Les attaques par ransomware sont de plus en plus fréquentes, avec un nombre croissant de méthodes sophistiquées utilisées pour infiltrer et compromettre les systèmes. Cisco Talos Intelligence a récemment publié un rapport complet analysant les tactiques, techniques et procédures (TTP) de 14 groupes majeurs de ransomware actifs entre 2023 et 2024.
Les nouveaux r
es rapports fournissent des informations précieuses sur l’évolution des stratégies de ces groupes et proposent des recommandations pratiques pour renforcer les défenses en matière de cybersécurité.

Points essentiels de l’analyse des ransomwares par Cisco Talos

Cisco Talos Intelligence a publié un rapport sur les tactiques, techniques et procédures de 14 grands groupes de ransomware actifs entre 2023 et 2024.

Les groupes de ransomware sont responsables d’un nombre important d’attaques visant des organisations dans le monde entier.
L’examen détaillé de leurs TTP met en lumière les mécanismes sophistiqués que ces groupes utilisent pour infiltrer, contrôler et extorquer leurs victimes.

Le rapport met l’accent sur la banalisation des attaques par ransomware et propose des pistes et des recommandations pour améliorer les défenses en matière de cybersécurité.

Le rapport souligne que les organisations doivent absolument garder une longueur d’avance sur ces menaces en comprenant les stratégies employées par les groupes de ransomware.
Les principales recommandations portent sur l’adoption de pratiques robustes de gestion des correctifs, la mise en œuvre de politiques de mots de passe forts et l’utilisation de l’authentification multifactorielle (MFA) pour empêcher les accès non autorisés.

Des découvertes étonnantes sur les tactiques des ransomwares

Les groupes de ransomware obtiennent généralement un accès initial aux systèmes cibles par le biais de campagnes d’hameçonnage ou en exploitant des vulnérabilités connues dans des applications publiques. Le phishing reste une méthode répandue en raison de son efficacité à inciter les utilisateurs à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées.

Les vulnérabilités non corrigées des logiciels et des systèmes constituent également une porte ouverte pour les attaquants.
Une fois à l’intérieur, les attaquants utilisent souvent des techniques de déplacement latéral, naviguant à travers le réseau pour identifier et compromettre les systèmes critiques.

Les astuces des ransomwares pour rester cachés

Pour échapper à la détection, les attaquants désactivent ou modifient les logiciels de sécurité, obscurcissent leur code et utilisent des outils légitimes tels que PowerShell et Windows Management Instrumentation (WMI). Ces tactiques leur permettent de se fondre dans le trafic normal du réseau, ce qui complique l’identification des activités malveillantes par les solutions de sécurité traditionnelles.
Lorsqu’ils utilisent des outils légitimes, les attaquants exploitent la confiance et les autorisations dont ces outils bénéficient au sein du réseau, ce qui complique encore les efforts de détection.

Les rançongiciels à la recherche de vos mots de passe

Les attaquants ciblent fréquemment la mémoire du service LSASS (Local Security Authority Subsystem Service) pour extraire des informations d’identification.

En vidant les informations d’identification de LSASS, ils peuvent se déplacer latéralement sur le réseau sans déclencher d’alertes de sécurité.
Ces techniques permettent aux attaquants d’accéder à des systèmes critiques et à des données sensibles, ce qui leur permet d’accroître leurs privilèges et d’approfondir leur infiltration.

Comment les attaquants prennent le contrôle des systèmes sans se faire repérer

Les outils légitimes de surveillance et de gestion à distance sont souvent utilisés par les auteurs de ransomwares pour garder le contrôle des systèmes compromis, généralement autorisés dans les environnements organisationnels, ce qui permet aux attaquants d’opérer sous le radar. En imitant des activités administratives régulières, ils évitent d’éveiller les soupçons et peuvent exécuter leurs opérations malveillantes sans être détectés.

Les fameuses équipes de ransomware que vous devez connaître

  • AlphV/Blackcat et Rhysida : Connus pour leurs TTP polyvalentes et adaptatives, ces groupes adaptent leurs attaques aux environnements spécifiques de leurs cibles, ce qui les rend très efficaces et difficiles à défendre. Ces attaques personnalisées leur permettent d’exploiter les vulnérabilités et les faiblesses propres à chaque cible.
  • BlackBasta et LockBit : tristement célèbres pour leurs stratégies agressives, axées sur le cryptage des données et les perturbations importantes qu’elles provoquent pour forcer les victimes à payer une rançon.
    Ransomware
    utilisent des mécanismes de chiffrement à action rapide qui rendent rapidement les données et les systèmes inutilisables, ce qui permet d’exercer une pression maximale sur les victimes pour qu’elles se conforment aux demandes de rançon.
  • Clop : Il se distingue par le fait qu’il se consacre principalement au vol de données et à l’extorsion plutôt qu’au cryptage. Clop exfiltre des informations sensibles et menace ensuite de les rendre publiques si la rançon n’est pas payée, en utilisant la peur de l’exposition publique et des répercussions réglementaires, obligeant les victimes à payer pour empêcher la divulgation de leurs données sensibles.

Les vulnérabilités critiques que les groupes de ransomware aiment exploiter

Les groupes de ransomware recherchent en permanence les points faibles des défenses du réseau pour s’infiltrer et imposer leurs intentions malveillantes.
La sophistication de ces attaques repose souvent sur l’exploitation de vulnérabilités connues qui, bien qu’identifiées et cataloguées, restent une menace persistante en raison d’un retard dans l’application des correctifs ou d’une négligence.

  • CVE-2018-13379 est une vulnérabilité dans le VPN SSL de Fortinet que les attaquants exploitent pour obtenir un accès non autorisé aux réseaux, impliquant un problème de traversée de chemin qui permet aux attaquants de récupérer des fichiers système, y compris des bases de données de mots de passe, à partir du VPN. L’exploitation de cette vulnérabilité permet aux groupes de ransomware de franchir les défenses du réseau et d’initier leur chaîne d’attaque.
  • CVE-2020-1472, également connu sous le nom de Zerologonest une vulnérabilité qui permet aux attaquants d’élever leurs privilèges dans les contrôleurs de domaine. En utilisant cette faille, les attaquants peuvent prendre le contrôle total d’un réseau entier.
    La facilité d’exploitation de Zerologon et son impact profond sur la sécurité des réseaux en font une cible de choix pour les groupes de ransomware qui cherchent à dominer les systèmes de leurs victimes.
  • CVE-2023-0669 affecte le logiciel GoAnywhere MFT, permettant aux attaquants d’exécuter du code arbitraire sur les systèmes affectés. Cette vulnérabilité représente une menace importante car elle peut être utilisée pour prendre le contrôle de systèmes, déployer des logiciels malveillants et perturber les opérations. Les groupes de ransomware qui exploitent cette faille peuvent compromettre les processus de transfert de fichiers critiques et obtenir un contrôle étendu sur les opérations du réseau.

Les organisations doivent adopter une attitude proactive en matière de sécurité, en soulignant l’importance de mises à jour régulières des systèmes, d’une surveillance continue et de protocoles de sécurité rigoureux.

Les étapes d’une attaque par ransomware

Les attaques par ransomware commencent souvent par un accès initial via des pièces jointes malveillantes, des courriels d’hameçonnage ou des vulnérabilités dans des applications publiques.

Les courriels d’hameçonnage sont particulièrement efficaces, car ils incitent les utilisateurs à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées.
Les vulnérabilités des applications publiques constituent également un point d’entrée pour les attaquants, qui exploitent ces faiblesses pour s’infiltrer dans les systèmes.

Une fois à l’intérieur, les attaquants commencent leurs activités malveillantes, préparant le terrain pour une infiltration et un contrôle plus poussés.

Dévoiler la charge utile malveillante

Une fois l’accès initial obtenu, la phase d’exécution commence. Au cours de cette phase, les attaquants déploient des charges utiles malveillantes par le biais de scripts ou de documents malveillants.
Les charges utiles sont conçues pour exécuter des actions nuisibles sur la machine de la victime.
Les scripts peuvent automatiser le processus d’exécution, tandis que les documents malveillants contiennent souvent des macros intégrées ou d’autres codes qui, lorsqu’ils sont ouverts, déclenchent la charge utile.

Cette étape est essentielle car elle déclenche les composants actifs du ransomware, ce qui permet de le compromettre davantage et de le contrôler.

Comment les attaquants restent cachés et actifs dans votre réseau

Pour garder le contrôle et éviter d’être détectés, les attaquants établissent une persistance dans l’environnement de la victime, en ajoutant des entrées de registre, en mettant en place des tâches planifiées ou en utilisant des outils légitimes qui fournissent un accès continu.

En s’infiltrant profondément dans le système, les attaquants s’assurent de pouvoir rester actifs même si les premiers indicateurs de compromission sont traités. L’accès permanent leur permet d’exécuter leurs plans sur une période prolongée, augmentant ainsi les dommages qu’ils peuvent infliger.

Obtenir un accès au réseau à un niveau plus élevé

L’escalade des privilèges est une étape clé dans les attaques de ransomware. Les attaquants cherchent à obtenir un accès de plus haut niveau au réseau afin de renforcer leur contrôle et d’accéder à des données sensibles.
Les attaquants exploitent souvent les vulnérabilités du système ou utilisent des informations d’identification volées pour élever leurs privilèges.

Avec un accès de niveau supérieur, les attaquants peuvent se déplacer librement dans le réseau, accéder aux systèmes critiques et effectuer des actions qui nécessitent des autorisations administratives.

Voler des données d’authentification pour contrôler le réseau

L’accès aux données d’identification fait appel à des techniques telles que l’extraction des données d’identification de la mémoire LSASS (Local Security Authority Subsystem Service) afin d’obtenir les détails de l’authentification. Les attaquants ciblent le LSASS parce qu’il stocke des informations d’identification sensibles qui peuvent être utilisées pour authentifier des utilisateurs sur le réseau.

En se débarrassant de ces informations d’identification, les attaquants peuvent se faire passer pour des utilisateurs légitimes, se déplacer latéralement au sein du réseau et accéder à des systèmes restreints.
Ces techniques sont très efficaces et largement utilisées dans les attaques de ransomware.

Naviguer à travers les réseaux vers les systèmes critiques

Le mouvement latéral fait référence aux tactiques utilisées par les attaquants pour naviguer dans un réseau afin d’identifier les systèmes critiques et d’y accéder.

Une fois que les attaquants disposent d’informations d’identification valides et de privilèges élevés, ils se déplacent latéralement en exploitant les protocoles et les outils du réseau.
Ils utilisent des techniques telles que le protocole de bureau à distance (RDP), l’instrumentation de gestion Windows (WMI) et d’autres outils administratifs pour explorer le réseau et identifier des cibles de grande valeur.

Voler secrètement vos données sensibles

Avant de déployer un ransomware, les attaquants exfiltrent souvent des données sensibles.
Les phases d’exfiltration des données impliquent le transfert d’informations précieuses hors de l’environnement compromis vers un emplacement externe contrôlé par les attaquants.

Les données volées peuvent inclure des informations personnelles, des dossiers financiers, de la propriété intellectuelle et d’autres actifs critiques.
En exfiltrant des données, les attaquants augmentent leur influence sur la victime, car ils peuvent menacer de rendre les données publiques si la rançon n’est pas payée.

Les attaques par ransomware se sont multipliées, devenant l’une des menaces les plus courantes en matière de cybersécurité.

Quand le ransomware frappe

La dernière étape d’une attaque par ransomware est la phase d’impact, au cours de laquelle le ransomware est déployé pour crypter les données et rendre les systèmes inopérants. Le processus de cryptage verrouille les fichiers de la victime, les rendant inaccessibles jusqu’au paiement de la rançon.
Les attaquants exigent alors un paiement en échange de la clé de décryptage, ce qui crée un sentiment d’urgence et de panique.

Principaux enseignements du rapport de Cisco Talos sur les ransomwares

Le rapport Cisco Talos met en évidence les méthodes sophistiquées utilisées par les groupes de ransomware modernes et la nécessité de mesures de sécurité rigoureuses pour contrer ces menaces.

Les attaques de ransomware sont de plus en plus fréquentes et sophistiquées, et il est donc essentiel que les organisations adoptent des stratégies de cybersécurité solides.
La mise en œuvre des stratégies d’atténuation recommandées, telles que la gestion des correctifs, des politiques de mots de passe forts, le renforcement des systèmes, la segmentation du réseau, la surveillance continue, la limitation des privilèges et la réduction de l’exposition informatique, peut améliorer de manière significative les défenses d’une organisation.

Des mesures spécifiques sont essentielles pour protéger les systèmes et les données contre la menace croissante des ransomwares et pour assurer la continuité des opérations commerciales.

Alexander Procter

juillet 30, 2024

11 Min