Au cours des dernières années, nous avons constaté une augmentation spectaculaire du nombre de cas d’attaques de ransomwares, frappant à la fois les particuliers et les entreprises.
Récemment, Seyfarth Shaw, un cabinet d’avocats international ayant des bureaux en Australie, a déclaré être victime d’une attaque de malware agressif que l’on pense être un ransomware.
Le cabinet a déclaré dans un communiqué qu’il a été attaqué le 10 octobre dernier. Les pirates informatiques ont ciblé les employés et l’entreprise, dont la principale motivation était le gain financier.
Lorsqu’un utilisateur visite un site web infecté ou clique sur un lien dans un e-mail ou une fenêtre pop-up, le ransomware se télécharge sur son ordinateur et affiche des messages dans le but d’extorquer de l’argent.
Certains ransomwares affichent en permanence des fenêtres contextuelles de contenu inapproprié (par exemple, de la pornographie), tandis que d’autres, connus sous le nom de crypto-ransomware, chiffrent votre disque dur ou suppriment vos données.
Prévention des attaques de ransomware
Les ransomwares sont une réelle menace, car ils peuvent causer la destruction complète d’un ordinateur ou d’un réseau d’entreprise. Il est extrêmement difficile de récupérer les systèmes infectés par ce type de malware sans en payer le prix.
Il est donc préférable d’empêcher que le logiciel malveillant n’atteigne pas vos systèmes. Il existe de nombreux moyens de renforcer vos systèmes pour empêcher les attaques de ransomware.
Formation de sensibilisation à la sécurité
Toutes les entreprises, quelle que soit leur taille, devraient dispenser une formation de sensibilisation à la sécurité à leurs employés pour qu’ils puissent adopter les meilleures pratiques pour l’utilisation de l’Internet (par exemple, les moteurs de recherche, les médias sociaux et les sites de jeux).
Il est également important de les sensibiliser à la sécurité des e-mails et à l’utilisation des supports amovibles (USB, lecteurs externes).
Les meilleures pratiques consistent notamment à n’ouvrir que les pièces jointes des e-mails provenant d’expéditeurs connus et vérifiés à ne pas cliquer sur les pop-up et à ne pas s’aventurer sur des sites web liés à des plateformes de médias sociaux, quel que soit l’expéditeur.
Politiques de restriction des logiciels
Utilisez des outils (tels que CryptoPrevent) qui sont capables d’écrire des centaines de stratégies de groupe (GPO) dans le registre d’un système afin d’empêcher les ransomwares de se loger dans ces endroits.
Les GPO utilisent des politiques destinées à empêcher l’exécution des fichiers exécutables, ce qui permet à un administrateur système de verrouiller essentiellement des zones d’un système d’exploitation (ou l’ensemble du système d’exploitation) pour bloquer les ransomwares.
Filtrage du spam
Les services externes de filtrage du spam tels que Exchange Online Protection ou Manage Protect sont capables de rechercher les malwares dans le contenu des e-mails, les pièces jointes, les tentatives de phishing et les liens suspects intégrés dans les messages.
Les administrateurs système doivent utiliser au maximum les filtres antispam pour renforcer la sécurité de leur passerelle en configurant des règles et des politiques appropriées pour empêcher tout contenu malveillant d’arriver dans les boîtes de réception des utilisateurs finaux.
Gestion unifiée des menaces (UTM)
Les plates-formes de gestion unifiée des menaces fonctionnent mieux lorsqu’elles sont activées sur les périphériques, protégeant ainsi le périmètre de votre réseau.
Les pare-feu de nouvelle génération équipés d’un système UTM sont capables d’effectuer le filtrage de contenu, de prévenir et de détecter les intrusions (plutôt que de mettre en place des dispositifs IDS/IPS séparés) et de filtrer les spams.
Au lieu de se contenter de lire les métadonnées des paquets du réseau, l’UTM effectue une inspection approfondie. Le contenu des paquets est donc inspecté à la recherche de fichiers ou de contenus malveillants.
Disposer de logiciels de sécurité sur les serveurs et les postes de travail.
Un double antivirus devrait être intégré sur les points d’extrémité et les points d’entrée du réseau (y compris le courrier électronique et les passerelles réseau) afin de fournir plusieurs couches de protection.
Les meilleures pratiques consistent à utiliser des systèmes différents, c’est-à-dire un antivirus pour la messagerie électronique et un autre pour les points d’extrémité/réseaux afin de fournir plusieurs couches de protection.
Les services comprennent une protection supplémentaire contre le phishing et l’analyse des requêtes pour bloquer les demandes malveillantes.
WebTitan Cloud applique des règles de sécurité à travers le réseau de votre entreprise pour une application cohérente des règles de sécurité.
Il permet également de bloquer des pages web et offre la possibilité d’entrer des codes de contournement si nécessaire.
Des mécanismes de sécurité en cas de catastrophe
Outre les mesures préventives, il est absolument vital que tous les systèmes informatiques et les dispositifs de réseau soient protégés au cas où un ransomware passerait par tous vos contrôles préventifs.
La meilleure façon de récupérer un système sans payer la rançon est de créer des sauvegardes fiables et à jour pour toutes les données (fichiers opérationnels, de développement, de configuration, etc.).
Les sauvegardes peuvent être créées pour restaurer un système à un point, par exemple, avant l’infection par un ransomware. Ceci minimise la perte de données et les dommages causés à vos appareils informatiques.
En outre, les grandes organisations ont commencé à envisager des solutions appelées « air-gapped », dans lesquelles des sauvegardes continues sont créées et inspectées, avant d’être stockées dans une sorte de « chambre forte ».
Cette solution permet de restaurer immédiatement vos systèmes en cas de besoin, tout en analysant toutes les données entrant pour vérifier l’absence de malwares ou d’activités malveillantes.
Les ransomwares peuvent être préjudiciables aux particuliers comme aux entreprises s’ils s’introduisent dans vos systèmes.
Bien que les pirates informatiques aient perfectionné leurs méthodes d’attaque, si vous investissez du temps et de ressources dans une stratégie de sécurité, vous pourrez considérablement durcir votre réseau et vous débarrasser de nombreuses vulnérabilités.
Les mesures de prévention et de sécurité sont extrêmement importantes pour protéger vos données, et les efforts supplémentaires que vous déployez dans votre approche de la sécurité vous apporteront une grande tranquillité d’esprit.
Sauvegarde 3-2-1 : comment ça marche ?
Pour garantir des sauvegardes fiables, vous avez besoin de redondance, ce qui est le but de la sauvegarde 3-2-1 traditionnelle. La topologie de la sauvegarde 3-2-1 est la suivante :
Avoir au moins 3 copies de vos données,
Utiliser deux formats de médias différents pour stocker vos données,
L’une des copies doit être sauvegardée hors site.
Trois copies de vos données signifient qu’une copie est l’original des données et elle doit être supportée par deux autres copies de sauvegarde séparées.
Vos données doivent résider sur deux supports distincts, comme un partage de réseau, un lecteur SSD sur un quelconque type de matrice de stockage.
Il peut également s’agir d’un support traditionnel sur bande magnétique qui semble si ancien aujourd’hui, mais qui est suffisamment intéressant, car vous pouvez l’emporter hors site, dans un endroit sûr comme un site séparé ou même un coffre-fort dans une banque locale.
Une solution possible, qui satisfait à la fois aux conditions de deux types de supports et d’un emplacement distant, est l’utilisation de la fonction d’instantanéité de votre infrastructure SAN.
En sauvegardant vos données à intervalles réguliers tout au long de la journée dans un environnement identique sur un site de reprise après sinistre, vous pouvez facilement vous remettre d’une attaque sur un serveur hôte virtuel.
N’oubliez pas toutefois de réaliser des tests réguliers de restauration de vos données afin de s’assurer qu’elles peuvent être récupérées intactes en cas de besoin.
Il convient de mentionner que les ransomwares peuvent se développer en tant que forme de malware et donc évoluer vers de nouvelles formes qui peuvent s’étendre au-delà des connexions physiques directes.
La seule certitude que l’on puisse avoir concernant les ransomwares est que le maintien d’une solution de sauvegarde bien conçue et fonctionnelle constituera une mesure efficace contre les impacts des ransomwares, quelle que soit leur évolution future.
Pour toute question, adressez-vous à un spécialiste ou envoyez-nous un courriel à info@titanhq.com.
Les cyberattaques impliquant le ransomware Netwalker sont devenues beaucoup plus courantes, au point qu’il est désormais considéré comme l’une des plus grandes menaces de ransomware de 2020.
Netwalker : un ransomware très dangereux
Netwalker est une variante d’un ransomware qui était auparavant connu sous le nom de Mailto. Elle a été détectée pour la première fois il y a un an, plus précisément en août 2019.
Fin 2019, le groupe de pirates qui l’ont conçue l’a rebaptisée Netwalker.
En 2020, ils ont commencé à faire de la publicité pour que leurs affiliés partagent le logiciel en question dans le cadre du modèle de ransomware-as-a-service.
Contrairement à de nombreuses offres RaaS, le groupe de pirates est particulièrement méticuleux lorsqu’il identifie les personnes pour distribuer le ransomware. Il essaie de constituer un groupe restreint d’affiliés capables de mener des attaques de réseau sur des entreprises ayant les moyens de payer des rançons importantes et les données qui justifient de tels paiements lorsqu’elles sont chiffrées.
Le ransomware Netwalker a été mis en œuvre lors d’une attaque en février contre Toll Group, une entreprise australienne de logistique et de transport.
Cela a provoqué de nombreuses perturbations bien que l’entreprise affirme ne pas avoir payé la rançon.
Comme beaucoup d’autres gangs utilisant le ransomware, le groupe de pirates de Netwalker a profité de la pandémie COVID-19 et a utilisé des leurres liés à ce thème dans des e-mails de phishing pour partager la charge utile via une pièce jointe malveillante, en optant pour un chargeur de pièces jointes en Visual Basic Scripting (.vbs).
Ensuite, des attaques ont été lancées contre l’université d’État du Michigan et le Columbia College de Chicago.
La fréquence des attaques a augmenté en juin.
L’Université de Californie à San Francisco qui menait des recherches sur le COVID-19 a été attaquée. L’université n’a eu d’autres choix que de payer la rançon d’environ 977000 euros que les pirates ont demandée pour pouvoir accéder à nouveau à des données de recherche cruciales qui avaient été chiffrées lors de l’attaque.
Les pirates derrière Netwalker ont également pu chiffrer des fichiers du Lorien Health Services, un opérateur du Maryland qui gère des centres de vie assistée.
Suite aux réussites des récentes attaques et étant donné que la campagne de recrutement a été efficace, les cybercriminels ont adopté diverses nouvelles techniques, notamment les attaques par la force brute sur des serveurs RDP et l’exploitation de failles dans des systèmes VPN non patchés comme le VPN Pulse Secure qui n’avait pas été patché pour corriger la vulnérabilité CVE-2019-11510.
D’autres campagnes malveillantes ont été menées, exploitant les vulnérabilités des composants de l’interface utilisateur des applications web, comme la vulnérabilité CVE-2019-18935 de l’interface utilisateur de Telerik, outre les vulnérabilités des serveurs Oracle WebLogic et Apache Tomcat.
Avec les rançons payées jusqu’à ce jour, le groupe de pirates est désormais bien financé et semble avoir des affiliés talentueux qui travaillent pour la distribution du ransomware.
Netwalker est ainsi devenu l’une des plus grandes menaces de ransomware et a rejoint les rangs de Ryuk et Sodinokibi. Tout comme pour ces autres menaces, les données ont été volées avant leur chiffrement et les pirates ont émis des menaces de les publier ou de les vendre si la rançon n’est pas payée.
L’augmentation de l’activité et de la compétence du groupe de pirates pour accéder aux réseaux d’entreprises a incité le FBI à publier une alerte flash sur les attaques du ransomware en fin juillet.
Le groupe de pirates semble actuellement se concentrer sur les organisations gouvernementales, les établissements d’enseignement, les prestataires de soins de santé et les entités impliquées dans la recherche sur le COVID-19. De plus, les attaques ne montrent aucun signe de ralentissement. Au contraire, elles sont plus susceptibles d’augmenter.
Adoptez des solutions pour vous protéger du ransomware Netwalker
Pour se protéger des attaques de ransomware, il faut adopter une approche de défense en profondeur et une bonne cyberhygiène.
Une solution avancée de filtrage des spams devrait être utilisée pour bloquer les attaques lancées via la messagerie électronique. Les utilisateurs finaux devraient apprendre à reconnaître les e-mails dangereux et savoir ce qu’il faut faire s’ils reçoivent un message suspect.
Comme les vulnérabilités des logiciels peuvent être exploitées par des cybercriminels, il est donc vital de les corriger rapidement. Tous les appareils doivent aussi fonctionner avec les dernières versions de logiciels.
Des logiciels antivirus et antimalware devraient être installés sur tous les appareils et tenus à jour.
Des politiques exigeant la création de mots de passe forts devraient être appliquées pour empêcher les attaques par la force brute de réussir. Des VPN corrigés devraient être mis en place pour l’accès à distance.
Une authentification à deux facteurs devrait être mise en œuvre et des filtres web devraient être utilisés pour la navigation sécurisée sur Internet.
Des sauvegardes devraient être effectuées dès qu’elles sont disponibles. Les sauvegardes doivent être stockées sur un dispositif non connecté au réseau de l’entreprise, lequel ne doit pas être accessible via Internet afin de s’assurer que les données ne seront pas chiffrées lors d’une attaque.
Au cours du mois dernier, l’activité du réseau de botnets Phorpiex a connu une forte hausse.
Un botnet est un réseau d’ordinateurs infectés par des malwares, ce qui permet aux pirates informatiques de les contrôler.
Ces ordinateurs sont ensuite utilisés pour envoyer des spams et pour mener des attaques de phishing, souvent dans le but de distribuer des malwares et des ransomwares.
On sait qu’il y a environ 500 000 ordinateurs dans le réseau de botnets Phorpiex dans le monde entier et que ce réseau fonctionne depuis près de 10 ans.
Le réseau de botnets Phorpiex
Le botnet Phorpiex a été utilisé auparavant pour envoyer des e-mails de sextorsion ; pour distribuer des mineurs de monnaie cryptographique XMRig (un mineur est un ordinateur, c’est-à-dire un réseau cryptographique qui vérifie les transactions ou des malwares voleurs d’informations).
Au mois de juin dernier, le botnet Phorpiex a été utilisé pour mener une campagne massive de demande de rançon en utilisant le ransomware Avaddon. 2 % des entreprises ont été ciblées dans le monde entier.
Les attaques de ransomware ont augmenté au cours des derniers mois. De nombreux pirates qui utilisent cette tactique délivrent des ransomware manuellement après avoir accédé aux réseaux d’entreprise. Pour ce faire, ils exploitent les vulnérabilités des VPN et d’autres logiciels, ou bien ils profitent de configurations logicielles par défaut non sécurisées.
On a également constaté une augmentation des attaques de ransomware utilisant la messagerie électronique comme vecteur d’attaques. Plusieurs variantes de ces logiciels sont désormais diffusées via les e-mails, et le ransomware Avaddon était l’une des plus grandes menaces au mois de juin.
En une semaine, plus d’un million de spams ont été envoyés via le réseau de botnets Phorpiex et la plupart de ces e-mails visaient essentiellement des entreprises américaines.
Avaddon est une nouvelle variante de ransomware qui a été détectée pour la première fois en juin. Les pirates qui l’ont conçu font la publicité de leur malware en tant que ransomware-as-a-service (RaaS) et ont recruté des affiliés pour le distribuer moyennant des bénéfices.
Nouvelles campagnes du ransomware Avaddon
Début juin, une campagne utilisant Avaddon a été détectée.
Elle avait recours à des pièces jointes en JavaScript intégrées à des spams. Les fichiers avaient une double extension qui les faisait apparaître comme des fichiers JPG sur les ordinateurs fonctionnant sous Windows. Les ordinateurs Windows masquent les extensions de fichiers par défaut, de sorte que la pièce jointe semble s’appeler IMG123101.jpg dans la configuration par défaut.
Si Windows avait été modifié pour afficher les extensions de fichiers connues, l’utilisateur verrait que le fichier est en fait IMG123101.jpg.js. Son ouverture lancerait une commande PowerShell et Bitsadmin qui déclencherait le téléchargement et l’exécution du ransomware Avaddon.
Plus récemment, une autre campagne a été détectée. Elle distribuait le ransomware Avaddon en utilisant des spams avec des pièces jointes sous format Excel avec des macros Excel 4.0 malveillantes. Contrairement aux fichiers JavaScript, qui s’exécutent lorsqu’ils sont ouverts par les utilisateurs, les macros Excel nécessitent une action de l’utilisateur pour s’exécuter. Ils étaient donc moins efficaces. Cela dit, les utilisateurs ont pour instruction d’activer les macros en utilisant diverses techniques d’ingénierie sociale et elles sont toujours efficaces.
Avaddon recherche une série de fichiers, les chiffre et ajoute l’extension .avdn. à ces fichiers. Une note de rançon est déposée et un lien est fourni à un site Tor avec un identifiant unique pour permettre à la victime de se connecter pour payer la rançon pour obtenir les clés de déchiffrement des fichiers. Il n’y a aucune clé de déchiffrement gratuite disponible pour le ransomware Avaddon. La récupération des fichiers n’était donc possible que si la rançon était payée ou si des sauvegardes viables existaient et que celles-ci n’avaient pas été chiffrées par le ransomware.
Plusieurs lignes d’objet ont été utilisées dans les e-mails, comme « Votre nouvelle photo » et « Aimez-vous ma photo ? », avec seulement un émoji dans le corps du message. Cette tactique est simple, mais efficace.
Plusieurs mesures peuvent être prises par les entreprises pour prévenir les attaques de ransomware comme celle d’Avaddon et d’autres attaques de ransomwares lancées via les e-mails. Une formation de sensibilisation à la sécurité des employés devrait sensibiliser ces derniers à la menace et leur apprendre à reconnaître les menaces de phishing et de spams.
C’est également un moyen de leur apprendre à signaler les e-mails malveillants à leur équipe de sécurité informatique. Si possible, les macros devraient être désactivées sur tous les appareils des utilisateurs finaux, bien que les pièces jointes des e-mails utilisés par les pirates changent souvent. En fait, la désactivation des macros ne prévient pas toutes les infections par des malwares.
L’une des meilleures défenses contre les menaces comme le phishing, les malwares et les ransomwares est d’installer une solution antispam puissante telle que SpamTitan.
SpamTitan peut fonctionner comme une solution antispam autonome, mais aussi comme un niveau de protection supplémentaire pour la messagerie électronique d’Office 365, en complément de la protection en ligne de Microsoft Exchange (EOP). De plus, il fournit une couche de sécurité supplémentaire pour bloquer les menaces de phishing et de malwares du type « zero day ».
Pour plus d’informations sur la protection de votre organisation contre les ransomwares et les autres attaques lancées via la messagerie électronique, appelez l’équipe de TitanHQ dès aujourd’hui.
Le cheval de Troie TrickBot est un cheval de Troie bancaire sophistiqué qui a été identifié pour la première fois en 2016. Si, à l’origine, le malware cherchait à voler des informations telles que les références bancaires en ligne, il a considérablement évolué au cours des quatre dernières années. Plusieurs modules ont été ajoutés, fournissant une foule de capacités malveillantes supplémentaires à TrickBot.
Les capacités du cheval de Troie à voler des informations ont été considérablement améliorées. En plus des références bancaires, il peut désormais voler des données sur le système et le réseau, des identifiants de connexion à des comptes de messagerie électronique et des données fiscales et de propriété intellectuelle.
TrickBot est capable de se déplacer latéralement et d’infecter silencieusement d’autres ordinateurs sur le réseau. Pour ce faire, il utilise des utilitaires Windows légitimes et le kit d’exploitation EternalRomance pour exploiter les machines présentant des vulnérabilités au niveau du service SMBv1 de Windows.
Le malware peut également ajouter une porte dérobée pour avoir un accès persistant à un serveur afin de télécharger des malwares et d’autres charges utiles malveillantes, y compris le ransommware Ryuk.
Le cheval de Troie est fréquemment mis à jour et de nouvelles variantes sont régulièrement publiées. Son infrastructure de commandement et de contrôle est également en constante évolution. Selon une analyse de Bitdefender, plus de 100 nouvelles adresses IP sont y sont ajoutées chaque mois, dont chacun a une durée de vie d’environ 16 jours.
Le malware et son infrastructure sont très sophistiqués et, bien que des mesures aient été prises pour les démanteler, les attaquants parviennent toujours à garder une longueur d’avance sur les concepteurs de systèmes de sécurité.
TrickBot est principalement distribué via des spams, par l’intermédiaire du réseau de botnet Emotet. L’infection par Emotet entraîne le téléchargement de TrickBot.
L’infection par TrickBot entraîne ensuite l’ajout d’un ordinateur au réseau de zombies Emotet. Une fois que toutes les informations utiles ont été obtenues d’un système infecté, le bâton est passé aux opérateurs de Ryuk ransomware, lesquels pourront alors accéder au système.
Une analyse récente d’une variante détectée par Bitdefender le 30 janvier 2020 a montré qu’une autre méthode de distribution a été ajoutée à l’arsenal de TrickBot. Le cheval de Troie dispose désormais d’un module des attaques par force brute sur le protocole Remote Desktop (RDP).
Les attaques par force brute RDP sont principalement menées contre les organisations qui interviennent dans les secteurs des services financiers, de l’éducation et des télécommunications. Elles visent actuellement des organisations aux États-Unis et à Hong Kong, bien qu’il soit probable que les attaques s’étendent géographiquement dans les prochaines semaines.
Elles sont menées pour voler la propriété intellectuelle et les informations financières.
Comme le cheval de Troie TrickBot est modulaire, il peut être constamment mis à jour avec de nouvelles fonctionnalités. L’évolution du malware jusqu’à présent et son taux de succès signifient qu’il continuera à être une menace pendant un certain temps. Heureusement, il est possible de prévenir les infections en appliquant une bonne cyber-hygiène.
Le spam reste le principal mode de diffusion des chevaux de Troie Emotet et TrickBot. Pour les contrer, il est donc indispensable de mettre un filtre antispam avancé.
Étant donné que de nouvelles variantes seront constamment diffusées, les méthodes de détection basées sur les signatures ne suffisent plus à elles seules.
SpamTitan intègre une sandbox alimentée par Bitdefender qui permet d’analyser les pièces suspectes jointes aux e-mails. Le sandboxing permet de détecter les éventuelles activités malveillantes et de garantir qu’elles (et que les nouvelles variantes de malwares jamais vues auparavant) sont identifiéee. Il garantit également que les e-mails suspects sont mis en quarantaine avant qu’ils ne puissent causer aucun dommage.
Si vous n’avez pas besoin du protocole RDP, assurez-vous qu’il est désactivé. Si vous en avez besoin, assurez-vous que l’accès est restreint et que des mots de passe forts sont définis. Utilisez la limitation d’accès pour bloquer les tentatives de connexion après un certain nombre d’échecs et assurez-vous qu’une authentification multifactorielle est mise en œuvre pour empêcher l’utilisation des identifiants volés.
Pour plus d’informations sur SpamTitan Email Security, et pour savoir comment vous pouvez améliorer vos défenses contre les attaques lancées via la messagerie électronique et via le web, contactez l’équipe de TitanHQ dès aujourd’hui.
La ville et le comté de Durham en Caroline du Nord ont subi une attaque de ransomware qui les a tous deux paralysés. L’attaque a commencé le 6 mars en fin de soirée, ce qui est courant pour les attaques de ransomware.
En réalité, la plupart des attaques de ransomware ont lieu le soir et le week-end, lorsqu’il y a moins de chances que le chiffrement des fichiers soit détecté.
Attaque contre la municipalité de Durham en Caroline du Nord
Deux attaques distinctes ont eu lieu simultanément. Une action rapide du département informatique a permis de contenir l’attaque, mais pas à temps pour empêcher l’infection d’environ 80 serveurs. Ces serveurs ont été chiffrés et ont dû être reconstruits, tandis qu’environ 1 000 ordinateurs ont dû être réinstallés.
Les cybercriminels disposent de nombreux moyens pour accéder aux réseaux d’entreprises afin de déployer des malwares, mais la messagerie électronique est le vecteur d’attaque le plus courant. La plupart des cyberattaques commencent par un e-mail de phishing et celle qui s’est produite à Durham n’était pas différente.
Le ransomware Ryuk a été utilisé pour chiffrer des fichiers sur le réseau afin d’extorquer de l’argent à la ville et au comté de Durham. Une demande de rançon a été émise qui, selon l’étendue du chiffrement, était estimée entre plusieurs milliers et plusieurs millions d’euros.
Toutefois, cette phase de l’attaque n’était que la partie la plus visible et la plus perturbatrice, car l’attaque a commencé beaucoup plus tôt.
Comment fonctionne le ransomware Ryuk ?
Le ransomware Ruyk est fourni par le cheval de Troie TrickBot, un voleur d’informations qui est devenu plus tard un téléchargeur de malwares. Une fois installé sur un appareil connecté à un réseau, TrickBot effectue une reconnaissance, se déplace latéralement et s’installe sur d’autres ordinateurs du réseau.
Lorsque toutes les informations utiles ont été trouvées et exfiltrées, un tunnel inversé ou « reverse shell » s’ouvre et les opérateurs de malwares disposent désormais l’accès aux différents systèmes. Les malwares se déplacent alors latéralement et téléchargent leur charge utile de ransomware sur le plus grand nombre possible d’appareils connecté au réseau.
TrickBot est téléchargé par le malware Emotet, un botnet notoire. Emotet, quant à lui, est livré par le biais de la messagerie électronique. Les campagnes d’Emotet ont utilisé une combinaison de documents Microsoft Office intégrant des macros malveillantes qui entraînent le téléchargement de la charge utile du malware et des hyperliens vers des sites web où le malware est téléchargé.
TrickBot peut également être diffusé directement via des spams. Ce trio de variantes de malwares peut causer des dommages considérables. Et même si la rançon n’est pas payée, les pertes peuvent être considérables. Entre autres, ces chevaux de Troie peuvent voler une quantité importante d’informations sensibles, notamment des identifiants de connexion à des comptes de messagerie électronique, des données bancaires, des informations fiscales et la propriété intellectuelle.
Pour notre cas, sept ordinateurs semblaient avoir été compromis lors de la première phase de l’attaque lorsque certains employés ont répondu à des e-mails de phishing.
Comment se protéger contre le ransomware Ryuk ?
La clé pour contrer de telles attaques est de mettre en place des défenses à plusieurs niveaux capables de bloquer l’attaque initiale. Cela signifie qu’une solution avancée de filtrage du spam est nécessaire pour bloquer les premiers e-mails de phishing.
Il importe également de fournir régulièrement des formations aux utilisateurs finaux sur la sécurité web afin qu’ils puissent identifier les e-mails malveillants qui arrivent dans leurs boîtes de réception.
En outre, il faut appliquer l’authentification multifactorielle pour empêcher l’utilisation des identifiants de connexion volés et empêcher donc les pirates d’accéder aux comptes de messagerie des utilisateurs finaux.
Enfin, il convient de déployer des solutions de sécurité des points finaux pour détecter les malwares qui pourraient être téléchargés par inadvertance par les utilisateurs finaux.
Vous voulez en savoir plus sur la protection de vos systèmes contre le phishing et les attaques de malwares ? Vous voulez connaître la manière dont un faible coût mensuel par utilisateur peut empêcher une cyberattaque extrêmement coûteuse ? Appelez l’équipe de TitanHQ dès aujourd’hui.
Il existe de nombreuses façons de télécharger des ransomwares sur les réseaux d’entreprises, mais le plus souvent, cela se fait via le protocole RDP (Remote Desktop Protocol), via les téléchargements par « drive-by » ou par le biais du courrier électronique.
Explications.
Attaques RDP
Les pirates peuvent faire des scans sur les ports RDP de votre entreprise pour découvrir ceux qui sont ouverts. Ceux-ci peuvent ensuite être attaqués par le biais des tactiques de la force brute, permettant ainsi aux pirates de deviner des mots de passe faibles.
Les cybercriminels ajoutent également à leur liste de mots de passe les informations provenant de violations de données qui se sont produites auparavant.
La meilleure façon de vous défendre contre cette méthode de distribution de ransomware est de désactiver complètement le RDP.
Cependant, ce protocole est souvent nécessaire pour la gestion à distance ou l’accès à distance à des bureaux virtuels. Si le RDP ne peut pas être désactivé, d’autres mesures doivent être prises pour le rendre aussi sûr que possible.
L’utilisation de mots de passe forts est importante pour bloquer les tentatives de détection des mots de passe par la force brute. Pour ce faire, vous devriez suivre les conseils de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur la création de mots de passe complexes.
Ceux-ci doivent être uniques et ne doivent pas être utilisés sur une autre plateforme en ligne. Une authentification à deux facteurs doit également être mise en place pour empêcher l’utilisation des identifiants de connexion volées.
Vous devez vous assurer que vous utilisez les dernières versions de logiciels pour vos serveurs et vos périphériques. Les connexions RDP aux ports d’écoute RDP ne doivent être autorisées que par le biais d’un VPN sécurisé et, idéalement, une passerelle RDP doit être utilisée.
En outre, vous devez limiter le nombre de personnes autorisées à se connecter à un bureau à distance. Enfin, vous devez utiliser la limitation de débit pour bloquer les utilisateurs après un certain nombre de tentatives infructueuses de saisie de mot de passe correct.
Téléchargements de ransomwares par « drive-by »
Les téléchargements par « drive-by » se produisent sur des sites web contrôlés par des pirates informatiques, qu’il s’agisse de leurs propres sites ou de sites non sécurisés ayant été compromis.
Des scripts malveillants ajoutés aux sites web pouvant télécharger des ransomwares et d’autres malwares peuvent infecter l’appareil d’un utilisateur lorsque celui-ci visite la page web malveillante.
Cela signifie que cette méthode d’attaque ne nécessite aucune interaction de l’utilisateur, hormis la visite du site web malveillant.
Mais l’infection peut également se produire via un clic sur un lien malveillant dans un e-mail, via une redirection ou par le biais d’une simple navigation sur le web.
Un filtre web tel que WebTitan est l’une des meilleures défenses contre les téléchargements de ransomwares par « drive-by ». WebTitan est une solution de filtrage DNS qui empêche les utilisateurs finaux de visiter des sites web connus pour être malveillants.
S’ils tentent de visiter un site web malveillant connu, ils seront dirigés vers une page de blocage locale, plutôt que de se connecter au site web.
WebTitan peut également être configuré pour bloquer les téléchargements de fichiers à risque, tels que les fichiers exécutables.
Attaques de ransomwares basées sur le courrier électronique
Souvent, les ransomwares peuvent aussi être livrés via le courrier électronique. Il peut s’agir d’un lien hypertexte intégré au message et qui pointe vers un site web où un téléchargement par « drive-by » peut avoir lieu. En outre, l’e-mail peut contenir des scripts malveillants dans des pièces jointes.
La protection contre les attaques par courrier électronique nécessite une approche approfondie, car aucune solution unique ne peut assurer une protection totale contre toutes les attaques lancées via les e-mails.
Une solution avancée de sécurité du courrier électronique telle que SpamTitan doit être mise en œuvre. SpamTitan scanne tous les courriels entrants et sortants et utilise diverses techniques comme l’apprentissage-machine pour identifier et bloquer les courriels potentiellement malveillants.
SpamTitan intègre deux moteurs antivirus qui détectent les variantes connues de malwares et une sandbox pour analyser les fichiers suspects à la recherche d’actions malveillantes. Le sandboxing vous protège contre les variantes de malwares et de ransomwares jamais vus auparavant.
La formation des utilisateurs finaux est également importante pour s’assurer qu’ils puissent reconnaître les courriels malveillants au cas où ils en recevraient un dans leurs boites de réception. Une solution de filtrage du web, quant à elle, permet de s’assurer que toute tentative de visite d’un site web malveillant via un lien hypertexte dans un courriel ou dans une pièce jointe est bloquée avant le téléchargement d’un ransomware.
Les ransomwares peuvent être utilisés en tant que charge utile secondaire
Plusieurs concepteurs de ransomwares utilisent des malwares de base pour livrer d’autres charges utiles. Les acteurs de la menace derrière le ransomware DoppelPaymer utilisaient par exemple le cheval de Troie bancaire Dridex pour livrer leurs charges utiles malveillantes, tandis que le gang derrière l’attaque de ransomware Ryuk utilisait le cheval de Troie TrickBot.
Même si ces infections de malwares de base sont découvertes et supprimées, les pirates informatiques peuvent toujours avoir accès à vos systèmes.
Ces infections sont souvent considérées comme relativement insignifiantes et lorsque de nouvelles variantes de malwares sont découvertes, les menaces qu’elles représentent ne sont pas correctement étudiées.
Pourtant, même si les chevaux de Troie peuvent être supprimés, d’autres malwares peuvent continuer à se propager latéralement avant de déployer leurs charges utiles de ransomwares.
Dans le cas de TrickBot, une fois qu’il est téléchargé, ce ransomware se met au travail en récoltant des données telles que des fichiers de mots de passe, des cookies et d’autres informations sensibles.
Suite à cela, un tunnel inversé (reverse shell) s’ouvre au ransomware Ryuk, lequel va effectuer une reconnaissance du réseau et tenter d’obtenir des identifiants d’administrateur. Il utilise ensuite PSExec et d’autres outils Windows pour déployer le ransomware sur tous les appareils connectés au réseau ciblé.
C’est exactement ce qui s’est passé lors de l’attaque contre la société d’e-Discovery, Epiq Global. L’infection initiale du TrickBot s’est produite en décembre 2019. L’accès a été fourni aux développeurs de Ryuk qui ont déployé le ransomware le 29 février 2020. Avant le déploiement de Ryuk, ils ont compromis les ordinateurs des 80 bureaux d’Epiq dans le monde.
TrickBot et les autres chevaux de Troie sont principalement livrés par le biais de courriels de phishing. SpamTitan vous aidera à vous protéger contre ces chevaux de Troie et bien d’autres téléchargeurs de ransomwares.
