L'équipe Sophos Managed Threat Response face au rançongiciel REvil. Un cas spécifique montre comment les cybercriminels ont travaillé, comment l'équipe Managed Threat Response (MTR) a finalement pris le dessus et quelles leçons les entreprises devraient tirer de l'incident.
Comme de nombreuses autres familles de rançongiciels, les cybercriminels utilisent le rançongiciel REvil pour voler et crypter des données afin d'exiger ensuite une rançon aussi élevée que possible. Cependant, ce qui rend REvil spécial, c'est la façon dont le rançongiciel est mis à disposition. Comme s'il s'agissait d'une entreprise normale, les fabricants proposent leur "produit" en tant que service que vous pouvez même louer - cela vous donne une bonne indication que l'activité des cybercriminels vaut des millions.
Attaque REvil : rançon de 2 millions de dollars
L'exemple actuel d'une entreprise de médias à laquelle les maîtres chanteurs ont exigé une rançon de plus de deux millions montre comment l'attaque fonctionne et comment les criminels peuvent être combattus efficacement. Avec environ 600 appareils en réseau, dont 25 serveurs et trois domaines Active Directory pour un fonctionnement 24h/7 et 19j/XNUMX, cette entreprise a également été contrainte de déplacer une grande partie de son travail quotidien vers des bureaux distants après la vague COVID-XNUMX. Les postes de travail externes ont été connectés au réseau et la connexion Internet ajustée - toutes les actions bien intentionnées en termes d'exigences nécessaires. Mais cela a ouvert la porte à l'attaque REvil.
Après avoir pénétré le réseau, les criminels se sont dirigés vers les appareils non protégés et d'autres systèmes en ligne, ont installé leurs outils d'attaque et les ont utilisés pour étendre l'attaque à d'autres appareils.
Force d'intervention rapide
Lorsque l'équipe d'intervention rapide de Sophos a été appelée pour mener une enquête approfondie sur la scène du crime, il est rapidement devenu clair que les attaquants de REvil avaient déjà compromis un certain nombre de comptes et se déplaçaient librement entre des ordinateurs non protégés. Un examen plus approfondi des applications a montré que 130 terminaux étaient équipés du logiciel Screen Connect 130, qui est souvent utilisé comme outil de collaboration pour les bureaux distants. En fait, l'entreprise n'était pas au courant de ces installations, suggérant que les attaquants ont installé cet outil aux côtés de divers autres programmes à leurs fins criminelles.
Echange direct de coups
Alors que les attaquants commençaient à creuser plus profondément dans le réseau, ils savaient qu'ils seraient probablement détectés et bloqués, et que l'équipe MTR les poursuivait. Ils savaient que des outils de détection basés sur le comportement étaient utilisés pour les retrouver et que CryptoGuard détecterait et bloquerait le chiffrement. Les attaquants ont ensuite tenté de pénétrer d'autres terminaux non protégés afin d'y exécuter le ransomware.
L'échange direct de coups entre l'équipe MTR et l'attaquant a été plus intense et complexe que d'habitude, car la société de médias a dû maintenir la plupart des serveurs en ligne pour maintenir les systèmes et les transmissions 24h/7 et XNUMXj/XNUMX. Finalement, la ruée a commencé à se calmer. Le deuxième jour, alors que des attaques entrantes sporadiques étaient encore repérées, il était clair que la tentative d'attaque principale était terminée et avait échoué. Le vainqueur de cette bataille était clair : l'équipe MTR.
Bilan et perspectives
Cela aurait pu être nettement pire. L'équipe de sécurité informatique a constaté que les dommages étaient principalement limités aux appareils et domaines non protégés. Le domaine en ligne précédemment protégé par un air gap (option de sécurité réseau) a été complètement détruit et a dû être reconstruit, et les sauvegardes en ligne ont également été supprimées. La bonne nouvelle : bien que les attaquants aient réussi à pénétrer dans le réseau, l'entreprise n'a pas été complètement paralysé et n'a pas non plus eu à payer une rançon exorbitante.
« Dans la plupart des cas, l'attaque est déjà en cours lorsque nous sommes appelés. Nous pouvons alors aider à contenir, neutraliser et enquêter sur les conséquences », déclare Peter Mackenzie, Manager Sophos Rapid Response. « Dans ce cas, on nous a demandé de l'aide et nous étions sur place pendant la phase finale de l'attaque et nous avons pu voir à la fois la détermination initiale des attaquants et ensuite la frustration croissante. Et ils ont utilisé toutes les armes disponibles contre nous, tirant depuis autant de directions que possible."
Deux découvertes particulièrement importantes
Le premier concerne la gestion des risques. Lorsqu'une entreprise apporte des modifications à un environnement, comme le déplacement d'un réseau d'air gap vers en ligne, comme dans le cas de cette entreprise, le risque change. De nouvelles vulnérabilités émergent qui doivent être identifiées et éliminées par les équipes de sécurité informatique.
La deuxième constatation concerne la protection des données. Le premier compte compromis dans cette attaque appartenait à un membre de l'équipe informatique. Toutes les données avaient été effacées. Cela signifie que des informations précieuses telles que B. Les détails de l'effraction d'origine qui auraient pu être utilisés pour l'analyse médico-légale et l'enquête ont été perdus. Plus il reste d'informations intactes, plus il est facile de comprendre ce qui s'est passé et de s'assurer que cela ne se reproduira plus.
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.