HTCinside


Les opérateurs de ransomwares se cachent sur votre réseau après leur attaque

Lorsqu'une entreprise connaît uneattaque de rançongiciel, beaucoup pensent que les attaquants déploient et quittent rapidement le ransomware, afin de ne pas se faire prendre. Malheureusement, la réalité est bien différente car les acteurs de la menace ne renoncent pas si vite à une ressource qu'ils ont tant travaillé pour la contrôler.

Au lieu de cela, les attaques de ransomwares se déroulent de jour en mois, en commençant par l'entrée d'un opérateur de ransomware sur un réseau.

Cette violation est due aux services de bureau à distance exposés, aux vulnérabilités du logiciel VPN ou à l'accès à distance par des logiciels malveillants tels que TrickBot, Dridex et QakBot.

Une fois qu'ils y ont accès, ils utilisent des outils tels que Mimikatz, PowerShell Empire, PSExec et d'autres pour collecter des informations de connexion et les diffuser latéralement sur le réseau.

Lorsqu'ils accèdent à des ordinateurs sur le réseau, ils utilisent ces informations d'identification pour voler des fichiers non chiffrés à partir de périphériques de sauvegarde et de serveurs avant que l'attaque par ransomware ne se produise.

Après l'attaque, les victimes ont signalé à BleepingComputer que les opérateurs de ransomwares ne sont pas visibles, mais que leur réseau est quand même menacé.
La croyance est loin de la vérité, comme en témoigne une récente attaque des opérateurs de Maze Ransomware.

Lis -Des chercheurs ont piraté Siri, Alexa et Google Home en faisant briller des lasers sur eux

Maze a continué à voler des fichiers après l'attaque du rançongiciel

Les opérateurs de Maze Ransomware ont récemment annoncé sur leur site de fuite de données qu'ils avaient piraté le réseau d'une filiale de ST Engineering appelée VT San Antonio Aerospace (VT SAA). La chose effrayante à propos de cette fuite est que Maze a publié un document contenant le rapport du service informatique de la victime sur son attaque de ransomware.

Le document volé montre que Maze était toujours sur son réseau et a continué à espionner les fichiers volés de l'entreprise pendant que l'enquête sur l'attaque se poursuivait. Cet accès continu n'est pas rare pour ce type d'attaque. John Fokker, ingénieur en chef de McAfee et responsable des cyber-enquêtes

a déclaré à BleepingComputer que certains attaquants lisaient les e-mails des victimes pendant que les négociations sur les rançongiciels étaient en cours.
« Nous avons connaissance de cas où des joueurs de ransomware sont restés sur le réseau d'une victime après avoir déployé leur ransomware. Dans ces cas, les attaquants ont chiffré les sauvegardes de la victime après l'attaque initiale ou pendant les négociations laissées pour compte. Bien sûr, l'attaquant pouvait toujours y accéder et lire l'e-mail de la victime.

Lis -Les pirates exploitent la peur du coronavirus pour inciter les utilisateurs à cliquer sur des e-mails malveillants

Conseil d'Expert

Après la détection d'une attaque par rançongiciel, une entreprise doit d'abord fermer son réseau et les ordinateurs qui y sont exécutés. Ces actions empêchent le chiffrement continu des données et empêchent les attaquants d'accéder au système.
Une fois cette opération terminée, l'entreprise doit appeler un fournisseur de cybersécurité pour mener une enquête approfondie sur l'attaque et l'analyse de tous les appareils internes et publics.

Cette analyse comprend l'analyse des appareils de l'entreprise pour identifier les infections persistantes, les vulnérabilités, les mots de passe faibles et les outils malveillants laissés par les opérateurs de rançongiciels.

La cyberassurance de la victime couvre la plupart des réparations et des enquêtes dans de nombreux cas.

Fokker et Vitali Kremez, président d'Advanced Intel, ont également donné quelques conseils et stratégies supplémentaires pour corriger une attaque.

« Les attaques de ransomware d'entreprise les plus importantes impliquent presque toujours une compromission complète du réseau de la victime, des serveurs de sauvegarde aux contrôleurs de domaine. Avec un contrôle total sur un système, les pirates peuvent facilement désactiver la défense et mettre en œuvre leur rançongiciel.

'Les équipes de réponse aux incidents (IR) qui sont soumises à des interférences aussi profondes doivent supposer que l'attaquant est toujours sur le réseau jusqu'à preuve du contraire. Cela signifie principalement choisir un canal de communication différent (non visible pour l'auteur de la menace) pour discuter des efforts de RI en cours. ”

'Il est important de noter que les attaquants ont déjà scanné l'Active Directory d'une victime pour supprimer tous les comptes de porte dérobée restants. Ils doivent faire une analyse AD complète », a déclaré Fokker à BleepingComputer.

Kremez a également proposé un canal de communication sécurisé séparé et un canal de stockage fermé où les données liées à l'enquête peuvent être stockées.

Traitez les attaques de ransomwares comme des violations de données, en supposant que les attaquants peuvent toujours être sur le réseau, de sorte que les victimes doivent travailler de bas en haut, essayer d'obtenir des preuves médico-légales qui confirment ou infirment l'hypothèse. Il comprend souvent une analyse médico-légale complète de l'infrastructure réseau, en mettant l'accent sur les comptes privilégiés. Assurez-vous d'avoir un plan de continuité des activités pour disposer d'un canal de stockage et de communication sécurisé séparé (infrastructure différente) lors de l'évaluation médico-légale », a déclaré Kremez.

De bas en haut, essayez d'obtenir des preuves médico-légales qui confirment ou infirment l'hypothèse. Il comprend souvent une analyse médico-légale complète de l'infrastructure réseau, en mettant l'accent sur les comptes privilégiés. Assurez-vous d'avoir un plan de continuité des activités pour disposer d'un canal de stockage et de communication sécurisé séparé (infrastructure différente) lors de l'évaluation médico-légale », a déclaré Kremez.

Kremez a découvert qu'il était recommandé de réinventer les appareils sur un réseau vulnérable. Pourtant, cela peut ne pas être suffisant car les attaquants sont susceptibles d'avoir un accès complet aux informations d'identification du réseau qui peuvent être utilisées pour une autre attaque.
« Les victimes ont le potentiel de réinstaller les machines et les serveurs. Cependant, vous devez savoir que le criminel a peut-être déjà volé les informations d'identification. Une simple réinstallation peut ne pas suffire. « Kremez a continué.

En fin de compte, il est essentiel de supposer que les attaquants sont susceptibles de continuer à surveiller les mouvements d'une victime même après une attaque.

Cette écoute pourrait non seulement entraver le nettoyage d'un réseau endommagé, mais pourrait également affecter les tactiques de négociation si les attaquants lisent le courrier électronique d'une victime et restent en tête.