En 2022, les ransomware trônent toujours en tête des menaces cyber pour toutes les entreprises depuis les PME jusqu’aux grands groupes, mais également pour le secteur public. Or cette menace, bien que réelle et dangereuse, n’est plus une fatalité, grâce au XDR ouvert.
Source : Sekoia.io DarkWeb Monitoring
Cas d’usage : la lutte contre les ransomware avec SEKOIA.IO XDR
Les groupes de ransomware déploient une panoplie de techniques, d’outils et de malware variés pour mener à bien leurs attaques. Le niveau de sophistication est également très hétérogène selon les attaquants et le niveau de maturité de leur cible.
Si l’avantage semble plutôt du côté des attaquants, les défenseurs disposent de nombreuses opportunités pour détecter et bloquer l’attaque avant l’exfiltration de données ou le déploiement du ransomware sur tout le parc informatique.
Dynamics of ransomware activity in Q1 2022
La Kill Chain représente les différentes étapes d’une intrusion informatique; elle liste les très nombreuses tactiques, techniques et procédures utilisées par les attaquants. Elle offre aux défenseurs autant de possibilités de bloquer l’intrusion avant que les impacts ne deviennent trop importants.
Kill Chain de MITRE ATT&CK
Chez SEKOIA.IO nous avons adapté cette Kill Chain à la lutte contre les ransomware :
Voici quelques exemples permettant de mieux percevoir la manière dont SEKOIA.IO XDR peut détecter et bloquer ce type d’attaque par ransomware :
Initial Access (accès initial)
Les opérateurs de ransomware disposent de différents moyens pour s’introduire dans le système d’information de leurs victimes :
- Exploitation d’une vulnérabilité dans un équipement exposé sur Internet (VPN, Microsoft Exchange et Sharepoint, Citrix, etc..)
Le catalogue de règles de SEKOIA.IO XDR est mis à jour régulièrement avec de nouvelles règles permettant de détecter l’exploitation des vulnérabilités les plus utilisées.
Exemple de règles liées à des CVE disponibles dans le catalogue de SEKOIA.IO XDR
Détecter l’exploitation de ce type de vulnérabilités le plus tôt possible permet de stopper ou de ralentir les attaquants, qui devront trouver une nouvelle porte d’entrée dans votre système d’information.
- Tentative d’attaque par brute force sur des accès RDP
SEKOIA.IO XDR dispose également d’un moteur de détection d’anomalie permettant de créer des règles statistiques basées sur le comportement “normal” du système d’information. Ces règles donnent ensuite la capacité de détecter des comportements anormaux. Par exemple : un nombre plus élevé que d’habitude d’échecs d’authentification sur un service exposé sur Internet (comme RDP) levera une alerte.
- Envoi d’un e-mail de phishing avec une pièce jointe piégée avec un malware comme Emotet, QBot ou encore BazarLoader
Dans le cas où un utilisateur a ouvert une pièce jointe malveillante contenant un malware comme Emotet, son exécution va laisser de nombreuses traces. Celles-ci nous offrent plusieurs opportunités de détection. C’est ici que la Cyber Threat Intelligence (CTI) entre en jeu.
La connaissance et le suivi quotidien de la menace QBot permettent de disposer des Indicateurs de Compromission (IOC) les plus frais possible pour détecter, par exemple, les communications entre Emotet et les serveurs de Command & Control (C2) des attaquants.
Une alerte contextualisée sur une communication malveillante liée à Emotet
Credential Access (collecte d’identifiants)
Pour obtenir plus de droits dans les systèmes d’information de leurs victimes, les opérateurs de ransomware utilisent différentes techniques et outils comme Mimikatz pour se procurer des identifiants de comptes avec des privilèges élevés.
Avec SEKOIA.IO, ces techniques et ces outils sont rapidement détectés via des règles et des IOCs dédiées à ces TTPs. Un playbook de remédiation combiné à un EDR comme HarfangLab offre un moyen simple de stopper la menace.
Defense Evasion (contournement des dispositifs de sécurité)
Les attaquants réutilisent généralement les mêmes techniques lors de leurs intrusions. L’une de leur action préférée consiste à désactiver l’antivirus (notamment Microsoft Defender) ou la génération de logs sur les machines compromises.
Le catalogue de SEKOIA.IO XDR contient près de 50 règles pour détecter la désactivation des outils de sécurité.
Lateral Movement (mouvement latéral)
Après avoir compromis au moins une machine, les attaquants chercheront à se latéraliser. Cela signifie qu’ils se déplaceront dans les systèmes d’information de la victime pour accéder à d’autres postes de travail et serveurs, et ainsi étendre leurs privilèges ou trouver des données confidentielles.
Pour cela ils utilisent généralement des outils clés en main comme Cobalt Strike voire des outils natifs Microsoft comme PsExec utilisés légitimement par certains administrateurs systèmes. C’est pour cela que la contextualisation est cruciale. Sans elle, une activité légitime entre les mains d’un administrateur pourrait être identique à une activité malveillante. Les IOCs seuls ne peuvent suffire à les distinguer.
Le Dark Web : Une source déterminante pour une CTI actionnable
Exfiltration
Lorsque les attaquants sont à la recherche de données confidentielles, ils ont un seul objectif : exfiltrer ces données confidentielles. C’est le principe de la double extorsion. En premier lieu, la victime est sommée de payer pour libérer son système; en second lieu, les données exfiltrées sont tenues en otage sous la menace d’une divulgation publique. C’est pourquoi les groupes de ransomware procèdent à l’exfiltration d’un maximum de données sensibles. Avant de chiffrer les données pour demander une rançon, ils assurent leurs arrières.
Une règle de détection d’anomalie va permettre d’identifier un pic inhabituel dans le volume de données sortant du système d’information, notamment le week-end ou lors de périodes de congés. Ce sont des périodes privilégiées par les groupes de ransomware pour mener à bien leurs attaques.
Des règles plus classiques vont détecter l’utilisation d’outils comme RClone : outil très utilisé par certains groupes de ransomware.
Command & Control
Tout au long de leur intrusion, les outils utilisés par les attaquants comme Cobalt Strike communiquent depuis l’intérieur du réseau de leur victime vers des serveurs malveillants.
Grâce à la CTI de SEKOIA.IO qui traque les serveurs de Command & Control (C2) de centaines de codes malveillants comme Cobalt Strike, ces communications vont pouvoir être rapidement détectées et bloquées. Des règles dédiées issues d’analyses en laboratoire de malware comme Cobalt Strike vont permettre de compléter ou confirmer cette détection.
Échangez avec l’équipe
Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !
Lire aussi :
- Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
- Raccoon Stealer v2 – Partie 2 : Analyse approfondie
- Traffers : une plongée dans l’écosystème des voleurs d’informations
- Nouvelle campagne de phishing de TURLA en Europe de l’Est
- Raccoon Stealer v2 – Partie 1 : De retour des morts