Il y a quatre ans de cela, les criminels envoyaient des e-mails de phishing à des millions d’adresses, diffusant des variantes de logiciels rançonneurs, via des liens infectés ou des documents Word, sans logique ou ciblage apparent. Nous avons aussi vu bien des étudiants que des personnes âgées être victimes, ainsi que de simples utilisateurs ou des professionnels de l’informatique.
Tribune CheckPoint – Mais lorsque les logiciels rançonneurs ont commencé à chiffrer les ressources disponibles sur les réseaux, les entreprises ont commencé à y prêter un peu plus attention.
Cette étape de l’évolution des logiciels rançonneurs a vu la méthode de diffusion éparpillée précédemment mentionnée se combiner au chiffrement de fichiers disponibles aussi bien sur le serveur local que sur les serveurs d’entreprise. Le chiffrement du serveur de fichiers d’une infrastructure ou de son système de stockage en réseau entraîne plus de dommages pour l’entreprise que le chiffrement d’un poste de travail individuel. Dans ce contexte, la hotline de notre équipe d’intervention a commencé à recevoir plus d’appels, au cours desquels les administrateurs informatiques des systèmes touchés par des logiciels rançonneurs ont commencé à se poser des questions très sérieuses sur les conséquences associées au paiement des rançons.
Cette tendance des ransomwares à chiffrer les partages réseau, et l’attention accrue qui en résulte, est probablement à l’origine des nouvelles techniques de diffusion.
Frappes de précision : l’essor du protocole RDP (Remote Desktop Protocol)
En 2016, nous avons commencé à constater des infections massives de logiciels rançonneurs au cours desquelles plusieurs actifs essentiels de l’environnement des victimes étaient simultanément infectés, et avons donc constaté davantage d’interactions entre les agresseurs et leurs victimes (en raison de l’impact de leurs logiciels rançonneurs sur l’environnement des victimes). La communauté de sécurité s’est livrée à des enquêtes plus poussées qui ont confirmé ces soupçons : des cybercriminels utilisaient le protocole RDP, un protocole propriétaire conçu par Microsoft, pour fournir aux utilisateurs l’interface graphique d’un système distant, afin de s’introduire dans l’environnement des victimes.
Même les processus de sauvegarde ont besoin d’un plan de secours
Les sauvegardes en ligne, via un partage réseau ou dans le Cloud, sont l’un des actifs les plus critiques ciblés par les hackers. Le meilleur moyen de s’assurer que ces derniers ne puissent altérer ou détruire des sauvegardes consiste à utiliser la méthode éprouvée et sécurisée de sauvegarde sur bande ou sur disque, chiffré et amovible.
Une fois en place, les agresseurs déployaient généralement des outils permettant de rechercher et d’exploiter des relations utilisateur/groupe/administrateur mal configurées ou non intentionnelles.
Les paramètres Active Directory mal configurés ou non intentionnels sont les meilleurs alliés des cybercriminels, en leur permettant d’accéder aux privilèges de l’administrateur du domaine. Dès que le compte de ce dernier est compromis, les hackers ont la possibilité d’effectuer une reconnaissance du réseau pour identifier les actifs les plus critiques et les infecter.
Après avoir identifié les serveurs critiques et les systèmes de sauvegarde dans l’environnement, les hackers peuvent désormais utiliser les outils d’administration système intégrés à Windows pour déployer largement leurs logiciels rançonneurs.
A ce stade, les agresseurs n’essayaient donc plus d’envoyer un email à chaque personne présente sur le web. Avec le protocole RDP, ils savaient exactement qui et quoi cibler, en infectant simultanément des ressources critiques grâce à leur nouvel accès à l’environnement des victimes.
Conseil de l’équipe d’intervention Check Point : Au cours de nos différentes enquêtes, nous avons découvert que la plupart des victimes avaient involontairement autorisé l’accès RDP au réseau depuis Internet en raison de la configuration des règles de sécurité sur le pare feu, autorisant trop de ports ou configurant incorrectement l’IP/le masque réseau. La fonctionnalité « Packet Mode » de R80.10 [1] nous permet de vérifier rapidement si les ports RDP sont exposés sur Internet. Les règles de la blade Compliance (conformité) peuvent également être configurées pour émettre une alerte en cas d’exposition accidentelle de RDP.
La prochaine étape des logiciels rançonneurs : les botnets
La tactique consistant à utiliser le RDP comme base initiale pour ces déploiements de logiciels rançonneurs en volume, interactifs, programmés ou manuels, était devenue si courante qu’elle faisait l’objet de nos premières questions lors de la prise en charge de nouveaux incidents.
En aparté : Durant nos enquêtes en direct, nous (CPIRT) avons été témoins d’attaques par brute force contre le RDP, qui débutent après que la victime ait déjà été compromise via ce même protocole et que le logiciel rançonneur ait été déployé avec succès. Ceci est probablement une activité de botnet, et corrobore les analyses actuelles soulignant que les intrusions via RDP sont très recherchées sur le web underground.
Cependant, pour les cas récents tels que le logiciel rançonneur Ryuk [1], nous assistons à une autre évolution des tactiques de diffusion. Lorsque nous enquêtons sur les victimes pour déterminer si elles sont exposées au niveau du RDP, nous pouvons constater que ce protocole n’est pas activé, ou que l’accès se fait via VPN. Dans cette mesure, il n’expose pas directement les victimes sur Internet.
Ces cas nécessitent des enquêtes plus approfondies. Dans plusieurs cas récents, nous découvrons des infections de bots corrélées à la chronologie des infections de logiciels rançonneurs.
Au cours du mois dernier, nous avons observé des infections de TrickBot, d’Emotet et d’AdvisorsBot qui correspondent parfaitement au moment du déploiement des logiciels rançonneurs. Ces infections par bots sont généralisées dans l’environnement des victimes, et tirent également parti des relations d’approbation mal configurées dans Active Directory pour se répandre latéralement. Cette tendance à l’utilisation des bots pour s’implanter ne fait qu’augmenter.
Dans ces cas, nous constatons que des e-mails de phishing contenant des documents Word malveillants sont le vecteur de diffusion des bots. Ces documents Word malveillants contiennent un contenu exécutable appelé macros. Lors de nos analyses des infections par TrickBot et AdvisorsBot relatives aux logiciels rançonneurs, nous constatons que les victimes ont :
- Ouvert l’email de phishing
- Ouvert les documents malveillants
- Permis aux macros de s’exécuter
À ce stade, le contenu exécutable dans les macros installe un bot ou contacte le serveur de commande et de contrôle du botnet pour obtenir du code malveillant supplémentaire, qui est finalement le véritable logiciel malveillant.
C’est une évolution des tactiques de déploiement des logiciels rançonneurs. La tendance observable de diffusion des ransomwares, allant de l’email de phishing opportuniste jusqu’à l’implantation et la reconnaissance via une configuration RDP compromise, se poursuit aujourd’hui par une implantation avancée au cœur du réseau grâce à des infections par bots qui se propagent latéralement.
En conclusion, nous estimons que la tendance d’implantation des bots pour propager des logiciels rançonneurs continuera à se développer. A l’avenir, différents bots seront utilisés simultanément. Mais le fait qu’ils offrent une persistance et facilitent le déploiement de logiciels malveillants supplémentaires en font un choix évident en matière d’implantation malveillante. L’équipe d’intervention de Check Point est un groupe impartial d’analystes de sécurité qui enquête sur les attaques visant les clients de Check Point et les clients d’autres entreprises de sécurité.
Protection
- Les blades Check Point Sand Blast Agent Forensics, Anti Malware et Anti Ransomware identifient et stoppent l’activité des bots et des logiciels rançonneurs.
- Check Point Threat Extraction supprime les contenus actifs des documents et empêche les infections de bots diffusés via des documents malveillants.
- La blade Check Point Anti-Bot stoppe les activités post-infection, en bloquant les communications des bots avec leur serveur de commande et de contrôle utilisées pour transmettre des informations acquises lors de la reconnaissance ou pour télécharger des modules malveillants supplémentaires.
- Le protocole RDP ne doit pas être exposé sur Internet. Accédez uniquement à RDP via un VPN, et de préférence avec une authentification à deux facteurs.
- Évaluez les relations Active Directory pour identifier les maillons faibles entre les utilisateurs, les groupes et les administrateurs.
1. https://community.checkpoint.com/thread/5233-packet-mode-a-new-way-of-searching-through-
your-security-policy-in-r8010
2. https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/