Revenir au blog
Banner-Rapid7-Blog

 

Ciblage et diffusion des ransomwares

Étant donné que LockFile fait des ravages sur les serveurs Exchange quelques semaines seulement après que son exploitation généralisée a été documentée, nous pouvons tirer deux conclusions :

  • Si vous utilisez un serveur Exchange, arrêtez de lire ce blog et installez immédiatement un correctif.
  • Lorsqu'une vulnérabilité largement exploitable est disponible, les acteurs du ransomware la ciblent - peu importe qui vous êtes.

Des attaques très ciblées ont certainement exploité les ransomwares, mais pour presque tous ces acteurs, l'objectif est le profit. Cela signifie une recherche et une exploitation généralisées des vulnérabilités côté serveur qui permettent un accès initial, associées à des outils d'escalade des privilèges et de déplacement latéral. Cela signifie également l'utilisation d'attaques de type "watering hole", de kits d'exploitation et de campagnes de spam.

En d'autres termes, l'accès initial à une machine donnée peut se faire de plusieurs manières, notamment par le biais de :

  • Une vulnérabilité côté serveur
  • Mouvement latéral
  • Trou d'eau (Watering Hole) ou kit d'exploitation
  • Spam ou phishing

Le choix de la méthode dépend de la disponibilité de vulnérabilités largement exploitables et des préférences du groupe cybercriminel en question.

Droppers

La grande majorité des opérateurs de ransomware ne déposent pas directement le payload du ransomware sur la machine de la victime. Au lieu de cela, la première étape tend à être quelque chose comme TrickBot, Qbot, Dridex, Ursnif, BazarLoader, ou un autre dropper. Une fois exécuté, le dropper désactive souvent les logiciels de détection et de réponse, extrait les informations d'identification pour les mouvements latéraux et, surtout, télécharge le payload de la deuxième étape.

Tout cela se passe discrètement, et le payload de la deuxième étape peut ne pas être déposée immédiatement. Dans certains cas, le dropper dépose un payload de deuxième phase qui n'est pas un ransomware, comme Cobalt Strike. Cette situation est plus fréquente dans les grandes entreprises, où le gain potentiel est beaucoup plus important. Lorsque quelque chose qui ressemble à un ordinateur personnel est infecté, les acteurs chiffrent généralement rapidement la machine, exigent un paiement qu'ils attendent et poursuivent leur journée.

Une fois que l'attaquant a compromis son cœur - une machine, un sous-réseau ou toutes les machines d'une organisation - il appuie sur la gâchette du ransomware.

 

Comment fonctionne un ransomware

À ce stade, presque tous les professionnels de la sécurité et de nombreux profanes ont une compréhension conceptuelle du mécanisme des ransomwares : Un programme chiffre une partie ou la totalité de vos fichiers, affiche un message demandant un paiement et envoie (généralement) une clé de déchiffrage lorsque la rançon est payée. Mais sous le capot, comment cela se passe-t-il ? Une fois que le dropper a exécuté le ransomware, comment fonctionne-t-il ?

Lancement de l'exécutable

Le dropper lance l'exécutable. En général, une fois qu'il a obtenu la persistance et l'escalade des privilèges, le ransomware est soit injecté dans un processus en cours, soit exécuté en tant que DLL. Après une injection ou une exécution réussie, le ransomware construit ses importations et tue les processus qui pourraient l'arrêter. De nombreuses familles de ransomware suppriment également toutes les copies fantômes et les éventuelles sauvegardes afin de maximiser les dégâts.

La clé

La première étape du processus de chiffrage consiste à obtenir une clé pour chiffrer les fichiers. Les familles de ransomware les plus anciennes et les moins avancées s'adressent d'abord à un serveur de commande et de contrôle pour demander une clé. D'autres sont dotés de clés secrètes intégrées, qui sont généralement faciles à déchiffrer avec le bon déchiffreur. D'autres encore utilisent le système RSA ou un autre système de chiffrage à clé publique, de sorte qu'il n'est pas nécessaire d'importer une clé. De nombreuses familles avancées de ransomware utilisent aujourd'hui à la fois le chiffrement à clé symétrique pour la rapidité et le chiffrement à clé publique pour empêcher les défenseurs d'intercepter la clé symétrique.

Pour ces familles modernes, une clé publique RSA est intégrée à l'exécutable, et une clé AES est générée sur la machine de la victime. Ensuite, les fichiers sont chiffrés à l'aide d'AES, et la clé est chiffrée à l'aide de la clé publique RSA. Par conséquent, si une victime paie la rançon, elle paie la clé privée pour déchiffrer la clé qui a été utilisée pour chiffrer tous ses fichiers.

Chiffrage

Une fois la bonne clé en place, le ransomware commence le chiffrage du système de fichiers. Parfois, il le fait fichier par fichier. Dans d'autres cas, il chiffre directement des blocs d'octets sur le système. Dans les deux cas, le résultat final est le même : un système de fichiers chiffré et une note de rançon demandant le paiement de la clé de déchiffrage.

Paiement et déchiffrage

La transaction "commerciale" typique implique l'envoi d'une certaine quantité de bitcoins à un portefeuille spécifié et une preuve de paiement. Ensuite, les pirates fournissent leur clé privée et un utilitaire de déchiffrage à la victime. Dans la plupart des cas, les attaquants donnent effectivement les clés de déchiffrage, mais nous avons récemment constaté une augmentation du double chiffrage, qui nécessite deux paiements.

Une fois la rançon payée et les fichiers déchiffrés, le vrai travail commence.

 

Récupération

La récupération des fichiers chiffrés est une partie importante du processus de récupération des ransomwares, et que vous payiez pour le déchiffrage, que vous utilisiez un déchiffreur disponible ou une autre méthode, il y a un piège dans tout cela. Les attaquants peuvent toujours se trouver dans votre environnement.

Comme nous l'avons mentionné, dans tous les cas, sauf les moins intéressants (une machine sur un réseau domestique), les attaquants cherchent à effectuer des mouvements latéraux et à établir la persistance. Cela signifie que même après le décryptage des fichiers, vous devrez parcourir l'ensemble de votre environnement à la recherche de portes dérobées résiduelles, de déploiements d'attaques au cobalt, d'informations d'identification volées, etc. Une réponse à l'incident à grande échelle est justifiée.

Même au-delà du coût du paiement de la rançon, cela peut être une entreprise extrêmement coûteuse. La réimpression des systèmes, la réinitialisation des mots de passe dans toute l'organisation et la chasse aux menaces représentent beaucoup de travail, mais c'est nécessaire. En fin de compte, si vous n'expurgez pas l'attaquant de tous vos systèmes, s'il veut profiter de votre volonté de payer (surtout si vous l'avez payé !), il lui suffit de passer par la porte arrière.

 

Défense proactive contre les ransomwares

Les ransomwares sont une tactique populaire pour les organisations de cybercriminalité et ne montrent aucun signe de ralentissement. Contrairement au vol de propriété intellectuelle ou à d'autres formes de cybercriminalité, les ransomwares sont généralement une attaque d'opportunité et constituent donc une menace pour les organisations de toutes tailles et de tous secteurs. En comprenant les différentes parties de la chaîne d'élimination des ransomwares, nous pouvons identifier les endroits où il est possible de s'insérer dans le processus et d'atténuer le problème.

L'application de correctifs aux systèmes vulnérables et la connaissance de votre surface d'attaque constituent une bonne première étape dans ce processus. La formation de votre personnel sur les courriels de phishing, les menaces liées à l'activation des macros et d'autres connaissances en matière de sécurité peuvent également contribuer à empêcher l'accès initial.

L'utilisation d'une authentification à deux facteurs, la désactivation des services inutiles ou réputés non sécurisés et d'autres mesures de renforcement standard peuvent contribuer à limiter la propagation des mouvements latéraux. En outre, disposer d'un programme de sécurité qui identifie les menaces dans votre environnement et y répond est crucial pour contrôler le mouvement des attaquants.

La mise en place de sauvegardes hors site est également une étape très importante de ce processus. Entre la double extorsion et la possibilité que le groupe qui a attaqué votre organisation et chiffré vos fichiers ne soit pas un courtier honnête, les choses peuvent mal tourner après que vous ayez décidé de payer la rançon. Cela peut également faciliter le processus de réponse aux incidents, puisque les images de sauvegarde elles-mêmes peuvent être vérifiées pour détecter les signes d'intrusion.

Erick-Rapid7-Rond
 

Traduit de l'article d'Erick Galinkin | Septembre 2021 | Hacker et chercheur en intelligence artificielle chez Rapid7, où il travaille à la fois sur l'utilisation de l'IA pour trouver de mauvaises choses et sur les mauvaises choses à faire à l'IA.

Écrit par M.K