à la diffusion d’infostealers qui peuvent faciliter ensuite les intrusions par ransomware.
• Appliquez des règles de réduction de la surface d’attaque autour des fichiers de script tels que .js et .vbs. Attention : certaines attaques peuvent arriver dans des fichiers .ISO, la « Mark of the Web » est perdue et les règles de réduction de la surface d’attaque sont incapables de détecter les fichiers provenant d’Internet.
• Utilisez un système complet de détection et de réponse 24/7 pour vous protéger contre les attaques. Les attaques par ransomware ont tendance à progresser davantage dans la chaîne de frappe (« kill chain ») lorsqu’elles commencent sur des terminaux non protégés.
• Utilisez la journalisation pour vous assurer que vous collectez les données télémétriques, en particulier pour les appareils et les services qui ne prennent pas en charge un agent de terminal (VPN, enregistrement des appareils, logiciels de serveur pour les applications qui ne génèrent pas de données télémétriques de terminal telles que Citrix, IIS et les services cloud).

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :

• https://www.bleepingcomputer.com/news/security/tipalti-investigates-claims-of-data-stolen-in-ransomware-attack
• https://www.cybersecuritydive.com/news/tipalti-investigates-ransomware-supply-chain-attack/701516/

Si vous avez des questions au sujet de cette alerte de menace pour la cybersécurité, veuillez contacter notre "Security Operations Center".