Barracuda full logo

Les dossiers du SOC : RansomHub exploite le bug FortiGate dans une attaque bloquée par XDR

Thèmes:
20 mars 2025
|

L’équipe Managed XDR de Barracuda a récemment fait face à une attaque déterminée et complexe menée par un gang de ransomwares. Les pirates, qui tentaient de s’introduire dans le réseau d’une entreprise manufacturière depuis décembre 2024, ont finalement réussi à exploiter une vulnérabilité du firewall.

Résumé de l’incident

  • Ils ont d’abord tenté d’accéder au système via une attaque par force brute en décembre 2024, mais ont été détectés par Barracuda Managed XDR.
  • Les pirates sont revenus en janvier 2025, à la recherche de failles via des connexions SMB externes.
  • Ils ont finalement réussi à accéder au système via un firewall FortiGate vulnérable.
  • Cela leur a permis de contourner l’authentification, d’ajouter des utilisateurs au firewall et d’en supprimer, et de modifier les paramètres VPN et les intégrations API avec XDR, avant de supprimer tous les autres utilisateurs du firewall et de bloquer l’accès au réseau pour la victime.
  • Les pirates ont tenté de déployer le ransomware sur des serveurs en exécutant du code à distance.
  • Les appareils concernés ont été immédiatement mis en quarantaine par Barracuda Managed XDR et l’équipe a alerté le client.
  • Les ingénieurs du SOC ont collaboré avec l’entité cible pour la récupération et l’investigation.

L’usage de notre SOC est inclus dans le service de XDR géré de Barracuda. Ce service de visibilité, de détection et de réponse étendues (XDR) fonctionne en continu pour nos clients et fournit des prestations de détection des menaces, d’analyse des systèmes et d’atténuation des risques. Il recourt à des méthodes basées aussi bien sur des interventions humaines que sur l'IA, afin de protéger nos utilisateurs contre les menaces sophistiquées.

Le déroulement de l'attaque

Accès initial

  • Le 10 décembre 2024, Barracuda Managed XDR a détecté un adversaire qui tentait d’attaquer par force brute le firewall d’un client en utilisant le compte « admin ». L’attaque a été exécutée à partir d’une adresse IP enregistrée en Chine et connue pour être utilisée dans des actes de malveillance. Le client a été immédiatement alerté.
  • Les pirates sont revenus un mois plus tard. Le 3 janvier, ils ont commencé à explorer le réseau de la cible en utilisant des connexions SMB externes. Le protocole Server Message Block (SMB) permet le partage de fichiers et d’imprimantes, la navigation sur le réseau et la communication entre processus sur un réseau informatique. L’exploitation de ces connexions permet à un pirate de rechercher des failles. Au bout de 10 jours, soit le 13 janvier, les pirates semblaient avoir abandonné.
  • Le lendemain, le 14 janvier, Fortinet a signalé qu’une vulnérabilité zero-day critique affectant les appareils FortiGate en 2024 était activement exploitée par des cyberattaquants. Cette vulnérabilité, répertoriée sous le nom de CVE-2024-55591, permet aux pirates de contourner l’authentification afin d’obtenir des privilèges d’administrateur complets sur les appareils vulnérables. Cela peut permettre aux pirates de modifier les paramètres du firewall, de créer des comptes administrateurs malveillants, d’accéder aux réseaux internes, etc.  
  • La cible avait un firewall FortiGate vulnérable.
  • Après leurs tentatives infructueuses d’attaque par force brute du firewall et le succès limité de leurs efforts de reconnaissance, les pirates ont finalement pu exploiter le firewall vulnérable pour pénétrer dans le système.

Le cœur de l'attaque

  • Entre le 30 janvier et le 13 février, un utilisateur du nom de « Zero » a ajouté deux nouveaux utilisateurs, « Super Admin » et « Admin », au firewall FortiGate de la cible.
  • Le vendredi 14 février, Barracuda Managed XDR a détecté de nouvelles connexions SSL-VPN provenant de Suède et de Chicago.
  • Peu de temps après, les pirates ont commencé à modifier les politiques de firewall de la cible, les paramètres VPN, les profils d’utilisateurs locaux et les intégrations API avec XDR pour prendre le contrôle total de l’environnement de la victime.
  • Le dimanche 16 février, ils ont supprimé d’autres comptes d’utilisateurs et les règles de firewall destinées à bloquer le trafic en provenance de certains endroits. Cela leur a permis d’effacer toute trace de leur activité et de bloquer l’accès des victimes à leur propre réseau.
  • Barracuda Managed XDR a également constaté que l’outil PSExec avait été installé sur le contrôleur de domaine et les serveurs de sauvegarde, probablement pour permettre l’exécution de code à distance et le déplacement latéral.
  • Les pirates ont ensuite essayé de déployer le ransomware RansomHub sur six serveurs à l’aide de plusieurs exécutables exécutés à distance. Barracuda Managed XDR a immédiatement détecté cette activité, mis les serveurs en quarantaine et contacté le client.
  • RansomHub est une plateforme de ransomware en tant que service (RaaS) relativement récente, mais prolifique. En fin 2024, elle était le principal groupe de ransomware. Son succès est dû en partie à sa structure de paiement favorable, où les affiliés peuvent conserver 90 % des rançons. RansomHub est un bon exemple de l’écosystème en évolution des ransomwares, où des méthodes d’attaque sophistiquées, le partage et la réutilisation d’outils et de ressources, ainsi que des partenariats cybercriminels se combinent pour rendre la menace hautement adaptative et difficile à combattre.
Attaque RansomHub exploitant un bug Fortigate

Restaurer et récupérer

  • Une fois l’incident neutralisé, les ingénieurs chargés de la réponse aux incidents du SOC ont collaboré avec la cible pour enquêter sur l’incident et faciliter la récupération.
  • L’équipe SOC a procédé à une évaluation complète de l’incident afin d’identifier le point d’entrée et le cycle de vie de l’attaque.
  • L’enquête complète a duré environ deux semaines et, une fois terminée, l’équipe SOC a fourni un rapport d’incident à l’entreprise cible afin qu’elle puisse appliquer les mesures restantes et tirer des leçons de cet incident.

Les principaux outils et techniques utilisés lors de l'attaque

Outils et tactiques utilisés dans une attaque RansomHub

Indicateurs de compromission détectés dans cette attaque :

Exécutables utilisés par les pirates :

  • 3e9a87df1c99c3907f4a00f4d5902380960b78dd
  • c4780dde6daaed7129c077ae3c569659296ca41f
  • e2e35e9fc1a7bcdf21124cbdaaa41572d27ed88a
  • 9664762c8b1f62c355a5a786a1a1616c73aaa764

Adresses IP utilisées par l’auteur de la menace :

  • 208[.]91[.]112[.]55
  • 80[.]94[.]95[.]248
  • 13[.]37[.]13[.]37

Leçons apprises

Cet incident montre que les pirates tentent différentes approches pour accéder à une cible et qu’une vulnérabilité de haute sévérité non atténuée expose les entreprises à des risques importants.

La meilleure protection contre de telles attaques est une défense complète, à plusieurs niveaux, avec une visibilité intégrée et étendue. Cette démarche devrait s'accompagner d'une attention particulière portée aux principes de base de la cybersécurité.  En voici quelques exemples :

  • Installez toujours les mises à jour des logiciels de sécurité ou mettez en place des solutions pour les principales vulnérabilités, et ce dès que possible.
  • Appliquez toujours l'authentification multifacteur, en particulier sur les comptes VPN accessibles de l'extérieur.

La plateforme de XDR de Barracuda dispose de fonctionnalités qui apportent une protection complète contre les risques. Elles permettent de bloquer les activités malveillantes dans des délais très courts. Ces fonctionnalités comprennent la collecte et l’usage de renseignements sur les menaces, la réponse automatisée aux menaces ainsi que des intégrations avec des outils Barracuda XDR de plus large portée — comme nos outils de sécurisation des serveurs, de protection des réseaux et de sécurisation du cloud.

Vous trouverez davantage d'informations ici : le service de XDR géré et le centre d'opérations de sécurité de Barracuda.

Gardez une longueur d’avance sur les pirates avec une cybersécurité gérée 24/7.
Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Premiers signes d’attaques par ransomware basées sur l’IA
Premiers signes d’attaques par ransomware basées sur l’IA
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.