Ransomware : des attaquants infiltrent un faux réseau industriel en seulement trois jours

Ransomware : des attaquants infiltrent un faux réseau industriel en seulement trois jours

Selon des chercheurs en sécurité, les réseaux de contrôle industriels sont exposés à des séries d’attaques au ransomware. Cette mise en garde fait suite à une expérience qui a révélé la vitesse à laquelle les pirates informatiques découvrent les vulnérabilités des infrastructures critiques.

publicité

Mise en place du leurre

La société de sécurité Cybereason a construit un leurre conçu pour ressembler à une compagnie d’électricité opérant en Europe et en Amérique du Nord. Le réseau a été conçu pour avoir l’air authentique afin d’attirer les attaquants potentiels en incluant des environnements technologiques informatiques et opérationnels, ainsi que des systèmes d’interface humaine.

Toutes les infrastructures ont été construites en tenant compte des problèmes de sécurité communs aux infrastructures critiques, notamment les ports des postes distants connectés à internet, les mots de passe de complexité moyenne, ainsi que certains contrôles de sécurité habituels, dont la segmentation du réseau.

Le leurre a été mis en ligne au début de l’année et il n’a fallu que trois jours pour que les attaquants découvrent le réseau et trouvent des moyens de le compromettre – notamment une campagne de ransomware qui a infiltré des parties du réseau, et qui est parvenu à récupérer la saisie des identifiants de connexion.

Déroulement de l’attaque

« Très tôt après le lancement du “honeypot”, la capacité du ransomware a été placée sur chaque machine compromise », explique Israel Barak, responsable de la sécurité de l’information chez Cybereason à ZDNet.

Les pirates informatiques ont placé des rançongiciels sur le réseau en exploitant les outils d’administration à distance pour accéder au réseau et en craquant le mot de passe de l’administrateur pour se connecter et contrôler le bureau à distance.

A partir de là, ils ont créé une porte dérobée vers un serveur compromis et ont utilisé des outils PowerShell supplémentaires, dont Mimikatz, qui a permis aux attaquants de voler les identifiants de connexion, permettant ainsi un mouvement latéral sur le réseau – et la possibilité de compromettre encore plus de machines. Les attaquants ont effectué des analyses pour trouver autant de points d’accès qu’ils le souhaitaient, récoltant les identifiants au fur et à mesure.

Double peine

En fin de compte, cela signifie qu’en plus de déployer le ransomware, les attaquants ont également la capacité de voler des noms d’utilisateur et des mots de passe, ce qu’ils pourraient exploiter comme moyen de pression supplémentaire en menaçant de révéler des données sensibles si la rançon n’est pas payée.

« Ce n’est qu’une fois les autres étapes de l’attaque terminées que le ransomware se répand sur tous les terminaux compromis simultanément. C’est un trait commun aux campagnes de ransomware à plusieurs étapes, qui visent à amplifier l’impact de l’attaque sur la victime », détaille Israel Barak.

Réseau compromis

Les attaques au ransomware provenant de sources différentes ont souvent permis de découvrir le piège, et beaucoup ont tenté d’autres attaques, tandis que d’autres pirates étaient plus intéressés par la reconnaissance du réseau – comme ce fut le cas lors d’une précédente expérience avec un leurre.

Même si ça ne semble pas aussi dangereux, au premier abord, qu’une demande de rançon, des attaquants cherchant à exploiter le réseau de ce qu’ils pensent être un fournisseur d’électricité pourrait finalement avoir des conséquences très dangereuses.

Néanmoins, il semble que le ransomware soit devenu l’une des principales méthodes par lesquelles les attaquants tentent d’exploiter les infrastructures qu’ils peuvent facilement compromettre, ce que le rapport décrit comme un « barrage constant » d’attaques sur le secteur. Et les risques devraient s’intensifier.

Renforcer la sécurité en prévention

Heureusement, ces attaques contre un leurre ne feront pas de dégâts réels.

Néanmoins, l’expérience montre comment les réseaux qui soutiennent les infrastructures critiques doivent être suffisamment résilients pour résister aux intrusions indésirables en concevant et en exploitant les réseaux dans un souci de résilience – en particulier lorsqu’il s’agit de séparer les réseaux informatiques et les réseaux technologiques opérationnels.

Même des améliorations relativement simples, comme la protection des réseaux par des mots de passe complexes et difficiles à deviner, peuvent aider, tandis que des initiatives de sécurité plus complexes peuvent contribuer à renforcer la protection.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *