Barracuda full logo

Les dossiers du SOC : le logiciel rançonneur Play cible une entreprise manufacturière

Thèmes:
21 nov. 2024
|

Résumé de l’incident

  • Une entreprise manufacturière des États-Unis a récemment été ciblée par le groupe de pirates rançonneurs Play. L’incident s’est produit une nuit au petit matin.
  • À 1 h 00, les criminels sont parvenus à accéder frauduleusement à un contrôleur de domaine insuffisamment protégé.
  • À 3 h 20, le gang a tenté de lancer l’exécution de son logiciel rançonneur. Il a ciblé un certain nombre de points de terminaison qui étaient surveillés par notre centre d’opérations de sécurité (SOC).
  • Notre SOC a décelé l’attaque, alerté notre client et pris des mesures de réponse automatisées.
  • À 3 h 23 du matin, les pirates étaient déjà bloqués et l’accès au réseau de notre client leur avait été coupé.

L’usage de notre SOC est inclus dans le service de XDR géré de Barracuda. Ce service de visibilité, de détection et de réponse étendues (XDR) fonctionne en continu pour nos clients et fournit des prestations de détection des menaces, d’analyse des systèmes et d’atténuation des risques. Il recourt à des méthodes basées aussi bien sur des interventions humaines que sur l'IA, afin de protéger nos utilisateurs contre les menaces sophistiquées.

Le déroulement de l'attaque

L'attaque a eu lieu au cours de la nuit d’un mardi d'octobre.

  • Vers une heure du matin, les acteurs de la menace sophistiquée ont commencé leur attaque. Ils ont commencé par profiter d’identifiants mal sécurisés associés à un compte d'administrateur de domaine. Cette méthode leur a permis de s'authentifier auprès d'un serveur de contrôle à distance insuffisamment protégé, à partir duquel ils prévoyaient de mener à bien l'ensemble de leur opération.
  • Leur cible ne disposait pas d’un système de XDR en fonctionnement pour assurer la sécurité de ses serveurs. Une lacune était donc présente dans les capacités de surveillance mises en œuvre, ce qui a empêché de déceler les activités anormales sur le contrôleur de domaine dès le début de l’attaque.

Le cœur de l'attaque

  • Les pirates ont ensuite tenté de persévérer. Ils ont cherché à contrôler à distance l’hôte qu’ils visaient. Pour ce faire, ils ont installé sur leur serveur cible une application légitime destinée à la surveillance et à la gestion à distance (RMM).
  • Ensuite, ils ont employé la tactique d’attaque consistant à « vivre de la terre » (« Living off the Land », LotL). Dans cette optique, ils ont recouru à PsExec, outil Windows natif souvent utilisé à mauvais escient par les acteurs malveillants. Les pirates se sont servis de PsExec pour créer de nouveaux fichiers destinés à faire durer leur attaque.
  • Les attaquants ont ensuite tenté d'interroger le registre de leur cible pour en extraire la clé SysKey, dans le but de se procurer frauduleusement des identifiants et de manœuvrer latéralement. À ce stade, notre système de XDR est intervenu. Son dispositif de sécurisation des terminaux a détecté l’opération malveillante en cours et l’a neutralisée.
  • Les criminels ont ensuite cherché à enrayer le système de défense auquel ils faisaient face. Ils ont essayé de désactiver le pare-feu du système d'exploitation de leur cible, de manipuler Windows Defender et d’éliminer les doubles de certains fichiers. Toutes ces tentatives ont également été déjouées par le dispositif de sécurisation des terminaux de notre système de XDR.
  • Pour finir, les pirates ont essayé à 3 h 20 de lancer l’exécution du logiciel rançonneur Play, en vue de crypter un certain nombre d’éléments appartenant à leur cible. C’est encore l’outil de protection des terminaux de notre système de XDR qui a rapidement neutralisé cette tentative.
  • À 3 h 23, les points d'accès ciblés par les criminels avaient été isolés du reste du réseau visé. La tentative d'attaque avait échoué.

Restaurer et récupérer

  • L'agent SentinelOne de notre système de XDR, qui fait partie du dispositif de sécurisation des terminaux, est entré en jeu. Tout au long du déroulement de l'attaque, il a mis fin aux processus malveillants, il a mis en quarantaine les fichiers indésirables et il a atténué les effets néfastes produits.
  • Les règles ajustables de notre outil Storyline Active Response (STAR), élaborées par les ingénieurs du centre de sécurité de Barracuda, ont été efficaces. Elles ont permis de détecter correctement l’opération de manipulation de fichiers qui indiquait une tentative de chiffrement de données. En conséquence, les mesures de réponse qui s’imposaient ont bien été prises, ce qui a permis d’isoler les points de terminaison ciblés par les pirates.
  • Les analystes du centre de sécurité de Barracuda, qui travaillent 24 heures sur 24 et 7 jours sur 7, sont intervenus par mesure de précaution. Ils ont isolé tous les autres points de terminaison sur lesquels des activités suspectes avaient été observées.
  • Notre centre d’opérations de sécurité a également émis des commandes de retour en arrière, afin de restaurer les points de terminaison ciblés à l’état où ils étaient avant l’apparition des menaces.
  • Ce centre a analysé les événements constatés et en a déterminé la chronologie. De plus, il a dressé la liste des éléments clés en rapport à l’attaque, qui comprennent le compte d’administrateur mal sécurisé, le serveur infiltré et les communications utilisant une adresse IP malveillante.
  • Il a également fourni des conseils très importants à l'organisation ciblée pour l'aider à renforcer la sécurité de son environnement.
Dossier du SOC – Le logiciel rançonneur Play – Entreprise manufacturière des États-Unis

Les principaux outils et techniques utilisés lors de l'attaque

outils et techniques utilisés lors de l'attaque par le logiciel rançonneur Play

Leçons apprises

Les attaques informatiques visent souvent des couches multiples. En conséquence, les systèmes de protection les plus complets sont ceux qui disposent de capacités de visibilité étendues et qui assurent une défense multicouche.

Dans le cas présent, les pirates ont pu rester invisibles pendant les premières phases de leur attaque en raison d’une lacune dans la couverture de sécurité de leur cible. De ce fait, ils ont été en mesure d’exploiter un contrôleur de domaine pour tenter de faire escalader leurs privilèges et de manœuvrer latéralement. Cette tactique est couramment employée pour les attaques sophistiquées. Les pirates sont restés actifs pendant plus de deux heures sur le réseau qu’ils visaient avant d'atteindre un point de terminaison surveillé par notre système de XDR. À ce stade, leur attaque a été contrecarrée et neutralisée en quelques minutes.

La plateforme de XDR de Barracuda dispose de fonctionnalités qui apportent une protection complète contre les risques. Elles permettent de bloquer les activités malveillantes dans des délais très courts. Ces fonctionnalités comprennent la collecte et l’usage de renseignements sur les menaces, la réponse automatisée aux menaces ainsi que des intégrations avec des outils Barracuda XDR de plus large portée — comme nos outils de sécurisation des serveurs, de protection des réseaux et de sécurisation du cloud.

Vous trouverez davantage d'informations ici : le service de XDR géré et le centre d’opérations de sécurité de Barracuda.

Gardez une longueur d’avance sur les pirates avec une cybersécurité gérée 24/7.
Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Premiers signes d’attaques par ransomware basées sur l’IA
Premiers signes d’attaques par ransomware basées sur l’IA
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.