Division efficace du travail ou élevage de stagiaires en cybercriminalité ? Après une infiltration réseau assez maladroite, les professionnels prennent enfin le relais avec Lockbit Ransomware. Un cas cyber intéressant a attiré l'attention des chercheurs de Sophos.
Sophos a découvert une cyberattaque particulière : des cybercriminels ont fait irruption dans un serveur du gouvernement régional aux États-Unis et y sont restés pendant cinq mois. Pendant ce temps, ils ont utilisé le serveur pour rechercher en ligne une combinaison d'outils de piratage et d'administration informatique qui pourraient les aider à déployer une attaque. Les attaquants ont également installé un cryptomineur avant d'exfiltrer des données et de déployer le rançongiciel Lockbit.
L'attaque a duré plus de 5 mois
Dans "Les attaquants s'attardent sur les ordinateurs des agences gouvernementales avant de déployer le rançongiciel Lockbit", cette attaque est décrite à nouveau avec tous les détails techniques. L'équipe de réponse aux incidents de Sophos, qui a contenu et enquêté sur l'attaque, pense que plusieurs attaques ont infiltré le serveur vulnérable.
Andrew Brandt, chercheur principal en sécurité chez Sophos, donne un aperçu de l'attaque
"C'était une attaque assez chaotique. Travaillant en étroite collaboration avec la victime, les équipes médico-légales de Sophos ont pu obtenir une image de l'attaque. Au début, il semble que ce soient des cybercriminels inexpérimentés qui ont pénétré par effraction dans le serveur, fouiné sur le Web et utilisé un serveur compromis pour rechercher des versions piratées et gratuites d'outils de piratage et d'administration légitimes. Tout cela a servi à préparer l'attaque proprement dite. Après cela, ils semblaient incertains quant à leurs prochaines étapes. Environ quatre mois après l'incursion initiale du serveur, la nature de l'activité d'attaque a changé, dans certains cas de manière drastique. À ce stade, vous pouvez vous attendre à ce que des cybercriminels aux capacités très différentes se joignent au combat et désinstallent le logiciel de sécurité. Ils peuvent avoir volé des données et des fichiers cryptés sur divers appareils à l'aide du rançongiciel Lockbit.
Les débutants soumettent, les professionnels prennent le relais
Sophos a découvert que le point d'entrée initial de l'attaque était un port RDP (Remote Desktop Protocol) ouvert sur un pare-feu configuré pour un accès public à un serveur. Les criminels ont fait irruption dans le serveur en septembre 2021 et ont utilisé le navigateur existant pour rechercher des outils légaux et illégaux en ligne. Dans certains cas, cette recherche a conduit les intrus vers des sites de téléchargement douteux qui livraient des logiciels publicitaires au serveur piraté au lieu des outils qu'ils recherchaient.
Les investigations ont montré un changement significatif dans le comportement des assaillants à partir de la mi-janvier 2022 : des activités plus habiles et plus ciblées ont pu désormais être identifiées. Les acteurs ont tenté de supprimer le Cryptominer malveillant et le logiciel de sécurité désinstallé. Ce faisant, ils ont exploité une vulnérabilité que la victime a accidentellement laissée ouverte après des travaux de maintenance avec une fonction de protection désactivée. Ils ont ensuite collecté et exfiltré des données et installé le rançongiciel Lockbit. Cependant, le grand succès ne s'est pas concrétisé, le cryptage des données a échoué sur certains appareils.
Bloquer l'accès au réseau autant que possible
« Si les équipes informatiques n'ont pas installé d'outils de connexion externe ou d'accès à distance pour une raison spécifique, ces outils ne doivent être présents sur aucun appareil du réseau d'entreprise. Si ces outils sont toujours actifs, cela indique une attaque en cours ou imminente. Des activités réseau inattendues ou inhabituelles, telles qu'une analyse du réseau, sont également des indicateurs solides que des étrangers ont envahi le réseau. Des erreurs de connexion RDP répétées sur des appareils qui ne sont accessibles qu'au sein du réseau suggèrent également un outil de force brute que les cyber-gangsters utilisent pour se faufiler sur le réseau de l'entreprise », explique Brandt. « Une défense robuste, profonde et active 24 heures sur 7, XNUMX jours sur XNUMX peut aider à garantir que de telles attaques n'ont même pas lieu ou ne se déroulent pas dans le réseau de l'entreprise. La première étape la plus importante consiste à éloigner les attaques du réseau, par exemple en utilisant une authentification multifacteur et une configuration de pare-feu qui bloque l'accès à distance aux ports RDP sans connexion VPN.
Une stratégie de confiance zéro aiderait
Les entreprises peuvent atteindre un niveau de protection particulièrement élevé avec la stratégie Zero Trust. Le très haut niveau de sécurité repose sur le fait qu'aucun appareil ou utilisateur n'est jamais digne de confiance. En termes simples, le principe Zero Trust signifie : ne faire confiance à rien ni à personne (surtout pas à un réseau) et vérifier tout. En conséquence, il n'y a pas de confiance ou de méfiance automatique à l'intérieur ou à l'extérieur du périmètre. Il est toujours vérifié qui veut accéder et il est vérifié si le dispositif d'accès est OK. De plus, les utilisateurs n'ont accès qu'aux ressources et applications nécessaires à leurs tâches.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.