Barracuda full logo

Les dossiers du SOC : XDR détecte le ransomware Akira exploitant un compte « fantôme » et un serveur non protégé

Thèmes:
5 févr. 2025
|

Résumé de l’incident

  • Une entreprise manufacturière a été touchée par le ransomware Akira aux premières heures de la matinée.
  • Les pirates ont pénétré dans le réseau via un compte « fantôme » (un compte créé pour un fournisseur tiers et qui n'a pas été désactivé lorsque le fournisseur est parti).
  • À 1 h 17, les pirates se sont mis à couvert et ont tenté de se déplacer latéralement et de désactiver la sécurité des points de terminaison, les deux tentatives ont été bloquées par Barracuda Managed XDR.
  • Ils ont ensuite déplacé le centre de leur activité vers un serveur non protégé, ont élevé leurs privilèges et ont lancé le ransomware à 2 h 54.
  • À 2 h 59 du matin, tous les appareils impactés couverts par le XDR avaient été neutralisés
  • Les ingénieurs du SOC ont collaboré avec l'entité cible pour la récupération et l'investigation.

L’usage de notre SOC est inclus dans le service de XDR géré de Barracuda. Ce service de visibilité, de détection et de réponse étendues (XDR) fonctionne en continu pour nos clients et fournit des prestations de détection des menaces, d’analyse des systèmes et d’atténuation des risques. Il recourt à des méthodes basées aussi bien sur des interventions humaines que sur l'IA, afin de protéger nos utilisateurs contre les menaces sophistiquées.

Le déroulement de l'attaque

Zones exposées dans l'environnement informatique de la cible

  • L'infrastructure informatique et les politiques de sécurité de la cible comportaient plusieurs zones de risque préexistantes qui augmentaient leur vulnérabilité et les chances de réussite de l'infraction, avec notamment :
    • Appareils non sécurisés sur le réseau
    • Un canal VPN ouvert dans leur firewall
    • L'authentification multifactorielle n'est pas appliquée dans l'ensemble de l'entreprise
    • Un compte qui avait été créé pour un fournisseur tiers n'a pas été désactivé lorsqu'il a quitté
  • À un moment donné avant de déployer l'attaque principale, l'acteur de la menace a mis la main sur les identifiants du compte « fantôme » tiers et les a utilisés pour se connecter via un canal VPN ouvert afin d'accéder au réseau.
  • Il convient de noter que la mise en œuvre supplémentaire de XDR Network Security aurait permis de détecter l'activité suspecte du VPN et de bloquer l'attaque à un stade plus précoce.

Le cœur de l'attaque

  • XDR Endpoint Security a détecté l'acteur de la menace pour la première fois à 1 h 17 du matin, alors qu'il tentait de se déplacer latéralement sur le réseau à l'aide d'un malware voleur d'informations et d'une méthode de piratage qui peut contourner les mots de passe pour accéder à un système informatique (technique de type « pass-the-hash »).
  • Les deux techniques ont été neutralisées avec succès par XDR Endpoint Security. Un mouvement latéral suspect est l'un des indicateurs les plus clairs d'une attaque par ransomware. En 2024, 44 % des incidents de ransomware en cours ont été repérés lors d'un mouvement latéral.
  • Les pirates ont persévéré. Lorsqu'ils se sont rendu compte que la protection des points de terminaison était déployée sur les appareils du réseau, ils ont riposté de deux manières.
  • Tout d'abord, à 01 h 37, ils ont lancé un outil appelé Advanced IP Scanner pour trouver et répertorier tous les appareils du réseau. Ensuite, ils ont tenté d'exécuter des commandes pour désactiver XDR Endpoint Security, mais cela a échoué grâce aux capacités anti-sabotage de XDR.
  • Quelques minutes plus tard, à 1 h 41, l'acteur de la menace a commencé à exécuter un outil appelé WinRAR pour préparer les données à l'exfiltration. WinRAR peut ouvrir la plupart des types de fichiers et est utilisé pour compresser et décompresser des fichiers afin de les télécharger plus rapidement et plus facilement.
  • Dans le même temps, l'acteur de la menace a déplacé le centre de son attaque vers un serveur non protégé où il prévoyait de poursuivre son attaque à l'abri de la visibilité et des restrictions de la sécurité installée sur les points de terminaison.
  • Les pirates ont pu élever leurs privilèges au niveau administrateur à partir du serveur non protégé et exploiter cela pour exécuter l'attaque. Si le serveur avait été couvert par une protection XDR, l'activité suspecte de l'administrateur aurait été signalée.
  • L'acteur de la menace a lancé le ransomware Akira un peu plus d'une heure plus tard, à 2 h 54 du matin. Akira est une offre prolifique de ransomware-as-a-service (RaaS) qui a vu le jour en 2023.  
  • Les pirates ont d'abord exécuté le ransomware sur le serveur non protégé, puis ont tenté de chiffrer à distance les appareils qu'ils pouvaient atteindre via le réseau. Le chiffrement à distance est une tactique courante utilisée par les acteurs de la menace pour contourner les contrôles de sécurité qui pourraient être activés s'ils tentaient d'exécuter le ransomware sur chaque hôte individuel.
  • Cependant, dès que le processus de chiffrement à distance a été lancé, les règles STAR personnalisées de XDR Endpoint Security ont détecté l'activité malveillante et ont commencé à isoler les points de terminaison ciblés du réseau.
  • En l'espace de quatre minutes, à 2 h 59, tous les points d'accès ciblés protégés par XDR avaient été déconnectés du réseau.
  • Peu de temps après, l'équipe SOC de XDR a émis une alerte de sécurité à haut risque pour l'organisation et l'a appelée pour l'informer de l'incident.

Restaurer et récupérer

  • Une fois neutralisé, les ingénieurs en sécurité des points de terminaison du SOC ont collaboré avec la cible pour enquêter sur l'incident et faciliter la récupération.
  • L'équipe SOC a exploité XDR Endpoint Security pour émettre des commandes de restauration sur les points de terminaison ciblés et les restaurer à leur dernier instantané d'avant l'incident.
  • L'enquête menée après l'incident a révélé l'existence d'un canal VPN ouvert dans le firewall et l'absence d'application cohérente de la MFA.
Une entreprise manufacturière attaquée par le ransomware Akira

Les principaux outils et techniques utilisés lors de l'attaque

Outils et techniques utilisés dans une attaque par ransomware Akira

Indicateurs de compromission détectés dans cette attaque (valeurs de hachage SHA1) :

  • 66930dc7e9c72cf47a6762ebfc43cc6a5f7a1cd3
  • b29902f64f9fd2952e82049f8caaecf578a75d0d

Leçons apprises

Cet incident montre à quel point les cyberattaques se multiplient en plusieurs étapes et à plusieurs niveaux, les pirates étant prêts à changer et à s'adapter à des circonstances changeantes ou inattendues, en traquant et en exploitant toutes les zones laissées non protégées et exposées. 

La meilleure protection contre de telles attaques est une défense complète, à plusieurs niveaux, avec une visibilité intégrée et étendue.

Cette démarche devrait s'accompagner d'une attention particulière portée aux principes de base de la cybersécurité.  En voici quelques exemples :

  • Appliquez toujours l'authentification multifacteur, en particulier sur les comptes VPN accessibles de l'extérieur.
  • Mettez en œuvre une politique de mots de passe pour renouveler régulièrement les identifiants afin d'éviter les mots de passe obsolètes.
  • Auditez régulièrement les comptes utilisateurs actifs et désactivez ceux qui ne sont plus utilisés.

Dans cette étude de cas, la couverture de sécurité incomplète a aidé les acteurs de la menace à accéder au réseau et à rester sous le radar jusqu'à ce qu'ils décident de se déplacer latéralement. Cela leur a également permis de préparer et de lancer les différentes phases de l'attaque à partir d'un appareil qui ne pouvait pas être scanné et surveillé par des outils de sécurité.

Chaque tentative de progression de l'attaque impliquant un point de terminaison protégé par XDR a été atténuée et corrigée en quelques minutes.

XDR peut vous aider par d'autres moyens, notamment :

  • XDR Endpoint Security fournit des données de manière proactive sur les appareils non protégés, afin que les entreprises soient informées des appareils de leur réseau sur lesquels aucune sécurité des points de terminaison n'est déployée et qui pourraient être exploités par des pirates.
  • L'extension de la couverture XDR à la sécurité du réseau aurait pu détecter l'activité VPN suspecte à un stade plus précoce de l'attaque. XDR s'appuie sur SOAR (orchestration, automatisation et réponse de sécurité), ce qui aurait permis de bloquer automatiquement l'adresse IP malveillante utilisée par les pirates.
  • Enfin, l'extension de la couverture XDR pour inclure la sécurité du serveur aurait pu détecter l'activité inhabituelle et l'élévation des privilèges se déroulant discrètement sur le serveur.

La plateforme de XDR de Barracuda dispose de fonctionnalités qui apportent une protection complète contre les risques. Elles permettent de bloquer les activités malveillantes dans des délais très courts. Ces fonctionnalités comprennent la collecte et l’usage de renseignements sur les menaces, la réponse automatisée aux menaces ainsi que des intégrations avec des outils Barracuda XDR de plus large portée — comme nos outils de sécurisation des serveurs, de protection des réseaux et de sécurisation du cloud.

Vous trouverez davantage d'informations ici : le service de XDR géré et le centre d'opérations de sécurité de Barracuda.

Gardez une longueur d’avance sur les pirates avec une cybersécurité gérée 24/7
Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.