Cinq jours passés à se familiariser avec le rançongiciel Conti : dans trois rapports, Sophos décrit en détail le processus d'une véritable attaque de rançongiciel Conti et comment elle a été stoppée. Sont également inclus : le comportement des attaques, le contexte technique et des conseils pratiques pour les administrateurs informatiques.
Les attaques de rançongiciels Conti, qui ont fait de plus en plus de mal depuis le milieu de l'année dernière, sont un exemple impressionnant de la façon dont les cybercriminels utilisent une technologie moderne et sophistiquée pour planifier leur attaque de manière ciblée et ainsi améliorer considérablement leurs chances de pénétrer avec succès les réseaux d'entreprise. Dans trois rapports détaillés, l'équipe Sophos Rapid Response décrit une véritable attaque et comment elle s'est déroulée sur cinq jours : « C'était une attaque très rapide et potentiellement dévastatrice », déclare Peter Mackenzie, responsable de Sophos Rapid Response. « Au cours de notre enquête médico-légale, nous avons constaté que les attaquants exploitaient les vulnérabilités du pare-feu pour compromettre le réseau et accéder aux données d'administration du domaine en seulement 16 minutes. Après cela, les attaquants ont déployé des agents Cobalt Strike sur les serveurs qui formeraient l'épine dorsale de l'attaque par ransomware.
Cyber attaquant en direct au clavier
La particularité de cette attaque était que les cybercriminels la contrôlaient eux-mêmes et ne laissaient pas tout à une routine automatisée. Grâce à ces attaques contrôlées par l'homme, les attaquants peuvent s'adapter et réagir à l'évolution des situations en temps réel. Avec une telle flexibilité, ces attaques ont plus de chances de réussir, et les victimes ne se sentent pas rassurées simplement parce qu'une première tentative d'attaque a été détectée et déjouée. Parce qu'alors se produit ce qui est décrit dans le journal suivant d'une véritable attaque de ransomware Conti - heureusement dans ce cas avec une fin heureuse.
jour d'attaque 1
Les attaquants pénètrent le pare-feu et n'ont besoin que de 16 minutes pour pirater le compte administrateur sur deux des serveurs de la victime. Ils déploient ensuite un Cobalt Strike Agent sur le premier serveur jusqu'à ce que cette attaque soit repérée et stoppée par la victime. Seulement 15 minutes plus tard, les attaquants réitèrent leur action sur le deuxième serveur et cette attaque passe inaperçue. Une fois qu'ils ont mis le pied dans la porte, les attaquants "se faufilent" dans le réseau d'entreprise de la victime et infectent un troisième serveur.
jour d'attaque 2
Aucune activité d'attaque n'est remarquée par la victime.
jour d'attaque 3
Les attaquants recherchent pendant une dizaine d'heures des dossiers contenant des informations potentiellement intéressantes et les extraient à l'aide de l'outil de gestion open source légitime RClone, qui a été installé sans être remarqué sur le troisième serveur piraté. Entre autres, les données des départements finance, RH et informatique sont impactées.
jour d'attaque 4
En utilisant ce qu'ils ont appris sur le terminal et la structure du serveur dès le premier jour, les attaquants installent d'abord un agent Cobalt Strike sur un quatrième serveur pour tester le ransomware. Après le message de réussite, ils installent Cobalt Strike sur près de 1 appareils et après 300 minutes supplémentaires lancent le rançongiciel Conti. Les points de terminaison compromis chargent le code à partir de différentes adresses de commande et de contrôle et l'exécutent. La chose perfide à ce sujet : aucune donnée n'est écrite sur les disques durs, mais le ransomware est exécuté directement dans la mémoire principale pour éviter la détection. Le ransomware essaie ensuite de chiffrer les données pendant trois heures, mais est bloqué sur les ordinateurs protégés par Sophos Intercept X malgré les tactiques d'obscurcissement. L'entreprise attaquée coupe la connexion Internet à l'exception de l'application Sophos, arrête l'infrastructure critique et arrête les processus de travail. L'équipe Sophos Rapid Response est appelée, identifie les ordinateurs d'extrémité et les serveurs infectés, arrête les différents processus d'attaque et commence à restaurer les zones compromises.
jour d'attaque 5
L'enquête finale menée par le Rapid Response Task Force identifie une deuxième exfiltration potentielle de données, un deuxième compte compromis et un trafic RDP (Remote Desktop Protocol) suspect via le pare-feu vulnérable. Dans le même temps, la victime restaure les terminaux non sécurisés et démarre l'infrastructure critique.
La morale de l'histoire
Ce sont souvent les administrateurs informatiques qui sont dans la ligne de mire directe lors d'une attaque par ransomware. Ce sont eux qui viennent travailler le matin et trouvent tout crypté avec une note de rançon. Sur la base de l'expérience de son équipe de réponse rapide, Sophos a développé une liste d'actions pour gérer au mieux les premières heures et jours difficiles après une attaque de ransomware.
- Désactivez le protocole RDP (Remote Desktop Protocol) sur Internet pour empêcher les cybercriminels d'accéder aux réseaux.
- Si l'accès à RDP est absolument nécessaire, il doit être sécurisé via une connexion VPN.
- Les mesures de sécurité multicouches, y compris les fonctions de détection et de réponse aux terminaux (EDR) et les équipes de réponse gérées pour la surveillance des réseaux 24h/7 et XNUMXj/XNUMX, empêchent les attaques et jouent un rôle clé dans la protection et la détection des cyberattaques.
- Surveillance constante des principaux indicateurs connus qui précèdent souvent les attaques de ransomwares.
- Création d'un plan de réponse aux incidents, qui doit être continuellement mis à jour avec les changements de l'infrastructure informatique et de l'entreprise.
- Des experts externes avec beaucoup d'expérience peuvent offrir une excellente assistance.
Trois rapports de ransomware Conti de Sophos
Dans les trois rapports Sophos, l'attaque du rançongiciel Conti est décrite sous différents angles et des instructions concrètes d'action sont données en cas d'attaque. Les rapports en anglais peuvent être téléchargés à partir des liens suivants :
Moment d'une attaque de rançongiciel Conti :
Une attaque de Conti Ransomware au jour le jour
Note technique des SophosLabs sur la nature évasive du rançongiciel Conti :
Conti Ransomware : insaisissable par nature
Instructions comprenant une liste de contrôle en 12 points pour les administrateurs informatiques pour faire face à une attaque :
À quoi s'attendre lorsque vous avez été touché par Conti Ransomware
En savoir plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.