Barracuda full logo

Les dossiers du SOC : un gang de ransomware armé de Python refait surface pour affronter un mur de défenses XDR

Thèmes:
14 mai 2025
|

L’équipe Managed XDR de Barracuda a récemment contré une attaque présumée par ransomware dans laquelle les pirates avaient accédé au réseau d’une entreprise avant qu’elle n’installe XDR, compromettant plusieurs machines Windows et un compte administrateur. Lorsque les cybercriminels sont revenus pour mener à bien leur attaque, une suite de solutions Barracuda Managed XDR était en place, capable de suivre, de contenir et de neutraliser l’attaque.

Résumé de l’incident

  • À un moment donné avant le déploiement de Barracuda Managed XDR, un groupe soupçonné d’être à l’origine d’un ransomware a accédé au réseau vulnérable de l’entreprise et a compromis deux machines et un compte administrateur.
  • Cependant, lorsque les pirates ont tenté de lancer l’attaque principale, une suite de solutions Managed XDR était en place, capable de détecter, surveiller, contenir et neutraliser l’activité malicieuse malgré la faille préexistante.
  • Les cybercriminels n’ont pas pu propager l’attaque à grande échelle ni causer de dommages importants, même s’ils ont créé des tâches planifiées, se sont déplacés latéralement, ont infecté d’autres machines avec une charge utile malicieuse basée sur Python, ont contacté le centre de commande et de contrôle (C2) et ont exfiltré une petite quantité de données à partir d’une machine infectée.
  • La puissance combinée de Managed XDR Server Security, Endpoint Security et Network Security a permis d’isoler les machines infectées et de partager les informations issues des journaux du firewall qui ont révélé les communications C2 et l’exfiltration. Le client a ainsi pu être pleinement informé des événements et anticiper les conséquences potentielles, combler les lacunes et renforcer sa protection pour l’avenir.

Barracuda Managed XDR est un service de visibilité, de détection et de réponse étendues (XDR) soutenu par un centre d’opérations de sécurité (SOC) expert qui fournit aux clients des services de détection, d’analyse et d’atténuation des menaces. Il est assuré 24 heures sur 24 par des humains et l’IA afin de protéger la clientèle contre les menaces complexes.

Le déroulement de l'attaque

À 8 h 33, le SOC de Barracuda a détecté la création d’une tâche planifiée suspecte sur le réseau d’un client Managed XDR. L’équipe a immédiatement alerté le client. Il s’agissait en fait d’une attaque par ransomware qui avait commencé quelque temps avant que l’entreprise n’installe Barracuda Managed XDR.

Le gang de ransomware avait réussi à accéder au réseau et à compromettre deux machines, dont un serveur Windows et un compte disposant de privilèges d’administrateur.

Cependant, lorsque les pirates sont revenus pour lancer l’attaque principale, la victime avait déployé une suite de services Barracuda Managed XDR, notamment Managed XDR Endpoint Security, Server Security et Network Security. Ensemble, ces services ont pu suivre et contenir l’incident en cours.

Le cœur de l'attaque

Une heure après avoir créé la tâche planifiée suspecte, l’« administrateur » s’était déplacé sur le réseau pour infecter trois autres appareils avec un fichier Python compressé appelé python3.12.zip, qui a ensuite été décompressé via PowerShell.

Ils ont également créé des tâches planifiées supplémentaires avec des noms aléatoires tels que \Task_e8ixq., T\Task_258bd060, \Task_f6isq et \Task_e8ixq.

Les machines piratées ont occasionnellement envoyé des requêtes ping à leur serveur de commande et de contrôle (C2).

Les analystes en cybersécurité ont détecté cette activité et ont mis les machines en quarantaine afin de les empêcher d’interagir davantage avec le réseau et de propager l’attaque.

L’équipe a également identifié les hachages des fichiers contenant le code malicieux et les a ajoutés à la liste noire. Cela a permis au SOC de mettre en quarantaine toute autre instance de ces fichiers dans l’environnement.

À l’aide des journaux du firewall collectés via Managed XDR Network Security, l’équipe SOC a pu trouver des preuves des communications C2 avec trois des cinq appareils infectés. Elle a également découvert des signes d’exfiltration de données, une petite quantité de données ayant été envoyée vers une destination externe à partir de l’un des appareils compromis.

Au nom du client, l’équipe SOC a tenté d’utiliser l’approche SOAR (automatisation et réponse en matière de sécurité) et la réponse automatisée aux menaces (ATR) pour bloquer l’adresse IP malicieuse associée au serveur C2. Cependant, une erreur de configuration a empêché cette opération. Le SOC a alors collaboré avec le client pour ajouter rapidement la liste noire directement sur son firewall.

Grâce à Managed XDR, les pirates n’ont pas pu causer de dommages réels.

Les auteurs d’une attaque par ransomware trouvent XDR sur leur chemin

Leçons apprises

Malgré la faille initiale qui a permis aux pirates d’accéder au réseau, la suite de services XDR gérés déployée par la cible a permis de détecter, suivre et bloquer l’activité malveillante.

Barracuda Managed XDR Server Security a détecté les tâches planifiées suspectes créées sur le serveur, et le SOC a utilisé Managed XDR Endpoint Security pour remonter ces événements jusqu’à différents points de terminaison. Grâce à Managed XDR Network Security, l’équipe SOC a également pu identifier les communications avec l’adresse IP du C2 malicieux.

Grâce à leur collaboration, les services ont fourni à la victime précédemment compromise une protection complète qui a considérablement réduit le temps de présence des intrus, les dommages et les perturbations.

Consultez le site Web pour plus d’informations sur Barracuda Managed XDR et SOC. Pour connaître les dernières fonctionnalités, mises à niveau et nouvelles détections de Barracuda Managed XDR, lisez les dernières notes de version.

Pourquoi les tâches planifiées peuvent constituer un signal d’alerte en matière de sécurité

Lors de cet incident, la première alerte de sécurité a été déclenchée par la création d’une tâche planifiée suspecte. Les auteurs d’attaques par ransomware ont souvent recours à des tâches planifiées pour automatiser différentes étapes de l’attaque, maximisant ainsi son impact tout en réduisant les risques de détection.

Les pirates créent des tâches planifiées pour plusieurs raisons, notamment :

  • pour libérer la charge utile du ransomware à un moment précis ;
  • pour maintenir l’accès au réseau, par exemple en planifiant des tâches pour relancer le malware à intervalles réguliers, même s’il est détecté et supprimé ;
  • pour faciliter l’exfiltration furtive de données, par exemple en collectant et en supprimant des informations à intervalles réguliers ;
  • pour désactiver les logiciels antivirus, les firewalls ou les outils de récupération du système, rendant ainsi plus difficile pour l’équipe de sécurité de remédier à l’incident ou de récupérer les données ;
  • pour distribuer le ransomware aux appareils connectés sur le réseau ;
  • pour effacer les traces de l’activité de l’attaque après le chiffrement, rendant ainsi plus difficile pour les équipes de sécurité d’enquêter sur le déroulement de l’attaque.
Découvrez les nouveautés de Barracuda Managed XDR
Billets associés :
Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Premiers signes d’attaques par ransomware basées sur l’IA
Premiers signes d’attaques par ransomware basées sur l’IA
 Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.