Les fuites de données sont un point sensible pour les services de sécurité. Et maintenant que la plupart des gens travaillent à domicile, le risque de fuites est bien plus grand. C’est pourquoi des groupes de cybercriminels de renom accordent une attention accrue aux protocoles d’accès à distance obsolètes et insuffisamment sécurisés. Et, fait intéressant, de plus en plus de fuites de données sont aujourd’hui associées aux Ransomwares. Comment, pourquoi et de quelle manière - lisez sous la coupe.
Commençons par le fait que le développement et la distribution de ransomwares constituent en soi une activité criminelle très rentable. Par exemple, selon le FBI américain, au cours de la dernière année, elle a gagné environ 1 million de dollars par mois. Et les attaquants qui ont utilisé Ryuk ont reçu encore plus : au début des activités du groupe, leurs revenus s'élevaient à 3 millions de dollars par mois. Il n’est donc pas surprenant que de nombreux responsables de la sécurité de l’information (RSSI) citent les ransomwares parmi leurs cinq principaux risques commerciaux.
L'Acronis Cyber Protection Operation Center (CPOC), situé à Singapour, confirme une augmentation de la cybercriminalité dans le domaine des Ransomwares. Au cours de la seconde quinzaine du mois de mai, 20 % de ransomwares en plus que d’habitude ont été bloqués dans le monde. Après une légère baisse, nous constatons à nouveau en juin une augmentation de l'activité. Et il y a plusieurs raisons à cela.
Accédez à l'ordinateur de la victime
Les technologies de sécurité évoluent et les attaquants doivent quelque peu modifier leurs tactiques pour pénétrer dans un système spécifique. Les attaques ciblées de Ransomware continuent de se propager via des e-mails de phishing bien conçus (y compris l'ingénierie sociale). Cependant, ces derniers temps, les développeurs de logiciels malveillants accordent une grande attention aux travailleurs à distance. Pour les attaquer, vous pouvez trouver des services d’accès à distance mal protégés, comme le RDP, ou des serveurs VPN présentant des vulnérabilités.
Voilà ce qu'ils font. Il existe même des ransomwares-as-a-services sur le darknet qui fournissent tout ce dont vous avez besoin pour attaquer une organisation ou une personne choisie.
Les attaquants recherchent tous les moyens de pénétrer dans un réseau d'entreprise et d'élargir leur spectre d'attaques. Ainsi, les tentatives d’infection des réseaux de prestataires de services sont devenues une tendance populaire. Étant donné que les services cloud gagnent tout juste en popularité aujourd'hui, l'infection d'un service populaire permet d'attaquer des dizaines, voire des centaines de victimes à la fois.
Si la gestion de la sécurité basée sur le Web ou les consoles de sauvegarde sont compromises, les attaquants peuvent désactiver la protection, supprimer les sauvegardes et permettre à leurs logiciels malveillants de se propager dans toute l'organisation. C'est d'ailleurs pourquoi les experts recommandent de protéger soigneusement tous les comptes de service à l'aide d'une authentification multifacteur. Par exemple, tous les services cloud Acronis vous permettent d'installer une double protection, car si votre mot de passe est compromis, les attaquants peuvent annuler tous les avantages de l'utilisation d'un système de cyberprotection complet.
Élargir le spectre des attaques
Lorsque l'objectif recherché est atteint et que le logiciel malveillant est déjà présent dans le réseau de l'entreprise, des tactiques tout à fait standards sont généralement utilisées pour une distribution ultérieure. Les attaquants étudient la situation et s'efforcent de surmonter les barrières créées au sein de l'entreprise pour contrer les menaces. Cette partie de l'attaque peut avoir lieu manuellement (après tout, s'ils sont déjà tombés dans le filet, alors l'appât est accroché à l'hameçon !). Pour cela, des outils bien connus sont utilisés, tels que PowerShell, WMI PsExec, ainsi que le plus récent émulateur Cobalt Strike et d'autres utilitaires. Certains groupes criminels ciblent spécifiquement les gestionnaires de mots de passe pour pénétrer plus profondément dans le réseau d'une entreprise. Et des logiciels malveillants tels que Ragnar ont récemment été aperçus dans une image complètement fermée de la machine virtuelle VirtualBox, ce qui permet de masquer la présence de logiciels étrangers sur la machine.
Ainsi, une fois que le malware pénètre dans le réseau de l’entreprise, il tente de vérifier le niveau d’accès de l’utilisateur et d’utiliser des mots de passe volés. Des services publics tels que Mimikatz et Bloodhound & Co. aider à pirater les comptes d'administrateur de domaine. Et ce n'est que lorsque l'attaquant considère que les options de distribution sont épuisées que le ransomware est téléchargé directement sur les systèmes clients.
Un ransomware comme couverture
Compte tenu de la gravité de la menace de perte de données, chaque année, de plus en plus d'entreprises mettent en œuvre ce que l'on appelle le « plan de reprise après sinistre ». Grâce à cela, ils n'ont pas à trop se soucier des données cryptées et, en cas d'attaque de Ransomware, ils ne commencent pas à collecter la rançon, mais démarrent le processus de récupération. Mais les assaillants ne dorment pas non plus. Sous couvert de Ransomware, des vols massifs de données se produisent. Maze a été le premier à utiliser massivement de telles tactiques en 2019, bien que d’autres groupes combinent périodiquement leurs attaques. Désormais, au moins Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO et Sekhmet se livrent au vol de données parallèlement au cryptage.
Parfois, des attaquants parviennent à siphonner des dizaines de téraoctets de données d'une entreprise, qui auraient pu être détectées par des outils de surveillance du réseau (s'ils avaient été installés et configurés). Après tout, le transfert de données s'effectue le plus souvent simplement à l'aide de scripts FTP, Putty, WinSCP ou PowerShell. Pour surmonter les systèmes DLP et de surveillance du réseau, les données peuvent être cryptées ou envoyées sous forme d'archives protégées par mot de passe, un nouveau défi pour les équipes de sécurité qui doivent vérifier le trafic sortant pour ces fichiers.
L'étude du comportement des voleurs d'informations montre que les attaquants ne collectent pas tout : ils ne s'intéressent qu'aux rapports financiers, aux bases de données clients, aux données personnelles des employés et des clients, aux contrats, aux dossiers et aux documents juridiques. Le malware analyse les lecteurs à la recherche de toute information qui pourrait théoriquement être utilisée à des fins de chantage.
Si une telle attaque réussit, les attaquants publient généralement un petit teaser, montrant plusieurs documents confirmant que des données ont fui de l'organisation. Et certains groupes publient l’intégralité des données sur leur site Internet si le délai de paiement de la rançon est déjà expiré. Pour éviter le blocage et assurer une large couverture, les données sont également publiées sur le réseau TOR.
Une autre façon de monétiser consiste à vendre des données. Par exemple, Sodinokibi a récemment annoncé des enchères ouvertes dans lesquelles les données sont attribuées au plus offrant. Le prix de départ pour de telles transactions est de 50 100 à 10 000 $ selon la qualité et le contenu des données. Par exemple, un ensemble de 100 000 relevés de trésorerie, des données commerciales confidentielles et des permis de conduire numérisés se sont vendus pour aussi peu que 50 000 dollars. Et pour 20 000 dollars, on pourrait acheter plus de XNUMX XNUMX documents financiers ainsi que trois bases de données de fichiers comptables et de données clients.
Les sites sur lesquels les fuites sont publiées varient considérablement. Il peut s'agir d'une simple page sur laquelle tout ce qui est volé est simplement affiché, mais il existe également des structures plus complexes avec des sections et la possibilité d'achat. Mais l’essentiel est qu’ils servent tous le même objectif : augmenter les chances des attaquants d’obtenir de l’argent réel. Si ce modèle économique donne de bons résultats pour les attaquants, il ne fait aucun doute qu'il y aura encore plus de sites similaires et que les techniques de vol et de monétisation des données d'entreprise seront encore développées.
Voici à quoi ressemblent les sites actuels qui publient des fuites de données :
Que faire des nouvelles attaques
Le principal défi pour les équipes de sécurité dans ces conditions est que, récemment, de plus en plus d'incidents liés aux Ransomwares se révèlent être simplement une distraction du vol de données. Les attaquants ne s’appuient plus uniquement sur le chiffrement du serveur. Au contraire, l’objectif principal est d’organiser une fuite pendant que vous luttez contre les ransomwares.
Ainsi, l’utilisation d’un système de sauvegarde seul, même avec un bon plan de récupération, ne suffit pas pour contrer les menaces multicouches. Non, bien sûr, vous ne pouvez pas non plus vous passer de copies de sauvegarde, car les attaquants tenteront certainement de crypter quelque chose et de demander une rançon. Le fait est plutôt que désormais, chaque attaque utilisant un Ransomware doit être considérée comme une raison pour une analyse complète du trafic et le lancement d’une enquête sur une éventuelle attaque. Vous devriez également penser à des fonctionnalités de sécurité supplémentaires qui pourraient :
- Détectez rapidement les attaques et analysez les activités réseau inhabituelles à l'aide de l'IA
- Récupérez instantanément les systèmes contre les attaques de Ransomware Zero Day afin de pouvoir surveiller l'activité du réseau.
- Bloquez la propagation des logiciels malveillants classiques et des nouveaux types d'attaques sur le réseau de l'entreprise
- Analyser les logiciels et les systèmes (y compris l'accès à distance) pour détecter les vulnérabilités et les exploits actuels.
- Empêcher le transfert d’informations non identifiées au-delà du périmètre de l’entreprise
Seuls les utilisateurs enregistrés peuvent participer à l'enquête. s'il te plait.
Avez-vous déjà analysé l’activité en arrière-plan lors d’une attaque Ransomware ?
-
20,0%Oui1
-
80,0%Non4
5 utilisateurs ont voté. 2 utilisateurs se sont abstenus.
Source: habr.com