Lors de la récente conférence SANS Cyber Threat Intelligence, deux responsables de la cybersécurité de CrowdStrike, Sergei Frankoff et Eric Loui, respectivement chercheur principal en sécurité et analyste principal du renseignement, ont donné des détails sur un acteur majeur émergent du ransomware baptisé Sprite Spider. Comme de nombreux autres attaquants de ransomwares, le cybergang derrière les attaques de Sprite Spider a rapidement gagné en sophistication et en capacité de faire des dégâts depuis 2015. Aujourd'hui, Sprite Spider est même sur le point de devenir l'un des plus grands acteurs de la menace de ransomware de 2021 avec un profil de menace comparable à celui d'acteurs d'APT d'il y a cinq ou dix ans. La montée en puissance de Sprite Spider n'est pas surprenante étant donné - comme beaucoup d'autres gangs de ransomwares organisés - qu'elle attire des pirates informatiques souvent employés et payés par des acteurs travaillant pour le compte d'une puissance étatique.
Sprite Spider a commencé à utiliser un cheval de Troie bancaire appelé Shifu en 2015, ajoutant un chargeur de logiciels malveillants appelé Vatet vers 2017. En 2018, ce groupe de cybercriminels a déployé un cheval de Troie d'accès à distance appelé PyXie avant, en 2019, d'évoluer vers le ransomware DEFRAY777. À ce stade, les chercheurs de CrowdStrike ont lié Shifu, Vatet et PyXie aux attaques de ce rançongiciel, et découverts que l'activité de ces composants était liée à un seul acteur de la menace qui jusqu'alors évoluait sous le radar.
Zoom sur le fonctionnement de Sprite Spider
Comment fait Sprite Spider pour échapper à la détection ? Principalement parce que son code semble inoffensif, se cachant dans des projets open source tels que Notepad ++. La seule chose que Sprite Spider écrit sur le disque est Vatet, ce qui rend encore plus difficile pour les analystes de le suivre lors d'une réponse à incident. Malgré sa furtivité et ses multiples composants, Sprite Spider affiche pourtant des caractéristiques banales, mais si DEFRAY777 n'est pas un ransomware sophistiqué, il fait le job. Sprite Spider était également un peu en retard en termes de moyen de communication avec ses victimes et a attendu jusqu'à fin novembre 2020 pour lancer son propre site, des mois après d'autres acteurs de ransomware.
La véritable menace de Sprite Spider s'est intensifiée en juillet 2020 lorsqu'elle a commencé à cibler les hôtes ESXi, qui sont généralement déployés par de grandes entreprises qui utilisent l'hyperviseur de VMware pour gérer plusieurs machines virtuelles. Déployé sur les hôtes ESXi, DEFRAY777 utilise des informations d'identification volées pour s'authentifier auprès de vCenter, la plateforme permettant de gérer plusieurs terminaux ESXi et sites web hébergés. Ensuite, les attaquants se connectent, activent SSH, modifient les clés SSH ou les mots de passe root, tuent les processus en cours et lancent d'autres tâches qui conduisent à exécuter du code binaire dans le répertoire TMP, en chiffrant toutes les machines virtuelles et leurs hôtes. Peu de temps après que Sprite Spider a commencé à cibler les hôtes ESXi, un autre groupe de menaces appelé Carbon Spider a également commencé à cibler indépendamment les machines ESXi.
En visant les machines EXSi, Sprite Spider n'a pas à déployer de ransomware dans tout l'environnement organisationnel, mais seulement cibler quelques serveurs pour crypter une large bande d'infrastructure informatique virtualisée. « C'est emblématique d'une tendance plus large dans l'écosystème du cybercrime, où certains des plus grands adversaires ont largement déplacé leurs opérations de la fraude bancaire vers ces opérations de ransomwares ciblées », a expliqué Eric Loui.
Les infections par des malwares basiques précurseurs d'attaques de ransomwares
Les logiciels malveillants initialement utilisés comme chevaux de Troie bancaires se sont transformés en principaux outils d'accès pour pénétrer un système. « Wizard Spider utilise TrickBot comme outil d'accès initial pour déployer les ransomwares Ryuk et Conti. Indrik Spider utilise Dridex pour BitPaymer ou WastedLocker, et Carbon Spider utilise Sekur / Anunak pour REvil ou Darkside », résume Eric Loui. « Je tiens à souligner pour ceux d'entre vous qui interagissent directement avec les RSSI ou dirigeants, que les infections par des outils dits basiques, trojans ou téléchargeurs peuvent conduire à des attaques de ransomwares majeures. Si vous avez un problème avec Emotet, vous allez probablement avoir un problème avec Trickbot. Si vous avez un problème avec Trickbot, vous allez avoir un problème Ryuk ou Conti ». Un véritable cycle infernal en somme. Mais le temps est compté et il faut agir : « Si vous ne parvenez pas à détecter, répondre et remédier en moins d’une heure à cette situation, il est impossible de rattraper le retard. Vous devez donc traiter ces infections potentiellement graves, même s’il s’agit de soi-disant outils basiques malveillants », enchaine Eric Loui.
La chaîne de destruction de Sprite Spider et de certains des autres grands groupes de ransomwares émergents ressemble beaucoup aux premiers jours du comportement d'acteurs tel que des États-nations. « C'est en fait presque identique à la même menace de chaîne de destruction que nous avions affaire il y a dix ans avec des groupes de menaces persistants avancés », fait savoir de son côté Sergei Frankoff. « Ce sont les mêmes étapes, mais l'objectif à la fin est différent ». Et Adam Myers, vice-président directeur du renseignement de CrowdStrike de préciser : « Je pense que nous avons vu un certain nombre d’États-nations qui se livrent à ce type d’attaques pour générer des revenus, en particulier la Corée du Nord ». D'après ce dernier, l'Iran et la Chine se lancent aussi dans le jeu des ransomwares, mais cela est-il vraiment une surprise ? « Ce n’est pas nécessairement l’État-nation qui mène l’attaque, mais [les cybercriminels] utilisent les compétences qu’ils ont acquises [en travaillant pour des attaquants d’États-nations] pour gagner un peu d’argent supplémentaire. Les individus engagés par l'État-nation mènent des attaques de ransomware lors d'un changement au clair de lune. », note Adam Myers.
5 recommandations pour assurer sa défense
« En 2020, il était clair que la sophistication et l'utilisation ciblée des ransomwares sur certains secteurs verticaux étaient une pratique courante de la part des acteurs de la menace », a indiqué quant à lui Mark Ostrowski, responsable de l'ingénierie pour Check Point Software. « En 2021, nous pouvons nous attendre à ce que cela se poursuive, et sur la base des premiers rapports, des groupes comme Sprite Spider et d’autres peuvent cibler spécifiquement les intérêts les plus rentables. » Face à cette montée en puissance des opérateurs malveillants et de leurs implants toujours plus dangereux, Adam Myers met en avant cinq recommandations sur la manière dont les organisations peuvent mieux se défendre face à des ransomwares toujours plus destructeurs.
En premier lieu : « vous devez vous préparer à défendre. Vous devez commencer par des choses élémentaires comme des correctifs », explique-t-il. Ensuite, suivez la règle du dix-soixante. « Vous devez être en mesure d'identifier les choses en une minute environ, d'enquêter en dix minutes environ et d'y répondre en une heure environ. Si vous pouvez le faire, vous serez peut-être en mesure d'empêcher ces acteurs de se déplacer dans votre entreprise. »
Troisième recommandation pour faire face à la nature évolutive des ransomwares : utiliser une protection de nouvelle génération car les logiciels antivirus ne protègent pas contre ce type de menaces. « La protection de dernière génération utilise ce qu'on appelle l'apprentissage automatique ou l'intelligence artificielle. Le machine learning vous permet vraiment de déterminer les logiciels malveillants ou les fichiers sans jamais l'avoir vu auparavant », poursuit Adam Myers. Egalement, l'entrainement est essentiel : « J'entraîne toujours les conseils d'administration et les cadres à passer par des exercices réguliers ». Enfin, il est très important de savoir et connaitre ses adversaires. « Si vous comprenez qui sont les acteurs de la menace qui vous ciblent et comment ils opèrent, vous êtes alors mieux placé pour vous défendre contre eux à l'avenir ». Simple à dire mais pas si facile à faire...
« Tant qu’il n’y aura pas plus de discussion politique internationale, je pense que nous allons voir ces choses se développer », estime de son côté Mark Weatherford, directeur de la stratégie au National Cybersecurity Center et ancien responsable de la cybersécurité du DHS dans l'administration Obama. Pour lui, un effort international pour lutter contre le fléau croissant des ransomwares devra nécessairement émerger ; « Ce dont nous avons besoin, c'est d'un effort international combiné des nations du monde entier pour dire que ce n'est plus acceptable ». La coopération multinationale qui a permis récemment de détruire l'infrastructure Emotet utilisée pour fournir des ransomwares suggère que cela commence maintenant à être le cas. Pourvu que cela dure.