Le cours d'une attaque de ransomware utilisant Hive a été étudié par l'équipe d'investigation de Varonis lors d'un déploiement client. L'attaque et les actions des cybercriminels ont été documentées de cette manière.
Découvert pour la première fois en juin 2021, Hive est utilisé comme rançongiciel en tant que service par les cybercriminels pour attaquer les établissements de santé, les organisations à but non lucratif, les détaillants, les services publics et d'autres industries dans le monde entier. Le plus souvent, ils utilisent des tactiques, techniques et procédures (TTP) courantes de rançongiciels pour compromettre les appareils des victimes. Entre autres, des e-mails de phishing avec des pièces jointes malveillantes, des identifiants VPN volés et des vulnérabilités sont utilisés pour infiltrer les systèmes ciblés. Lors d'une visite chez un client, l'équipe médico-légale de Varonis a enquêté sur une telle attaque et a pu documenter les actions des cybercriminels.
Phase 1 : ProxyShell et WebShell
Tout d'abord, les attaquants ont exploité les vulnérabilités ProxyShell connues des serveurs Exchange, puis ont placé un script de porte dérobée malveillant (webshell) dans un répertoire accessible au public sur le serveur Exchange. Ces scripts Web pourraient alors exécuter du code PowerShell malveillant via le serveur compromis avec les privilèges SYSTEM.
Étape 2 : Frappe de cobalt
Le code PowerShell malveillant a téléchargé des intermédiaires supplémentaires à partir d'un serveur de commande et de contrôle distant connecté au framework Cobalt Strike. Les stagers n'étaient pas écrits dans le système de fichiers, mais exécutés en mémoire.
Phase 3 : Mimikatz et Pass-The-Hash
En utilisant les privilèges SYSTEM, les attaquants ont créé un nouvel administrateur système nommé "user" et ont procédé à la phase de vidage des informations d'identification, où ils ont déployé Mimikatz. À l'aide de son module "logonPasswords", les mots de passe et les hachages NTLM des comptes connectés au système pourraient être extraits et les résultats enregistrés dans un fichier texte sur le système local. Une fois que les attaquants disposaient du hachage NTLM de l'administrateur, ils utilisaient la technique pass-the-hash pour obtenir un accès hautement privilégié à d'autres ressources du réseau.
Phase 4 : Recherche d'informations sensibles
Ensuite, les assaillants ont mené de vastes activités de reconnaissance dans tout le réseau. En plus de rechercher des fichiers contenant "mot de passe" dans leurs noms, des scanners de réseau ont également été utilisés et les adresses IP et les noms de périphériques du réseau ont été collectés, suivis de RDP vers les serveurs de sauvegarde et d'autres ressources clés.
Étape 5 : Déploiement du rançongiciel
Enfin, une charge utile de malware personnalisée écrite en Golang appelée Windows.exe a été distribuée et exécutée sur différents appareils. Plusieurs opérations ont été effectuées ici, telles que la suppression des clichés instantanés, la désactivation des produits de sécurité, la suppression des journaux d'événements Windows et la suppression des droits d'accès. De cette manière, un processus de cryptage fluide et étendu était garanti. Une note de demande de ransomware a également été créée pendant la phase de chiffrement.
Augmentation extrême des attaques de ransomwares
Les attaques de ransomwares ont considérablement augmenté ces dernières années et restent la méthode préférée des cybercriminels à motivation financière. Les effets d'une attaque peuvent être dévastateurs : elle peut nuire à la réputation d'une entreprise, perturber de manière permanente les opérations régulières et entraîner une perte temporaire, voire permanente, de données sensibles ainsi que des amendes importantes en vertu du RGPD.
Bien que la détection et la réponse à de tels incidents puissent être difficiles, la plupart des activités malveillantes peuvent être évitées avec les bons outils de sécurité, des plans de réponse aux incidents en place et des vulnérabilités connues corrigées. L'équipe d'investigation de Varonis recommande donc les actions suivantes :
- Appliquez au serveur Exchange les dernières mises à jour cumulatives Exchange (CU) et mises à jour de sécurité (SU) fournies par Microsoft.
- Imposez l'utilisation de mots de passe complexes et demandez aux utilisateurs de changer régulièrement leurs mots de passe.
- Utilisez la solution Microsoft LAPS pour révoquer les autorisations d'administrateur local des comptes de domaine (approche du moindre privilège). Vérifiez périodiquement les comptes d'utilisateurs inactifs et supprimez-les.
- Bloquez l'utilisation de SMBv1 et utilisez la signature SMB pour vous protéger contre les attaques pass-the-hash.
- Limitez les droits d'accès des employés aux fichiers dont ils ont réellement besoin pour leur travail.
- Détectez et empêchez automatiquement les changements de contrôle d'accès qui enfreignent vos politiques.
- Formez vos employés aux principes de la cybersécurité. Des formations régulières de sensibilisation doivent faire partie intégrante de la culture d'entreprise.
- Établissez des pratiques de sécurité de base et des codes de conduite décrivant comment gérer et protéger les informations de l'entreprise et des clients, ainsi que d'autres données importantes.
À propos de Varonis Depuis sa création en 2005, Varonis a adopté une approche différente de la plupart des fournisseurs de sécurité informatique en plaçant les données d'entreprise stockées à la fois sur site et dans le cloud au cœur de sa stratégie de sécurité : fichiers et e-mails sensibles, informations confidentielles sur les clients, les patients et les patients. Les dossiers des employés, les dossiers financiers, les plans stratégiques et de produits et toute autre propriété intellectuelle. La plate-forme de sécurité des données Varonis (DSP) détecte les menaces internes et les cyberattaques en analysant les données, l'activité des comptes, la télémétrie et le comportement des utilisateurs, prévient ou atténue les atteintes à la sécurité des données en verrouillant les données sensibles, réglementées et obsolètes, et maintient un état sûr des systèmes. grâce à une automatisation efficace.,