Alors que les ransomwares continuent d'être le fléau des équipes de sécurité dans les entreprises, le groupe de recherche en sécurité Talos de Cisco a récemment étudié des groupes de ransomwares pour identifier les techniques courantes et offrir des recommandations aux opérateurs. Talos a examiné 14 groupes de ransomwares entre 2023 et 2024 et a étudié le volume des attaques, leur impact sur les clients et le comportement atypique des acteurs de la menace. Ses recherches incluent des données provenant des sites de fuite publics des groupes de ransomwares, de la réponse aux incidents de Talos IR, de ses efforts de suivi interne et des rapports provenant de sources publiques.

Selon ses recherches, « les acteurs de ransomwares les plus prolifiques donnent la priorité à l'obtention d'un accès initial aux réseaux ciblés à l’aide de comptes valides (c’est le mécanisme le plus courant). Le phishing pour obtenir des identifiants précède souvent ces attaques, une tendance observée dans tous les engagements de réponse aux incidents », a écrit James Nutland, analyste chez Cisco Talos, dans un blog. « Au cours de l'année écoulée, de nombreux groupes ont de plus en plus exploité des vulnérabilités connues et de type zero-day dans les applications accessibles au public, ce qui en fait un vecteur d'accès initial très répandu. »

Esquiver les défenses

Talos a repéré quelques changements majeurs dans l'espace des ransomwares au cours de l'année écoulée, notamment "l'émergence de plusieurs nouveaux groupes de ransomwares, chacun présentant des objectifs, des structures opérationnelles et une victimologie uniques". Cette diversification met en évidence une évolution vers des activités cybercriminelles plus ciblées, des groupes tels que Hunters International, Cactus et Akira se taillant des niches spécifiques, en se concentrant sur des objectifs opérationnels distincts et des choix stylistiques pour se différencier", a écrit M. Nutland. "Les principales conclusions indiquent que bon nombre des groupes les plus importants dans le domaine des ransomwares donnent la priorité à l'établissement d'un accès initial et à une esquive des défenses dans leurs chaînes d'attaque, mettant en évidence ces phases en tant que points focaux stratégiques. Au cours de l'année écoulée, de nombreux groupes ont exploité des vulnérabilités critiques dans des applications, devenant ainsi un vecteur d'attaque prévalent, que nous avons abordé plus loin, ce qui indique un besoin accru de contrôles de sécurité appropriés et de gestion des correctifs."

Pour éviter la détection, les cyberpirates exploitant des ransomwares utilisent des « méthodes d'esquive de défense » telles que désactiver ou modifier les logiciels de sécurité, y compris les programmes anti-virus et les solutions de détection des points de terminaison. Ils essaient également souvent de désactiver les fonctionnalités de sécurité dans le système d'exploitation pour empêcher la détection de la charge utile du ransomware », a précisé M.Nutland. « Les adversaires vont aussi souvent offusquer les logiciels malveillants en emballant et en compressant le code, qui se décompresse finalement en mémoire lorsqu'il est exécuté. Ils modifieront également le registre système pour désactiver les alertes de sécurité, configureront le logiciel pour s'exécuter au démarrage, ou bloqueront certaines options de récupération pour les utilisateurs. »

Talos a noté plusieurs tendances supplémentaires en matière de ransomwares, y compris :

- **Exploits MFA** : « Les attaquants peuvent envoyer des emails contenant des pièces jointes malveillantes ou des liens URL qui exécuteront du code malveillant sur le système cible, déployant les outils et logiciels malveillants, et exploitant l'authentification multi-facteurs (MFA). Il existe de nombreuses façons pour les attaquants d'espérer contourner la MFA, que ce soit en raison d'une mauvaise mise en œuvre ou parce qu'ils possèdent déjà des identifiants de compte valides. Notamment, nous avons vu un nombre croissant d'affiliés de ransomwares tenter d'exploiter des vulnérabilités ou des mauvaises configurations dans des systèmes accessibles sur Internet, comme dans des logiciels hérités ou non corrigés. »

- **Recherche d'accès à long terme** : « ...les attaquants chercheront à établir un accès à long terme, garantissant que leurs opérations réussiront même si leur intrusion initiale est découverte et corrigée. Les attaquants utilisent souvent des mécanismes de persistance automatisés de logiciels malveillants, tels que l'exécution AutoStart au démarrage du système, ou modifient les entrées de registre. Des outils de logiciels de contrôle à distance et la création de comptes locaux, de domaines et/ou de cloud peuvent également être déployés pour établir un accès secondaire avec des identifiants. »

- **Énumération des environnements cibles** : « Après avoir établi un accès persistant, les attaquants tenteront ensuite d'énumérer l'environnement cible pour comprendre la structure du réseau, localiser les ressources pouvant soutenir l'attaque et identifier les données de valeur pouvant être volées dans le cadre d'une double extorsion. En utilisant divers utilitaires locaux et services légitimes, ils exploitent des contrôles d'accès faibles et élèvent les privilèges au niveau administrateur pour progresser davantage dans la chaîne d'attaque. »

- **Utilisation d'outils de scanner réseau** : « Nous avons observé l'utilisation populaire de nombreux outils de scanner réseau en conjonction avec des outils et utilitaires du système d'exploitation local (binaires living-off-the-land) comme Certutil, Wevtutil, Net, Nltes et Netsh pour se fondre dans les fonctions typiques du système d'exploitation, exploiter des applications et processus de confiance et aider à la livraison de logiciels malveillants. »

- **Double extorsion** : « Dans le cadre de la focalisation sur un modèle de double extorsion, de nombreux attaquants collectent des informations sensibles ou confidentielles pour les envoyer à une ressource contrôlée par un attaquant externe ou via un mécanisme C2. Les utilitaires de compression et de chiffrement de fichiers WinRAR et 7-Zip ont été utilisés pour dissimuler les fichiers pour le transfert non autorisé de données, tandis que les attaquants exfiltrent souvent les fichiers en utilisant les outils de gestion à distance mentionnés précédemment. Des outils d'exfiltration de données personnalisés ont été développés et utilisés par les opérations RaaS plus matures, offrant des outils personnalisés tels qu'Exbyte (BlackByte) et StealBit (LockBit) pour faciliter le vol de données. »

Collecter des données pour préparer des attaques

Plus tôt cette année, Talos a souligné que les acteurs qui perpétuent des attaques de menace persistante avancée (APT) ne cherchent pas seulement à accéder à votre réseau. Ils veulent s'infiltrer discrètement et rester pour collecter des données précieuses ou préparer de futures attaques. Les menaces post-compromission sont en augmentation, et elles visent principalement les infrastructures réseau vieillissantes et les périphériques de périphérie qui sont depuis longtemps en fin de vie et peuvent présenter des vulnérabilités critiques non corrigées. Certaines des mesures que les entreprises peuvent prendre pour lutter contre les attaques de ransomwares incluent l'application régulière et cohérente des correctifs et des mises à jour à tous les systèmes et logiciels pour traiter les vulnérabilités rapidement et réduire le risque d'exploitation, selon M. Nutland. « Mettez en œuvre des politiques de mot de passe robustes qui exigent des mots de passe complexes et uniques pour chaque compte. De plus, appliquez l'authentification multi-facteurs (MFA) pour ajouter une couche de sécurité supplémentaire », a indiqué M. Nutland.

Segmenter le réseau pour isoler les données et systèmes sensibles, empêchant le déplacement latéral en cas de violation. En plus d'utiliser des mécanismes de contrôle d'accès réseau tels que 802.1X pour authentifier les appareils avant de leur accorder l'accès au réseau, garantissant ainsi que seules les connexions d'appareils autorisés, a indiqué le chercheur. « Mettez en œuvre un système de gestion des informations et des événements de sécurité (SIEM) pour surveiller et analyser en continu les événements de sécurité, en plus du déploiement de solutions EDR/XDR sur tous les clients et serveurs pour fournir des capacités avancées de détection, d'investigation et de réponse aux menaces ».