Chiffrement incomplet : les pirates d’Akira deviennent négligents

Chiffrement incomplet : les pirates d’Akira deviennent négligents

Partager le post

En cas d’attaque par ransomware, de nombreuses entreprises cèdent et paient des rançons aux criminels. Mais les attaquants sont également pressés par le temps et deviennent négligents en matière de chiffrement. Il peut être intéressant pour les entreprises de rechercher des parties non cryptées des disques durs. Ici, en utilisant l'exemple d'une attaque d'Akira.

Un exemple tiré du travail de l'équipe de réponse aux incidents du DCSO (DIRT) montre pourquoi cela se produit et comment cette situation peut être utilisée pour restaurer les données. Les experts DCSO ont été chargés par une victime du ransomware Akira de restaurer les données critiques pour l'entreprise concernées. Lors de cet incident, les attaquants ont réussi à accéder à l'hyperviseur ESXi et ont pu installer la version Linux du ransomware Akira sur le système. Ils ont arrêté toutes les machines virtuelles et chiffré les fichiers .vmdk (disques virtuels) correspondants.

Exposition

Akira Group avait crypté les données

Pour restaurer les données le plus rapidement possible, l'équipe DCSO a démarré un système d'exploitation Linux sur l'hôte ESXi sans l'installer. Un disque dur de remplacement de la même taille que la banque de données ESXi a ensuite été utilisé pour la récupération.

Après avoir démarré le système d'exploitation Linux, l'équipe a d'abord dû identifier la banque de données ESXi qui utilise le système de fichiers « VMware VMFS ». Tous les disques durs virtuels (.vmdk) sont stockés ici. Pour ce faire, le résultat de la commande Linux fdisk a été recherché pour le système de fichiers « VMware VMFS ».

Cependant, un message d'erreur s'est produit dans « vmfs-tools » nécessitant l'installation d'un correctif existant. Le contenu des disques durs virtuels concernés pouvait alors être lu, même s'il était toujours crypté.

De nombreux fichiers ne sont que partiellement cryptés

On croit souvent à tort que les fichiers chiffrés par un ransomware ne peuvent pas être récupérés. Toutefois, cela dépend du type de fichier chiffré, de sa taille et de la manière dont le chiffrement a été effectué.

Crypté dans cet incident Akira le disque dur virtuel de la VM que partiellement. Cela signifie que les attaquants atteignent des vitesses de chiffrement beaucoup plus élevées et que la victime a moins de temps pour réagir. De plus, la plupart des logiques de détection reposent sur l'hypothèse d'un chiffrement complet et de l'impact correspondant sur l'utilisation du processeur, la similitude entre les fichiers non chiffrés et chiffrés et le débit d'E/S.

L'équipe DCSO a donc d'abord tenté de restaurer les partitions non chiffrées sur le disque dur de la VM. Une partition NTFS intacte peut également être trouvée dans les parties non chiffrées. Ceci a été réalisé à l'aide d'un script bash spécialement développé. La récupération des données critiques pour l'entreprise a ensuite commencé à l'aide de Sleuth Kit.

Conclusion : les pièces non chiffrées facilitent la récupération

Étant donné que diverses variantes de ransomware ne chiffrent que partiellement les fichiers, il vaut la peine de vérifier les partitions NTFS sur les disques durs virtuels concernés. Les parties non chiffrées permettent aux équipes de sécurité de récupérer plus facilement de grandes quantités de données. Cependant, vous ne devez appliquer le correctif requis à « vmfs-tools » qu'une fois que vous avez installé le logiciel à partir des référentiels de votre distribution Linux.

Plus sur DCSO.de

 


À propos de l'organisation allemande de cybersécurité DCSO

Fondée en 2015, DCSO Deutsche Cyber-Sicherheitsorganisation GmbH offre à l'économie allemande un espace protégé et indépendant des fabricants pour la coopération sur toutes les questions de cybersécurité et développe des services de pointe pour une cyberdéfense efficace et efficiente.


Articles liés au sujet

Outils de cybersécurité basés sur l’IA – une question de confiance

Malgré le battage médiatique : près de 60 % des entreprises allemandes considèrent les lacunes potentielles des outils de cybersécurité basés sur l'IA générative comme un problème majeur. ➡ En savoir plus

Publicité ou réalité : prévisions en matière de cybersécurité pour 2025 

Les prédictions en matière de cybersécurité abondent chaque année, et beaucoup d’entre elles sont exagérées. Il est plus judicieux d’examiner les données et ➡ En savoir plus

Accélérez la récupération après les cyberattaques

De nombreux responsables informatiques et de sécurité s'inquiètent de savoir si leur entreprise sera toujours en mesure de fonctionner après une cyberattaque, ou de la rapidité avec laquelle elle pourra y parvenir. ➡ En savoir plus

Tendance : les cybercriminels coopèrent dans le monde entier

Les cybercriminels deviennent de plus en plus agiles et travaillent ensemble dans le monde entier. C’est ce que démontre le nouveau rapport de recherche « Combler les divisions, transcender les frontières : l’état actuel ➡ En savoir plus

certification de sécurité FIPS 140-3 niveau 3

Spécialiste des clés USB chiffrées matériellement et de la gestion centralisée des clés USB SafeConsole, il est répertorié avec plusieurs périphériques de stockage sur la liste des modules en cours de traitement FIPS 140-3 ➡ En savoir plus

BYOD : 4 conseils pour minimiser les risques de sécurité

BYOD (Bring Your Own Device) signifie que les employés des entreprises sont autorisés à utiliser leurs appareils personnels pour travailler. Cela peut ➡ En savoir plus

Vulnérabilité zero-day dans Ivanti Connect Secure VPN

Mandiant a publié les détails d'une vulnérabilité zero-day (CVE-2025-0282) qu'Ivanti a divulguée et corrigée simultanément, affectant ses produits Ivanti ➡ En savoir plus

2025 : voici comment le paysage de la sécurité informatique va changer

Cinq tendances influenceront le paysage de la sécurité informatique en 2025. Sa complexité continuera de croître, avec de nouvelles technologies telles que l’IA et l’informatique quantique. ➡ En savoir plus