Cisco Talos : les principales méthodes de ransomware dévoilées

Cisco Talos a analysé les 14 principaux groupes de ransomware entre 2023 et 2024 pour exposer leur chaîne d'attaque et mettre en évidence des tactiques, techniques et protocoles intéressants. La société de sécurité a également exposé les vulnérabilités les plus exploitées déclenchées par les acteurs du ransomware.

Chaîne d'attaque des ransomwares : ce que les chercheurs de Cisco Talos ont appris

Les acteurs du ransomware utilisent presque tous la même chaîne d’attaque.

Infographie montrant une chaîne d’attaque typique de ransomware.
Chaîne d'attaque typique par ransomware. Image : Cisco Talos

Première étape pour les acteurs du ransomware

La première étape pour l'attaquant consiste à accéder à l'entité ciblée. Pour y parvenir, les auteurs de ransomware utilisent différentes techniques. L'une des techniques les plus courantes consiste à utiliser l'ingénierie sociale pour envoyer des e-mails contenant des fichiers ou des liens malveillants qui exécuteront des programmes malveillants sur le système ciblé. Le programme malveillant permettra ensuite à l'attaquant de déployer davantage d'outils et de programmes malveillants pour atteindre ses objectifs. L'authentification multifacteur peut être contournée à ce stade à l'aide de diverses techniques, soit en raison d'une mauvaise mise en œuvre de l'authentification multifacteur, soit parce que l'attaquant possède déjà des informations d'identification valides.

Talos a également signalé qu'un nombre croissant de sociétés affiliées à des ransomwares analysent les systèmes connectés à Internet à la recherche de vulnérabilités ou de mauvaises configurations qui pourraient leur permettre de compromettre le système. Les logiciels non corrigés ou obsolètes constituent un risque particulièrement élevé.

Deuxième étape pour les acteurs du ransomware

La deuxième étape consiste à obtenir une persistance au cas où le vecteur initial de compromis serait découvert. Cette persistance sur les systèmes est généralement obtenue en modifiant les clés de registre Windows ou en activant l'exécution automatique du code malveillant au démarrage du système. Des comptes locaux, de domaine et/ou cloud peuvent également être créés pour la persistance.

Troisième étape pour les acteurs du ransomware

Dans la troisième étape, l'acteur malveillant analyse l'environnement réseau pour mieux comprendre les parties internes de l'infrastructure. Les données de valeur pouvant être utilisées pour une rançon sont identifiées à cette étape. Pour accéder avec succès à toutes les parties du réseau, les attaquants utilisent souvent des outils pour élever leurs privilèges au niveau administrateur, en plus d'utiliser des outils permettant l'analyse du réseau. Les outils populaires pour ces tâches sont les binaires Living Off the Land, également appelés LOLbins, car ce sont des fichiers exécutables natifs du système d'exploitation et moins susceptibles de déclencher des alertes.

Étape 4 pour les acteurs du ransomware

L'attaquant est prêt à collecter et voler des données sensibles, qu'il compresse souvent avec des utilitaires (tels que 7-Zip ou WinRAR) avant d'exfiltrer les données vers des serveurs contrôlés par l'attaquant en utilisant des outils de surveillance et de gestion à distance ou plus personnalisés, tels que StealBit ou Exabyte par exemple, créés par les groupes de ransomware LockBit et BlackByte.

Étape 5 possible pour les acteurs du ransomware

Si l’objectif est le vol ou l’extorsion de données, l’opération est terminée. Si l’objectif est de crypter des données, l’attaquant doit tester le ransomware dans l’environnement, c’est-à-dire vérifier les mécanismes de diffusion et les communications entre le ransomware et le serveur C2, avant de le lancer pour crypter le réseau et avertir la victime qu’elle a été piratée et qu’elle doit payer la rançon.

Les trois vulnérabilités les plus exploitées

Cisco Talos a signalé que trois vulnérabilités sur les applications publiques sont couramment exploitées par les acteurs de la menace des ransomwares.

  • CVE-2020-1472 AKA Zerologon exploite une faille dans le protocole distant Netlogon qui permet aux attaquants de contourner l'authentification et de modifier les mots de passe des ordinateurs dans l'Active Directory d'un contrôleur de domaine. Cet exploit est largement utilisé par les acteurs de ransomware car il leur permet d'accéder à un réseau sans authentification.
  • CVE-2018-13379une vulnérabilité du VPN SSL Fortinet FortiOS, permet une traversée de chemin qui permet à un attaquant d'accéder aux fichiers système en envoyant des paquets HTTP spécialement conçus. Les jetons de session VPN peuvent être consultés de cette manière, ce qui peut être utilisé pour obtenir un accès non authentifié au réseau.
  • CVE-2023-0669une vulnérabilité MFT de GoAnywhere, permet aux attaquants d'exécuter du code arbitraire sur un serveur ciblé qui utilise le logiciel GoAnywhere Managed File Transfer. Il s'agit de la vulnérabilité la plus récente répertoriée par Cisco Talos dans son rapport.

Toutes ces vulnérabilités permettent aux acteurs du ransomware d’obtenir un accès initial et de manipuler les systèmes pour exécuter davantage de charges utiles malveillantes, installer la persistance ou faciliter les mouvements latéraux au sein des réseaux compromis.

TÉLÉCHARGER : Avantages et bonnes pratiques de la cybersécurité de Testeur Joe Premium

TTP notables de 14 groupes de ransomware

Cisco Talos a observé les TTP utilisés par 14 des groupes de ransomware les plus répandus en fonction de leur volume d'attaque, de leur impact sur les clients et de leur comportement atypique.

Infographie montrant les groupes de ransomware classés par nombre de victimes sur leurs sites de fuite.
Les groupes de ransomware classés par nombre de victimes sur leurs sites de fuite. Image : Cisco Talos

L’une des principales conclusions concernant les TTP indique que de nombreux groupes parmi les plus importants donnent la priorité à l’établissement d’un compromis initial et à l’évasion des défenses dans leurs chaînes d’attaque.

Les auteurs de menaces de ransomware masquent souvent leur code malveillant en le compressant et en le compressant, et modifient le registre du système pour désactiver les alertes de sécurité sur le terminal ou le serveur. Ils peuvent également bloquer certaines options de récupération pour les utilisateurs.

Les chercheurs de Cisco Talos ont souligné que la technique d’accès aux informations d’identification la plus répandue consiste à vider le contenu de la mémoire LSASS pour extraire des mots de passe en texte clair, des mots de passe hachés ou des jetons d’authentification stockés en mémoire.

Une autre tendance dans les activités C2 est l'utilisation d'outils disponibles dans le commerce, tels que les applications RMM. Ces applications sont généralement approuvées par l'environnement et permettent à l'attaquant de se fondre dans le trafic du réseau de l'entreprise.

Comment atténuer la menace des ransomwares

Pour commencer, il est obligatoire d’appliquer des correctifs et des mises à jour à tous les systèmes et logiciels ; cette maintenance constante est nécessaire pour réduire le risque d’être compromis par un exploit.

Des politiques de mots de passe strictes et une authentification multifacteur doivent être mises en œuvre. Des mots de passe complexes et uniques doivent être définis pour chaque utilisateur et l'authentification multifacteur doit être appliquée, de sorte qu'un attaquant possédant des informations d'identification valides ne puisse toujours pas accéder au réseau ciblé.

Il convient d’appliquer les meilleures pratiques pour renforcer tous les systèmes et environnements. Les services et fonctionnalités inutiles doivent être désactivés pour réduire la surface d’attaque. De plus, l’exposition à Internet doit être réduite en limitant autant que possible le nombre de services accessibles au public.

Les réseaux doivent être segmentés à l'aide de VLAN ou de technologies similaires. Les données et systèmes sensibles doivent être isolés des autres réseaux pour empêcher les mouvements latéraux d'un attaquant.

Les points de terminaison doivent être surveillés par un système de gestion des événements et des informations de sécurité, et des outils de détection et de réponse aux points de terminaison ou de détection et de réponse étendues doivent être déployés.

Divulgation: Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.

rewrite this content and keep HTML tags

Cisco Talos a analysé les 14 principaux groupes de ransomware entre 2023 et 2024 pour exposer leur chaîne d'attaque et mettre en évidence des tactiques, techniques et protocoles intéressants. La société de sécurité a également exposé les vulnérabilités les plus exploitées déclenchées par les acteurs du ransomware.

Chaîne d'attaque des ransomwares : ce que les chercheurs de Cisco Talos ont appris

Les acteurs du ransomware utilisent presque tous la même chaîne d’attaque.

Infographie montrant une chaîne d’attaque typique de ransomware.
Chaîne d'attaque typique par ransomware. Image : Cisco Talos

Première étape pour les acteurs du ransomware

La première étape pour l'attaquant consiste à accéder à l'entité ciblée. Pour y parvenir, les auteurs de ransomware utilisent différentes techniques. L'une des techniques les plus courantes consiste à utiliser l'ingénierie sociale pour envoyer des e-mails contenant des fichiers ou des liens malveillants qui exécuteront des programmes malveillants sur le système ciblé. Le programme malveillant permettra ensuite à l'attaquant de déployer davantage d'outils et de programmes malveillants pour atteindre ses objectifs. L'authentification multifacteur peut être contournée à ce stade à l'aide de diverses techniques, soit en raison d'une mauvaise mise en œuvre de l'authentification multifacteur, soit parce que l'attaquant possède déjà des informations d'identification valides.

Talos a également signalé qu'un nombre croissant de sociétés affiliées à des ransomwares analysent les systèmes connectés à Internet à la recherche de vulnérabilités ou de mauvaises configurations qui pourraient leur permettre de compromettre le système. Les logiciels non corrigés ou obsolètes constituent un risque particulièrement élevé.

Deuxième étape pour les acteurs du ransomware

La deuxième étape consiste à obtenir une persistance au cas où le vecteur initial de compromis serait découvert. Cette persistance sur les systèmes est généralement obtenue en modifiant les clés de registre Windows ou en activant l'exécution automatique du code malveillant au démarrage du système. Des comptes locaux, de domaine et/ou cloud peuvent également être créés pour la persistance.

Troisième étape pour les acteurs du ransomware

Dans la troisième étape, l'acteur malveillant analyse l'environnement réseau pour mieux comprendre les parties internes de l'infrastructure. Les données de valeur pouvant être utilisées pour une rançon sont identifiées à cette étape. Pour accéder avec succès à toutes les parties du réseau, les attaquants utilisent souvent des outils pour élever leurs privilèges au niveau administrateur, en plus d'utiliser des outils permettant l'analyse du réseau. Les outils populaires pour ces tâches sont les binaires Living Off the Land, également appelés LOLbins, car ce sont des fichiers exécutables natifs du système d'exploitation et moins susceptibles de déclencher des alertes.

Étape 4 pour les acteurs du ransomware

L'attaquant est prêt à collecter et voler des données sensibles, qu'il compresse souvent avec des utilitaires (tels que 7-Zip ou WinRAR) avant d'exfiltrer les données vers des serveurs contrôlés par l'attaquant en utilisant des outils de surveillance et de gestion à distance ou plus personnalisés, tels que StealBit ou Exabyte par exemple, créés par les groupes de ransomware LockBit et BlackByte.

Étape 5 possible pour les acteurs du ransomware

Si l’objectif est le vol ou l’extorsion de données, l’opération est terminée. Si l’objectif est de crypter des données, l’attaquant doit tester le ransomware dans l’environnement, c’est-à-dire vérifier les mécanismes de diffusion et les communications entre le ransomware et le serveur C2, avant de le lancer pour crypter le réseau et avertir la victime qu’elle a été piratée et qu’elle doit payer la rançon.

Les trois vulnérabilités les plus exploitées

Cisco Talos a signalé que trois vulnérabilités sur les applications publiques sont couramment exploitées par les acteurs de la menace des ransomwares.

  • CVE-2020-1472 AKA Zerologon exploite une faille dans le protocole distant Netlogon qui permet aux attaquants de contourner l'authentification et de modifier les mots de passe des ordinateurs dans l'Active Directory d'un contrôleur de domaine. Cet exploit est largement utilisé par les acteurs de ransomware car il leur permet d'accéder à un réseau sans authentification.
  • CVE-2018-13379une vulnérabilité du VPN SSL Fortinet FortiOS, permet une traversée de chemin qui permet à un attaquant d'accéder aux fichiers système en envoyant des paquets HTTP spécialement conçus. Les jetons de session VPN peuvent être consultés de cette manière, ce qui peut être utilisé pour obtenir un accès non authentifié au réseau.
  • CVE-2023-0669une vulnérabilité MFT de GoAnywhere, permet aux attaquants d'exécuter du code arbitraire sur un serveur ciblé qui utilise le logiciel GoAnywhere Managed File Transfer. Il s'agit de la vulnérabilité la plus récente répertoriée par Cisco Talos dans son rapport.

Toutes ces vulnérabilités permettent aux acteurs du ransomware d’obtenir un accès initial et de manipuler les systèmes pour exécuter davantage de charges utiles malveillantes, installer la persistance ou faciliter les mouvements latéraux au sein des réseaux compromis.

TÉLÉCHARGER : Avantages et bonnes pratiques de la cybersécurité de Testeur Joe Premium

TTP notables de 14 groupes de ransomware

Cisco Talos a observé les TTP utilisés par 14 des groupes de ransomware les plus répandus en fonction de leur volume d'attaque, de leur impact sur les clients et de leur comportement atypique.

Infographie montrant les groupes de ransomware classés par nombre de victimes sur leurs sites de fuite.
Les groupes de ransomware classés par nombre de victimes sur leurs sites de fuite. Image : Cisco Talos

L’une des principales conclusions concernant les TTP indique que de nombreux groupes parmi les plus importants donnent la priorité à l’établissement d’un compromis initial et à l’évasion des défenses dans leurs chaînes d’attaque.

Les auteurs de menaces de ransomware masquent souvent leur code malveillant en le compressant et en le compressant, et modifient le registre du système pour désactiver les alertes de sécurité sur le terminal ou le serveur. Ils peuvent également bloquer certaines options de récupération pour les utilisateurs.

Les chercheurs de Cisco Talos ont souligné que la technique d’accès aux informations d’identification la plus répandue consiste à vider le contenu de la mémoire LSASS pour extraire des mots de passe en texte clair, des mots de passe hachés ou des jetons d’authentification stockés en mémoire.

Une autre tendance dans les activités C2 est l'utilisation d'outils disponibles dans le commerce, tels que les applications RMM. Ces applications sont généralement approuvées par l'environnement et permettent à l'attaquant de se fondre dans le trafic du réseau de l'entreprise.

Comment atténuer la menace des ransomwares

Pour commencer, il est obligatoire d’appliquer des correctifs et des mises à jour à tous les systèmes et logiciels ; cette maintenance constante est nécessaire pour réduire le risque d’être compromis par un exploit.

Des politiques de mots de passe strictes et une authentification multifacteur doivent être mises en œuvre. Des mots de passe complexes et uniques doivent être définis pour chaque utilisateur et l'authentification multifacteur doit être appliquée, de sorte qu'un attaquant possédant des informations d'identification valides ne puisse toujours pas accéder au réseau ciblé.

Il convient d’appliquer les meilleures pratiques pour renforcer tous les systèmes et environnements. Les services et fonctionnalités inutiles doivent être désactivés pour réduire la surface d’attaque. De plus, l’exposition à Internet doit être réduite en limitant autant que possible le nombre de services accessibles au public.

Les réseaux doivent être segmentés à l'aide de VLAN ou de technologies similaires. Les données et systèmes sensibles doivent être isolés des autres réseaux pour empêcher les mouvements latéraux d'un attaquant.

Les points de terminaison doivent être surveillés par un système de gestion des événements et des informations de sécurité, et des outils de détection et de réponse aux points de terminaison ou de détection et de réponse étendues doivent être déployés.

Divulgation: Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.

Laisser un commentaire