🆘 🖐🏾 ⏭️ Comment réduire les risques associés aux ransomwares ransomwares ♑️ 👊🏽 Ⓜ️

Aujourd'hui, lorsque le travail à distance devient monnaie courante et que la charge des spécialistes de la sécurité de l'information, en particulier dans les soins de santé et d'autres industries critiques, n'a jamais été aussi élevée, les activités des groupes de piratage gérant des applications cryptographiques ne faiblissent pas.

De nombreux groupes de piratage informatique, qui en quelques mois ont pénétré divers réseaux et accumulé de la «force», ont activé des dizaines de copies de leurs applications de rançongiciels au cours de la première moitié d'avril. Des attaques ont été frappées par des installations médicales, des sociétés de facturation des soins de santé, des fabricants, des sociétés de transport, des agences gouvernementales et des développeurs de logiciels de formation. Cela a démontré que, malgré la crise mondiale, ces groupes de piratage négligent le fonctionnement des services essentiels. Cependant, des entreprises d'autres régions sont également attaquées, les organisations doivent donc prêter une attention particulière aux signes de compromis.

Dans les deux semaines suivant le travail des cryptographes, le nombre d'attaques avec extorsion a légèrement augmenté. Cependant, après une étude menée par des experts Microsoft, ainsi que les résultats d'une enquête sur un autre incident menée par l'équipe DART (Microsoft Detection and Response Team), il s'est avéré que de nombreux cas de compromis, qui offraient la possibilité d'attaques, se sont produits encore plus tôt. En utilisant la technique typique des attaques utilisant des applications de ransomware contrôlées par l' homme , les attaquants ont compromis les réseaux cibles au cours des derniers mois et ont attendu l'occasion de monétiser le résultat en déployant des logiciels malveillants au moment le plus approprié.

Bon nombre de ces attaques ont commencé par des recherches sur les appareils vulnérables accessibles depuis Internet. Dans certains cas, avec l'aide de la force brute, les serveurs RDP ont été compromis. Un large éventail d'outils a été utilisé pendant les attaques, mais tous ont utilisé les mêmes techniques qui sont caractéristiques des attaques utilisant des applications de ransomware contrôlées par l'homme: vol d'informations d'identification et "biais partiels", après quoi les attaquants ont déployé les outils à leur guise. Étant donné que l'introduction d'applications de rançongiciels a lieu au stade final de l'attaque, les défenseurs devraient se concentrer sur la recherche de traces d'intrus volant des informations comptables, ainsi que des signes de «déplacement latéral».

Dans cet article, nous parlerons des résultats de l'analyse de ces campagnes à l'aide d'applications de rançongiciels.

Contenu:

Nous avons ajouté un certain nombre de détails techniques, y compris un guide pour détecter les attaques et des recommandations sur la priorité des actions de sécurité de l'information.

Systèmes vulnérables et non surveillés accessibles depuis Internet et facilitant la réalisation d'attaques humaines

Bien que de nouveaux outils d'extorsion aient été déployés lors d'attaques récentes, de nombreuses attaques ont utilisé l'infrastructure laissée par les campagnes précédentes. Ils ont également utilisé des techniques bien connues pour d'autres attaques utilisant des ransomwares pilotés par l'homme.

Contrairement aux attaques de logiciels malveillants transmises par e-mail, qui ont généralement lieu beaucoup plus rapidement, dans l'heure qui suit leur pénétration initiale, les attaques d'avril sont similaires aux attaques de 2019 utilisant Doppelpaymer. Ensuite, les attaquants ont eu accès aux réseaux cibles à l'avance. Ils ont ensuite attendu plusieurs mois, choisissant le bon moment pour déployer des applications de rançongiciels.

Lors d'attaques récentes, des systèmes accessibles depuis Internet et présentant les inconvénients suivants ont été utilisés pour pénétrer les réseaux cibles:

Remote Desktop Protocol (RDP) (MFA).
, (, Windows Server 2003 Windows Server 2008). .
-, IIS, , .
Citrix Application Delivery Controller (ADC) CVE-2019-19781.
Pulse Secure VPN CVE-2019-11510.

Pour empêcher de telles attaques, il est essentiel d'appliquer des correctifs de sécurité aux systèmes accessibles depuis Internet. Notez également: bien que les experts de Microsoft ne l'aient pas encore observé, les informations accumulées indiquent qu'au final, les attaquants peuvent profiter de ces vulnérabilités: CVE-2019-0604 , CVE-2020-0688 , CVE-2020-10189 .

Comme dans de nombreux cas de pénétration, les cybercriminels ont volé des informations d'identification, utilisé un «biais latéral» en utilisant des outils populaires comme Mimikatz et Cobalt Strike, et se sont engagés dans la reconnaissance du réseau et l'extraction de données. Les opérateurs de logiciels malveillants ont eu accès à des comptes dotés de privilèges d'administrateur et, dans ce cas, ils étaient prêts à commettre des actions encore plus destructrices. Dans les réseaux dans lesquels les attaquants ont installé leur logiciel, ils ont délibérément maintenu leur présence sur certains points d'extrémité, dans l'intention de reprendre leurs activités après la réception de la rançon ou la réinstallation des systèmes. Bien que seuls quelques groupes de hack soient devenus connus grâce à la vente de données collectées, presque tous ont examiné et extrait des données pendant les attaques, même s'ils n'avaient pas encore annoncé ou vendu des informations volées.

Comme dans toutes les attaques utilisant des ransomwares contrôlés par l'homme, dans les cas décrits, l'activité des attaquants s'est propagée sur le réseau, y compris les e-mails, les points de terminaison, les applications et bien plus encore. Puisqu'il peut même être difficile pour les experts de se débarrasser complètement des cybercriminels dans un réseau compromis, il est extrêmement important de patcher les systèmes vulnérables accessibles depuis Internet et d'introduire des restrictions afin de réduire les risques.

Entreprise d'extorsion hétéroclite

Ce chapitre décrit les différents types d'attaques et de familles de ransomwares, mais les attaques dont nous discutons ont suivi un schéma populaire, avec de légères variations. Les attaques se sont développées de manière similaire, en utilisant généralement les mêmes techniques. Et le choix d'un programme rançongiciel particulier à la fin de l'attaque dépendait presque entièrement du goût des attaquants.

RobbinHood Ransomware

Les opérateurs de rançongiciels RobbinHood ont attiré l'attention en raison de l'utilisation de pilotes vulnérables pour désactiver les logiciels de sécurité aux derniers stades de l'attaque. Cependant, comme dans de nombreuses attaques similaires, ils ont commencé par la force brute pour RDP sur une ressource non sécurisée. En conséquence, les attaquants ont obtenu des informations d'identification à privilèges élevés, principalement à partir de comptes d'administrateur local avec des mots de passe communs ou communs, ainsi que des comptes de service avec des privilèges d'administrateur de domaine. Les opérateurs RobbinHood, ainsi que les opérateurs Ryuk et autres groupes de piratage sans torsion, laissent derrière eux de nouveaux comptes locaux et Active Directory afin d'accéder à nouveau au réseau après avoir supprimé leurs outils.

Chargeur de démarrage Vatet

Les attaquants modifient souvent leur infrastructure, leurs méthodes et leurs outils pour éviter la notoriété, ce qui pourrait attirer l'attention des forces de l'ordre ou des chercheurs dans le domaine de la sécurité de l'information. Souvent, les pirates informatiques conservent leurs outils, attendant que les sociétés de sécurité de l'information considèrent les artefacts correspondants comme inactifs pour attirer moins d'attention. Vatet est un chargeur pour le framework Cobalt Strike, qui a été utilisé lors d'attaques en novembre 2018, et a de nouveau fait surface lors d'événements récents.

Probablement, les opérateurs de chargeurs avaient l'intention de se spécialiser dans les hôpitaux, les installations médicales, les fournisseurs d'insuline, les fabricants de matériel médical et d'autres organisations critiques. Ce sont quelques-uns des opérateurs de logiciels de ransomware les plus prolifiques liés à des dizaines d'attaques.

Avec l'aide de Vatet et Cobalt Strike, le groupe de hack a installé divers ransomwares. Ils ont récemment déployé une application en mémoire qui utilise des flux de données alternatifs (ADS) et affiche des versions simplifiées des exigences de rachat des anciennes familles d'applications. Les attaquants ont accès aux réseaux à l'aide de la vulnérabilité CVE-2019-19781 , de l'endpoint bruteforce avec RDP et des messages électroniques contenant des fichiers .lnk qui exécutent des commandes PowerShell malveillantes. Une fois piratés sur le réseau, les pirates volent des informations d'identification, y compris dans le référentiel Credential Manager, et utilisent le «biais latéral» jusqu'à ce qu'ils obtiennent les privilèges d'administrateur de domaine. Selon les observations, avant le déploiement des programmes de rançongiciels, les opérateurs extraient des données du réseau.

NetWalker Ransomware

Les opérateurs de NetWalker sont devenus notoires pour les attaques contre les hôpitaux et les installations médicales au cours desquelles ils ont envoyé des lettres promettant de fournir des informations sur COVID-19. Le programme NetWalker était contenu dans les lettres en tant que pièce jointe .vbs, et cette technique a attiré l'attention des médias. Cependant, les opérateurs ont également compromis le réseau en utilisant des applications IIS mal configurées pour lancer le programme Mimikatz et voler des informations d'identification. Ensuite, à l'aide de ces informations, les attaquants ont lancé PsExec et ont donc installé NetWalker.

PonyFinal ransomware

Ce programme Java est considéré comme une nouveauté, mais les attaques l'utilisant ne sont pas rares. Les opérateurs ont compromis les systèmes Web accessibles depuis Internet et ont reçu des informations d'identification privilégiées. Pour assurer la stabilité de leur présence sur le réseau attaqué, les attaquants utilisent les commandes PowerShell pour lancer l'outil système mshta.exe et configurer une connexion shell inversée basée sur le framework PowerShell populaire pour les attaques. En outre, les pirates ont utilisé des outils légitimes comme Splashtop pour maintenir la connexion aux bureaux distants.

Maze Ransomware

L'une des premières campagnes de rançongiciels à faire la une des journaux pour la vente de données volées. Maze continue de se spécialiser dans les fournisseurs de technologies et les services publics. Ce ransomware a été utilisé contre les fournisseurs de services gérés (MSP) pour accéder aux données et aux réseaux de leurs clients.

Le labyrinthe s'est propagé par lettres, mais les opérateurs ont également installé le programme après avoir accédé aux réseaux à l'aide de vecteurs d'attaque courants tels que la force brute RDP. Après avoir pénétré le réseau, les attaquants volent des informations d'identification, effectuent un «décalage latéral» pour accéder aux ressources et extraire les données, puis installer le ransomware.

Au cours d'une récente campagne de piratage, les chercheurs de Microsoft ont suivi comment les opérateurs Maze ont pu accéder via la force brute RDP d'un compte d'administrateur local sur un système accessible sur Internet. Après la force brute du mot de passe, les opérateurs ont pu effectuer un «décalage latéral», car les comptes d'administrateur intégrés aux autres points de terminaison utilisaient le même mot de passe.

Après avoir volé les informations d'identification du compte de l'administrateur de domaine, les pirates ont utilisé Cobalt Strike, PsExec et un certain nombre d'autres outils pour fournir toutes sortes de charges utiles et accéder aux données. Les attaquants ont organisé une présence sans fichier sur le réseau à l'aide du planificateur de tâches et des services qui exécutent des shells distants basés sur PowerShell. En outre, les pirates ont activé la gestion à distance de Windows pour maintenir le contrôle avec un compte d'administrateur de domaine volé. Pour affaiblir le contrôle de la sécurité des informations en vue de l'installation du ransomware, les attaquants ont manipulé divers paramètres via des stratégies de groupe.

Ransomware REvil

Il s'agit probablement du premier groupe d'opérateurs de ransomware à exploiter les vulnérabilités du réseau dans Pulse VPN pour voler des informations d'identification afin d'accéder au réseau. REvil (ou Sodinokibi) est devenu connu pour pénétrer le MSP, accéder aux réseaux et aux documents de ses clients, ainsi que leur vendre l'accès. Les attaquants ont continué de le faire pendant la crise actuelle, attaquant le MSP et d'autres cibles, y compris les agences gouvernementales. Les attaques REvil se distinguent par l'utilisation de nouvelles vulnérabilités, mais leurs méthodes sont similaires à celles de nombreux autres groupes de hack: après avoir pénétré le réseau, des outils comme Mimikatz et PsExec sont utilisés pour voler des informations d'identification, des "biais latéraux" et des reconnaissances.

Autres familles de ransomwares

Au cours de la période considérée, l'utilisation de ces familles d'applications gérées par des personnes a également été notée:

paradis Auparavant, il était distribué directement par lettres, mais il est désormais utilisé dans les attaques menées par l'homme.
RagnarLocker. Utilisé par un groupe qui a utilisé activement RDP et Cobalt Strike avec des informations d'identification volées.
MedusaLocker. Probablement installé via des infections Trickbot préexistantes.
Lockbit Distribué par les opérateurs qui ont utilisé l'outil de test de pénétration CrackMapExec accessible au public pour effectuer un «déplacement latéral».

Réponse immédiate aux attaques en cours

Nous recommandons fortement aux organisations de rechercher immédiatement les alertes liées aux attaques décrites et de prioriser les enquêtes et la récupération du système. À quoi les défenseurs doivent-ils prêter attention:

PowerShell, Cobalt Strike , « ».
, , Local Security Authority Subsystem Service (LSASS) , .
, USN — .

Les entreprises utilisant Microsoft Defender Advanced Threat Protection (ATP) peuvent se référer au rapport d' analyse des menaces pour obtenir des détails sur les alertes pertinentes et les techniques de détection avancées. Ceux qui utilisent le service Microsoft Threat Experts peuvent également utiliser des notifications d'attaques ciblées qui incluent l'historique détaillé, les mesures de protection recommandées et des conseils de récupération.

Si votre réseau a été attaqué, suivez immédiatement les étapes ci-dessous pour évaluer l'étendue de la situation. Lors de la détermination de l'effet de ces attaques, vous ne devez pas vous fier uniquement aux indicateurs de compromis (IOC), car la plupart des programmes de rançongiciels mentionnés utilisent une infrastructure «unique», leurs auteurs changent souvent leurs outils et systèmes, déterminant les capacités de leurs cibles de détection. . Dans la mesure du possible, les moyens de détecter et de minimiser l'exposition devraient utiliser des techniques basées sur des schémas comportementaux complets. Vous devez également fermer les vulnérabilités utilisées par les cybercriminels dès que possible.

Analyser les points de terminaison et les informations d'identification attaqués

Identifiez toutes les informations d'identification disponibles sur le point de terminaison attaqué. Ils doivent être considérés comme accessibles aux attaquants et tous les comptes qui leur sont associés doivent être compromis. Notez que les attaquants peuvent copier non seulement les informations d'identification des comptes connectés dans des sessions interactives ou RDP, mais également copier les informations d'identification et les mots de passe mis en cache pour les comptes de service et les tâches planifiées, qui sont stockés dans la section de registre LSA Secrets.

Pour les points de terminaison intégrés à Microsoft Defender ATP , utilisez des méthodes avancées pour identifier les comptes qui se sont connectés aux points attaqués. Pour ce faire, il existe une requête de recherche dans le rapport d'analyse des menaces.
Windows, , — 4624 2 10. 4 5.

Isolez les points clés qui contiennent des signes de contrôle et de contrôle ou qui sont devenus la cible d'un «déplacement latéral». Identifiez ces points d'extrémité à l'aide de requêtes de recherche avancées ou d'autres méthodes de recherche directe pour les IOC pertinents. Isolez les machines à l' aide de Microsoft Defender ATP ou utilisez d'autres sources de données, telles que NetFlow, pour effectuer une recherche dans SIEM ou un autre outil de gestion d'événements centralisé. Recherchez des signes de «déplacement latéral» à partir de points d'extrémité compromis connus.

Vulnérabilités rapprochées accessibles depuis Internet

Identifiez les systèmes de périmètre que les attaquants peuvent utiliser pour accéder à votre réseau. Vous pouvez compléter votre analyse à l'aide de l'interface de numérisation publique, par exemple shodan.io . Les pirates peuvent être intéressés par de tels systèmes:

RDP ou bureaux virtuels sans authentification multifacteur.
Systèmes Citrix ADC avec vulnérabilité CVE-2019-19781.
Systèmes VPN Pulse Secure avec vulnérabilité CVE-2019-11510.
Serveurs Microsoft SharePoint avec vulnérabilité CVE-2019-0604.
Serveurs Microsoft Exchange avec vulnérabilité CVE-2020-0688.
Systèmes Zoho ManageEngine avec vulnérabilité CVE-2020-10189.

Pour réduire davantage la vulnérabilité d'une organisation, les clients Microsoft Defender ATP peuvent profiter des capacités de gestion des menaces et des vulnérabilités (TVM) pour identifier, hiérarchiser et fermer les vulnérabilités dans la mauvaise configuration. TVM permet aux professionnels de la sécurité informatique et aux administrateurs de se débarrasser conjointement des faiblesses détectées.

Examiner et réparer les appareils infectés par des logiciels malveillants

De nombreux pirates infiltrent les réseaux via des programmes déjà mis en œuvre comme Emotet et Trickbot. Ces familles d'outils sont classées comme des chevaux de Troie bancaires qui peuvent fournir n'importe quelle charge utile, y compris des signets logiciels permanents. Examiner et éliminer toutes les infections connues et les considérer comme des vecteurs d'attaque potentiels d'adversaires humains dangereux. Assurez-vous de vérifier toutes les informations d'identification ouvertes, les types de charges utiles supplémentaires et les signes de «déplacement latéral» avant de restaurer les points de terminaison attaqués ou de changer les mots de passe.

Hygiène de l'information pour protéger les réseaux contre les ransomwares d'origine humaine

Comme les opérateurs de hackers trouvent plus de victimes, les défenseurs devraient évaluer les risques à l'avance en utilisant tous les outils disponibles. Continuez à appliquer toutes les solutions préventives éprouvées - hygiène des informations d'identification, privilèges minimaux et pare-feu hôtes - qui empêchent les attaques qui exploitent les failles de sécurité et les privilèges redondants.

Augmentez la résistance de votre réseau à la pénétration, à la réactivation des signets logiciels et au «déplacement latéral» avec les mesures suivantes:

Utilisez des mots de passe générés aléatoirement pour les comptes d'administrateur, par exemple, à l'aide de LAPS.
Appliquez une stratégie de verrouillage de compte .
. , .
C « ». TCP- 445 , .
Microsoft Defender , . .
Office, Office 365 Windows. Microsoft Secure Score , .
, .
, -:
- .
- PsExec WMI-.
- Windows (lsass.exe).

Pour plus de conseils sur l'amélioration de la protection contre les programmes de rançongiciels contrôlés par l' homme et sur la création d'une protection plus fiable contre les cyberattaques en général, voir Attaques de ransomwares actionnées par l'homme: une catastrophe évitable .

Microsoft Threat Protection: protection coordonnée contre les applications complexes et à grande échelle pilotées par des rançongiciels

L'augmentation en avril du nombre d'attaques utilisant des ransomwares a montré que les pirates informatiques ne sont pas inquiets des conséquences dues aux interruptions de leurs services pendant la crise mondiale.

Les attaques utilisant des programmes de rançongiciels contrôlés par l'homme représentent un nouveau niveau de menace, car les attaquants connaissent bien l'administration système et la configuration des outils de protection, afin qu'ils puissent trouver un moyen de pénétrer avec le moins de résistance. Face à un obstacle, ils tentent de le casser. Et si cela ne fonctionne pas, ils font preuve d'ingéniosité pour trouver de nouvelles façons de développer une attaque. Par conséquent, les attaques utilisant des ransomwares contrôlés par l'homme sont complexes et répandues. Deux attaques identiques ne se produisent pas.

Protections contre les menaces Microsoft (MTP)offre une défense coordonnée qui permet de bloquer toute la chaîne des attaques complexes à l'aide d'un ransomware piloté par l'homme. MTP combine les capacités de divers services de sécurité Microsoft 365 pour gérer la protection, la prévention, la détection et la réponse des points de terminaison, des e-mails, des comptes et des applications.

Grâce aux outils intégrés d'intelligence, d'automatisation et d'intégration, MTP est capable de bloquer les attaques, d'éliminer la présence d'intrus et de récupérer automatiquement les ressources attaquées. Cet outil compare et consolide les alertes et les alertes pour aider les défenseurs à hiérarchiser les incidents en termes d'enquête et de réponse. MTP possède également des capacités de recherche inter-domaines uniques qui aideront à identifier la croissance de l'attaque et à comprendre comment renforcer la défense dans chaque cas.

Microsoft Threat Protection fait partie de l'approche puce à cloud, qui combine la protection du matériel, du système d'exploitation et de la protection du cloud. Les fonctionnalités de sécurité prises en charge par le matériel dans Windows 10, telles que la randomisation de la configuration de l'espace d'adressage (ASLR), la protection des flux de contrôle (CFG), etc., augmentent la résistance de la plate-forme à de nombreuses menaces graves, y compris celles qui exploitent les vulnérabilités des pilotes du noyau. Ces fonctionnalités de sécurité sont parfaitement intégrées dans Microsoft Defender ATP, qui fournit une protection de bout en bout qui commence par une solide racine de confiance matérielle. Sur les ordinateurs avec un noyau sécurisé ( PC à cœur sécurisé ), ces restrictions sont activées par défaut.

Nous continuons de travailler avec nos clients, nos partenaires et la communauté des chercheurs pour suivre les ransomwares axés sur les personnes et d'autres outils sophistiqués. Dans les cas difficiles, les clients peuvent utiliser la commande Microsoft Detection and Response (DART) pour aider à enquêter et à récupérer.

Annexe: Techniques découvertes MITRE ATT & CK

Les attaques utilisant des programmes de ransomware gérés par l'homme utilisent un large éventail de techniques qui sont disponibles pour les attaquants après avoir pris le contrôle des comptes de domaine privilégié. Voici les techniques qui ont été largement utilisées dans les attaques contre les soins de santé et les organisations critiques en avril 2020.

Accès aux informations d'identification:

T1003 Dumping sur les titres de compétences | L'utilisation de LaZagne, Mimikatz, LsaSecretsView et d'autres outils de collecte d'informations d'identification, ainsi que l'utilisation des vulnérabilités CVE-2019-11510 aux points de terminaison.

Présence à long terme:

Abonnement à un événement T1084 Windows Management Instrumentation | Abonnez-vous aux événements WMI.
T1136 Créer un compte | Créez de nouveaux comptes RDP.

Gestion et contrôle:

T1043 Port couramment utilisé | Utilisation du port 443.

Étude:

Découverte du propriétaire / utilisateur du système T1033 | Différentes équipes.
Découverte de compte T1087 | Requêtes LDAP et AD, ainsi que d'autres commandes.
Découverte de système à distance T1018 | Pings, qwinsta et autres outils et commandes.
Détection d'approbation de domaine T1482 | Énumération d'approbation de domaine avec Nltest.

Exécution:

Exécution du service T1035 | Un service enregistré pour exécuter les commandes CMD- (comme ComSpec) et PowerShell.

"Déplacement latéral":

Protocole de bureau à distance T1076 | Utilisez RDP pour accéder à d'autres machines sur le réseau.
T1105 Copie de fichier à distance | Déplacement latéral à l'aide de WMI et PsExec.

Évitement de l'équipement de protection:

Suppression de l'indicateur T1070 sur l'hôte | Effacement des journaux des événements à l'aide de wevutil, suppression du journal USN à l'aide de fsutil, suppression de l'espace inutilisé sur les lecteurs à l'aide de cipher.exe.
T1089 Désactivation des outils de sécurité | Arrêt ou piratage des antivirus et autres protections à l'aide de ProcessHacker, ainsi qu'à l'aide de pilotes logiciels vulnérables.

Impact:

Arrêt de service T1489 | Arrêtez les services avant le chiffrement.
Données T1486 chiffrées pour l'impact | Cryptage d'extorsion.

Comment réduire les risques associés aux ransomwares ransomwares