L’économie de l’extorsion
Regardez le briefing numérique de Cyber Signals où Vasu Jakkal, CVP de Microsoft Security, s'entretient avec les meilleurs experts du renseignement sur les menaces concernant le business des rançongiciels et la façon dont les organisations peuvent se protéger.
Briefing numérique : Se protéger contre le business des rançongiciels
Un nouveau modèle commercial offre de nouvelles perspectives aux défenseurs
De même que de nombreux secteurs d'activité se sont tournés vers les travailleurs temporaires pour des raisons d'efficacité, les cybercriminels louent ou vendent leurs outils de rançongiciel en échange d'une partie des bénéfices, plutôt que d'effectuer eux-mêmes les attaques.
Le modèle Ransomware as a Service (RaaS) permet aux cybercriminels d'acheter l'accès aux charges utiles des rançongiciels et aux fuites de données, ainsi qu'aux infrastructures de paiement. Les "gangs" de rançongiciels sont en réalité des programmes RaaS tels que Conti ou REvil, utilisés par de nombreux acteurs qui passent d'un programme ou d’une charge utile RaaS à l’autre.
RaaS abaisse la barrière à l'entrée et obfusque l'identité des attaquants à l'origine de la demande de rançon. Certains programmes comptent plus de 50 « affiliés », c'est-à-dire les utilisateurs de leurs services, dont les outils, les techniques et les objectifs varient. De même que toute personne possédant une voiture peut conduire pour un service de covoiturage, toute personne disposant d'un ordinateur portable et d'une carte de crédit et désireuse de rechercher sur le dark web des outils de test d’intrusion ou des logiciels malveillants prêts à l'emploi peut rejoindre cette économie.
Cette industrialisation de la cybercriminalité a créé des rôles spécialisés, comme les répartiteurs d'accès qui vendent l'accès aux réseaux. Une seule compromission implique souvent plusieurs cybercriminels à différents stades de l'intrusion.
Les kits RaaS sont faciles à trouver sur le dark web et sont annoncés de la même manière que les marchandises sur Internet.
Un kit RaaS peut inclure un service d'assistance à la clientèle, des offres groupées, des avis d'utilisateurs, des forums et d'autres fonctionnalités. Les cybercriminels peuvent payer un prix fixe pour un kit RaaS, tandis que d'autres groupes qui vendent des RaaS dans le cadre du modèle d'affiliation prennent un pourcentage des bénéfices.
Les attaques par rançongiciel impliquent des décisions basées sur des configurations de réseaux et diffèrent pour chaque victime, même si la charge utile du rançongiciel est la même. Le point culminant d'une attaque de rançongiciel peut inclure l'exfiltration de données et d'autres conséquences. En raison de la nature interconnectée de l'économie cybercriminelle, des intrusions apparemment sans rapport les unes avec les autres peuvent se renforcer mutuellement. Les logiciels malveillants qui volent les mots de passe et les cookies sont traités avec moins de sévérité, mais les cybercriminels vendent ces mots de passe pour permettre d'autres attaques.
Ces attaques suivent un modèle d'accès initial via l'infection par un logiciel malveillant ou l'exploitation d'une vulnérabilité, puis le vol d'informations d'identification pour élever les privilèges et se déplacer latéralement. L'industrialisation permet à des attaquants sans expérience ni compétences avancées de mener des attaques prolifiques et percutantes par rançongiciel. Depuis la fermeture de Conti, nous avons observé des changements dans le paysage des rançongiciels. Certains affiliés qui déployaient Conti sont passés à des charges utiles provenant d'écosystèmes RaaS établis tels que LockBit et Hive, tandis que d'autres déploient simultanément des charges utiles provenant de plusieurs écosystèmes RaaS.
De nouveaux RaaS comme QuantumLocker et Black Basta comblent le vide laissé par la fermeture de Conti. Étant donné que la plupart des articles sur les rançongiciels se concentrent sur les charges utiles plutôt que sur les acteurs, ce changement de charge utile risque de semer la confusion dans l'esprit des gouvernements, des forces de l'ordre, des médias, des chercheurs en sécurité et des défenseurs quant à l'identité des auteurs de ces attaques.
Les rapports sur les rançongiciels peuvent sembler être un problème infini ; cependant, la réalité est un ensemble fini d'acteurs utilisant l'ensemble des techniques.
Recommandations :
- Mettre en place une hygiène des informations d'identification : Développer une segmentation logique du réseau basée sur les privilèges, qui peut être implémentée parallèlement à la segmentation du réseau afin de limiter les mouvements latéraux.
- Auditer l'exposition des informations d'identification : L’audit de l'exposition des informations d'identification est essentielle pour prévenir les attaques de rançongiciel et la cybercriminalité en général. Les équipes de sécurité informatique et les SOC peuvent collaborer pour réduire les privilèges des administrateurs et comprendre le niveau d'exposition de leurs informations d'identification.
- Réduire la surface d’attaque : Établir des règles de réduction de la surface d'attaque pour empêcher les techniques d'attaque courantes utilisées dans les attaques de rançongiciel. Dans les attaques observées de plusieurs groupes d'activité associés aux ransomwares, les organisations ayant des règles clairement définies ont été en mesure d'atténuer les attaques dans leurs phases initiales tout en empêchant les activités de type « hands-on-keyboard ».
Les cybercriminels ajoutent la double extorsion à leur stratégie d'attaque
Les rançongiciels ont pour but d'extorquer un paiement à la victime. La plupart des programmes RaaS actuels laissent également filtrer des données volées, ce qui constitue une double extorsion. À mesure que les pannes provoquent des réactions négatives et que les gouvernements perturbent de plus en plus les opérateurs de rançongiciel, certains groupes renoncent aux rançongiciels et se lancent dans l'extorsion de données.
Deux groupes axés sur l'extorsion sont DEV-0537 (alias LAPSUS$) et DEV-0390 (un ancien affilié de Conti). Les intrusions de DEV-0390 proviennent de logiciels malveillants mais utilisent des outils légitimes pour exfiltrer des données et extorquer des paiements. Ils déploient des outils de test d’intrusion tels que Cobalt Strike, Brute Ratel C4 et l'utilitaire légitime de gestion à distance Atera pour maintenir l'accès à une victime. DEV-0390 fait remonter les privilèges en volant les identifiants, localise les données sensibles (souvent sur les serveurs de sauvegarde et de fichiers de l'entreprise) et envoie les données vers un site de partage de fichiers dans le nuage à l'aide d'un utilitaire de sauvegarde de fichiers.
DEV-0537 utilise une stratégie et une technique très différentes. L'accès initial est obtenu par l'achat d'informations de connexion dans le milieu criminel ou auprès d'employés d'organisations ciblées.
Problèmes
- Mots de passe volés et identités non protégées
Plus que de logiciels malveillants, les attaquants ont besoin d'informations d'identification pour réussir. Dans presque tous les déploiements réussis de rançongiciels, les attaquants accèdent à des comptes d'administrateur privilégiés qui leur donnent un large accès au réseau de l'entreprise. - Produits de sécurité manquants ou désactivés
Dans presque tous les incidents de ransomware observés, au moins un système exploité dans l'attaque avait des produits de sécurité manquants ou mal configurés qui permettaient aux intrus de manipuler ou de désactiver certaines protections. - Applications mal configurées ou utilisées de manière abusive
Vous pouvez utiliser une application populaire dans un but précis, mais cela ne signifie pas que des criminels ne peuvent pas l'utiliser à d'autres fins. Trop souvent, les configurations "héritées" signifient qu'une application est dans son état par défaut, permettant à n'importe quel utilisateur d'accéder à l'ensemble de l'organisation. Ne négligez pas ce risque et n'hésitez pas à modifier les paramètres de l'application par crainte d'une perturbation. - Lenteur du déploiement des mises à jour correctives
C'est un cliché, comme « Mangez vos légumes ! » mais c'est un fait essentiel : La meilleure façon de renforcer un logiciel est de le mettre à jour régulièrement. Alors que certaines applications informatiques sont mises à jour sans intervention de l'utilisateur, les entreprises doivent appliquer immédiatement les correctifs d'autres fournisseurs. En 2022, Microsoft observe que les vulnérabilités plus anciennes restent un facteur déterminant dans les attaques. - Mots de passe volés et identités non protégées
Plus que de logiciels malveillants, les attaquants ont besoin d'informations d'identification pour réussir. Dans presque tous les déploiements réussis de rançongiciels, les attaquants accèdent à des comptes d'administrateur privilégiés qui leur donnent un large accès au réseau de l'entreprise. - Produits de sécurité manquants ou désactivés
Dans presque tous les incidents de ransomware observés, au moins un système exploité dans l'attaque avait des produits de sécurité manquants ou mal configurés qui permettaient aux intrus de manipuler ou de désactiver certaines protections. - Applications mal configurées ou utilisées de manière abusive
Vous pouvez utiliser une application populaire dans un but précis, mais cela ne signifie pas que des criminels ne peuvent pas l'utiliser à d'autres fins. Trop souvent, les configurations "héritées" signifient qu'une application est dans son état par défaut, permettant à n'importe quel utilisateur d'accéder à l'ensemble de l'organisation. Ne négligez pas ce risque et n'hésitez pas à modifier les paramètres de l'application par crainte d'une perturbation. - Lenteur du déploiement des mises à jour correctives
C'est un cliché, comme « Mangez vos légumes ! » mais c'est un fait essentiel : La meilleure façon de renforcer un logiciel est de le mettre à jour régulièrement. Alors que certaines applications informatiques sont mises à jour sans intervention de l'utilisateur, les entreprises doivent appliquer immédiatement les correctifs d'autres fournisseurs. En 2022, Microsoft observe que les vulnérabilités plus anciennes restent un facteur déterminant dans les attaques.
Actions
- Authentifier les identités Appliquer l'authentification multifactorielle (MFA) à tous les comptes, en donnant la priorité à l'administrateur et aux autres rôles sensibles. Dans le cas d'une main-d'œuvre hybride, il faut exiger l'authentification multifacteur sur tous les appareils, dans tous les lieux et à tout moment. Activez l'authentification sans mot de passe comme les clés FIDO ou Microsoft Authenticator pour les applications qui la prennent en charge.
- Remédier aux lacunes en matière de sécurité
Comme les détecteurs de fumée, les produits de sécurité doivent être installés dans les espaces appropriés et testés fréquemment. Vérifier que les outils de sécurité fonctionnent dans leur configuration la plus sûre et qu'aucune partie du réseau n'est pas protégée. - Renforcer les ressources accessibles sur Internet
Envisagez de supprimer les applications en double ou inutilisées afin d'éliminer les services risqués et inutilisés. Faites attention à l'endroit où vous autorisez les applications d'assistance à distance telles que TeamViewer. Celles-ci sont connues pour être ciblées par les acteurs de la menace pour obtenir un accès express aux ordinateurs portables. - Maintenir les systèmes à jour
Faire de l'inventaire des logiciels un processus continu. Gardez une trace de ce que vous utilisez et donnez la priorité à la prise en charge de ces produits. Utilisez votre capacité à appliquer des correctifs rapidement et de manière concluante pour déterminer les domaines dans lesquels le passage à des services informatiques en nuage est bénéfique.
Comprenant la nature interconnectée des identités et des relations de confiance dans les écosystèmes technologiques modernes, ils ciblent les entreprises de télécommunications, de technologie, de services informatiques et d'assistance afin d'exploiter l'accès d'une organisation pour entrer dans les réseaux de partenaires ou de fournisseurs. Les attaques basées sur l’extorsion démontrent que les défenseurs du réseau doivent regarder au-delà des rançongiciels et surveiller de près l'exfiltration des données et les mouvements latéraux.
Si un acteur de la menace prévoit d'extorquer à une organisation la confidentialité de ses données, la charge utile d'un rançongiciel est l'élément le moins important et le moins précieux de la stratégie d'attaque. En fin de compte, c'est à l'opérateur de choisir ce qu'il veut déployer, et le rançongiciel n'est pas toujours le gros lot que recherchent tous les acteurs de la menace.
Si le rançongiciel ou la double extorsion peuvent sembler être l'issue inévitable d'une attaque menée par un pirate expérimenté, le rançongiciel est une catastrophe que l'on peut éviter. Le fait que les attaquants s'appuient sur les faiblesses de la sécurité signifie que les investissements dans la cyberhygiène sont très utiles.
La visibilité unique de Microsoft nous donne un aperçu de l'activité des acteurs de la menace. Plutôt que de se fier aux messages des forums ou aux fuites des chats, notre équipe d'experts en sécurité étudie les nouvelles tactiques des rançongiciels et développe des renseignements sur les menaces qui alimentent nos solutions de sécurité.
La protection intégrée contre les menaces à travers les appareils, les identités, les applications, les courriels, les données et le nuage nous aide à identifier les attaques qui auraient été étiquetées comme étant le fait de plusieurs acteurs, alors qu'il s'agit en fait d'un seul et même groupe de cybercriminels. Notre Digital Crime Unit (DCU), composée d'experts techniques, juridiques et commerciaux, continue de collaborer avec les forces de l’ordre pour lutter contre la cybercriminalité
Recommandations :
Microsoft propose des recommandations détaillées sur https://go.microsoft.com/fwlink/?linkid=2262350.
L'analyste de la Veille des menaces Emily Hacker explique comment son équipe reste au fait de l'évolution du paysage des rançongiciels en tant que service.
elle a dirigé la suppression de plus de 531 000 URL d'hameçonnage uniques et de 5 400 kits d'hameçonnage entre juillet 2021 et juin 2022, ce qui a permis d'identifier et de fermer plus de 1 400 comptes de messagerie malveillants utilisés pour collecter des informations d'identification de clients volés.1
La durée moyenne nécessaire à un attaquant pour accéder à vos données privées si vous êtes victime d'un courriel d’hameçonnage est d'une heure et 12 minutes.1
La durée moyenne pour qu'un attaquant commence à se déplacer latéralement au sein de votre réseau d'entreprise si un appareil est compromis est d'une heure et 42 minutes.1
- [1]
Méthodologie : Pour les données instantanées, les plateformes Microsoft, y compris Defender et Azure Active Directory, et notre Digital Crimes Unit ont fourni des données anonymes sur l'activité des menaces, telles que les comptes de messagerie malveillants, les courriels d'hameçonnage et les mouvements des attaquants au sein des réseaux. D’autres informations proviennent des 43 billions de signaux de sécurité quotidiens recueillis sur Microsoft, y compris le nuage, les points de terminaison, la périphérie intelligente, ainsi que notre pratique de récupération de la sécurité en cas de compromission et nos équipes de détection et d’intervention.
Suivez la Sécurité Microsoft