Une étude brosse l’anatomie d’une attaque au ransomware
Les chercheurs en sécurité ont révélé l’anatomie d’une attaque au ransomware afin d’illustrer la manière dont des cybercriminels ont accédé à un réseau pour y installer un rançongiciel, le tout en l’espace de seulement deux mois. Les chercheurs de la société de sécurité technologique Sentinel One ont ainsi examiné un serveur utilisé par des cybercriminels en octobre 2019 pour transformer une petite faille de sécurité dans un réseau d’entreprise en une attaque basée sur le ransomware Ryuk.
Selon cette étude précieuse, le réseau a été initialement infecté par le malware Trickbot. Une fois le réseau percé par ce logiciel malveillant, les pirates ont commencé à scruter les environs pour découvrir à quoi ils avaient accès et comment en tirer profit. “Au fil du temps, ils creusent dans le réseau et tentent d’en dresser la carte et de comprendre à quoi il ressemble. Ils ont une finalité, et leur finalité est de monétiser les données, le réseau, pour leur gain illicite”, explique Joshua Platt, chercheur de Sentinel One, interrogé par ZDNet.
“Ils comprennent déjà qu’il y a un potentiel pour faire de l’argent et cherchent à étendre cet effet de levier”, raconte le chercheur pour détailler leurs motivations. Une fois que les pirates ont décidé d’exploiter la brèche dans le réseau, ils utilisent des outils comme PowerTrick et Cobalt Strike pour sécuriser leur emprise sur le réseau et l’explorer plus avant, en cherchant des ports ouverts et d’autres dispositifs auxquels ils pourraient accéder.
Un ransomware particulièrement virulent
Ce n’est qu’à ce moment qu’ils décident de passer à la phase de demande de rançon. Selon Sentinel One, il a fallu environ deux semaines pour passer de l’infection initiale de TrickBot au profilage du réseau, puis à l’attaque du malware Ryuk. “En se basant sur l’horodatage, on peut deviner la période de deux semaines pour le temps d’attente”, déclare la société. Pour rappel, Ryuk a été vu pour la première fois en août 2018 et a été responsable de multiples attaques dans le monde entier, selon l’avis du Centre national de cybersécurité du Royaume-Uni de l’année dernière.
Il s’agit d’un logiciel de rançon ciblé : la rançon est fixée en fonction de la capacité de paiement de la victime, et il peut s’écouler plusieurs jours, voire plusieurs mois, entre l’infection initiale et l’activation du logiciel de rançon, car les pirates ont besoin de temps pour identifier les systèmes de réseau les plus critiques. Mais le NCSC a déclaré que ce délai donne également aux défenseurs une fenêtre d’opportunité pour empêcher le déclenchement de l’attaque par le logiciel rançon, s’ils peuvent détecter cette première infection.
Selon le FBI, Ryuk est un projet extrêmement lucratif pour ses promoteurs criminels, générant environ 61 millions de dollars de rançon entre février 2018 et octobre 2019. Le fait que Ryuk ait réussi à forcer les entreprises à payer des rançons signifie que les escrocs disposent d’une caisse de guerre bombée avec laquelle ils peuvent affiner leurs attaques. “Cela va évidemment augmenter ; ils ont plus d’argent et plus de capacité maintenant pour engager encore plus de talents”, prévient Joshua Platt.
Source : ZDNet.com
