Technologie
Produits
Secteurs
Actualités
Ressources
Entreprise
Français
Technologie
Produits
Secteurs
Actualités
Blog
Ressources
Entreprise

Comment l’IA protège l’infrastructure critique contre les ransomwares

David Masson, Director of Enterprise Security | jeudi 13 mai 2021

Lors de la conférence sur la cybersécurité RSA 2021, Alejandro Mayorkas, secrétaire américain à la Sécurité intérieure, a fait une déclaration qui fera date vis-à-vis du panorama de la cybersécurité : « Soyons bien clairs : les ransomwares constituent aujourd’hui une menace pour la sécurité nationale. »

La semaine dernière, cette déclaration semble s’être vérifiée. Une attaque par ransomware a touché Colonial Pipeline, responsable de l’approvisionnement en diesel, essence et kérosène de pratiquement la moitié de la côte Est des États-Unis. Cette attaque a totalement mis à l’arrêt un réseau critique d’approvisionnement en carburant desservant plusieurs états.

Les retombées de l’attaque ont montré à quel point les conséquences d’un ransomware pouvaient être vastes et graves. Lorsqu’elles s’attaquent aux infrastructures critiques et aux services publics, les cyberattaques peuvent interrompre les flux d’approvisionnement, nuire à l’environnement et même mettre en danger des vies humaines.

Même si les détails restent à confirmer, on soupçonne le groupe de cybercriminels connu sous le nom de DarkSide d’être à l’origine de cette attaque, qui s’est vraisemblablement basée sur des outils de bureau à distance courants. L’accès distant, vulnérabilité facilement exploitable au sein de l’infrastructure critique, a été mis en place lors du passage au télétravail par de nombreuses entreprises l’an dernier, y compris celles utilisant des systèmes de contrôle industriels (ICS) et des technologies opérationnelles (OT).

L’avènement des ransomwares industriels

Les ransomwares visant les environnements industriels sont en plein essor : on rapporte une augmentation de 500 % depuis 2018. Bien souvent, ces menaces exploitent la convergence des systèmes IT et OT, en commençant par s’attaquer à l’IT avant de pivoter vers l’OT. C’est l’approche qu’a adopté le ransomware EKANS, qui incluait des processus ICS dans sa liste de cible (« kill list »), de même que le ransomware Cring, qui a compromis des systèmes ICS après avoir exploité une vulnérabilité dans un VPN.

On ne sait toujours pas si le vecteur d’attaque initial de la faille de Colonial Pipeline exploitait une vulnérabilité technique, des identifiants compromis ou une campagne d’hameçonnage ciblé. D’après les rapports, l’attaque a d’abord touché les systèmes IT, et Colonial a ensuite suspendu ses opérations OT par mesure de sécurité. Colonial confirme que le ransomware « a temporairement paralysé toutes les opérations du pipeline et a affecté certains de nos systèmes IT », ce qui prouve bien que les systèmes OT et IT ont tous été atteints. Cet exemple montre bien que de nombreux systèmes OT dépendent de l’IT, et qu’une cyberattaque IT a le potentiel de mettre totalement à l’arrêt des processus OT et ICS.

En plus de stopper certains systèmes, les cybercriminels ont également volé à Colonial 100 Go de données sensibles. Ce type d’attaque par double extorsion, au cours de laquelle des données sont exfiltrées avant le chiffrement des fichiers, est malheureusement devenu la norme plutôt que l’exception. Aujourd’hui, plus de 70 % des attaques par ransomware impliquent un vol de données. Certains groupes de pirates spécialisés dans le ransomware ont même annoncé qu’ils avaient entièrement abandonné le chiffrement de données pour se consacrer exclusivement au vol de données et aux méthodes d’extorsion.

Au début de l’année, Darktrace a protégé l’infrastructure critique d’une entreprise contre une attaque par ransomware de double extorsion, qui utilisait elle aussi des outils d’accès distant courants. Cet article analyse la menace en détail et montre comment l’IA auto-apprenante de Darktrace a répondu de façon autonome à une attaque extrêmement similaire à celle observée lors de l’incident de Colonial Pipeline.

Menace identifiée par Darktrace

Ransomware ciblant un fournisseur de matériel pour réseaux publics d’électricité

Lors d’une attaque menée au début de l’année contre un fournisseur de matériel pour réseaux publics d’électricité en Amérique du Nord, l’Industrial Immune System de Darktrace a démontré qu’il était capable de protéger les infrastructures critiques contre les attaques par ransomware de type double extorsion ciblant les entreprises dotées de systèmes ICS et OT.

Le ransomware a commencé par s’attaquer aux systèmes IT. Grâce à la Cyber IA auto-apprenante, il a été arrêté avant de pouvoir se propager aux systèmes OT et de perturber les opérations.

Le pirate s’est tout d’abord attaqué à un serveur interne afin d’exfiltrer des données et de déployer le ransomware en l’espace de 12 heures. Ce laps de temps très court entre la faille initiale et le déploiement est inhabituel : les cybercriminels à l’origine du ransomware attendent souvent plusieurs jours pour s’infiltrer furtivement et aussi loin que possible dans l’écosystème numérique avant de frapper.

Figure 1 : chronologie de l’attaque

Comment l’attaque a-t-elle contourné le reste de la pile de sécurité ?

Le pirate a employé des techniques d’utilisation des ressources internes (« Living off the Land ») pour se fondre dans le modèle comportemental normal de l’entreprise : il a utilisé les identifiants d’un compte administrateur compromis et un outil de gestion à distance approuvé par l’organisation pour éviter d’être détecté.

Darktrace observe souvent une utilisation malveillante de logiciels légitimes de gestion à distance au sein des tactiques, techniques et procédures utilisées par les cybercriminels. L’accès distant est un vecteur d’attaque de plus en plus courant, en particulier dans le cas des attaques ICS. Par exemple, dans l’incident rencontré par un site de traitement des eaux usées en Floride en février dernier, les pirates ont exploité un outil de gestion à distance pour tenter de manipuler la procédure de traitement.

La souche spécifique de ransomware utilisée par ce cybercriminel a également réussi à éviter toute détection par un antivirus en utilisant une extension de fichier unique lors du chiffrement des fichiers. Ces formes de ransomware « sans signature » échappent facilement aux approches traditionnelles de la sécurité, qui s’appuient sur des règles, des signatures, des flux de renseignements sur les menaces et des listes de failles et vulnérabilités (CVE), car ces dernières sont uniquement en mesure de détecter les menaces déjà documentées.

Le seul moyen de détecter des menaces inédites comme ces ransomwares sans signature consiste à utiliser une technologie capable d’identifier les comportements anormaux, au lieu de s’appuyer sur des listes de menaces connues. Notre technologie auto-apprenante détecte les écarts les plus subtils par rapport au « modèle comportemental normal » de chaque appareil, de chaque utilisateur et de toutes les relations qu’ils entretiennent.

Informations Darktrace

Faille initiale et établissement d’une présence

Malgré l’utilisation malveillante d’un outil légitime et l’absence de toute signature connue, l’Industrial Immune System de Darktrace a réussi à détecter l’activité malveillante à plusieurs étapes du cycle de vie l’attaque, car elle avait formé une compréhension globale de toute l’activité normale de l’entreprise.

Le premier signe clair d’une menace émergente ayant fait l’objet d’une alerte par Darktrace était l’utilisation inhabituelle d’identifiants à privilèges. La machine avait également établi une connexion inhabituelle par protocole RDP (remote desktop protocol) depuis un serveur Veeam peu de temps avant l’incident, ce qui laisse penser que le cybercriminel a pu se déplacer latéralement à partir d’un autre emplacement réseau.

Trois minutes plus tard, la machine a lancé une session de gestion à distance, qui est restée ouverte pendant 21 heures. Elle a permis au pirate de se déplacer dans tout le cyber écosystème sans être détecté par les outils traditionnels de sécurité. Toutefois, Darktrace a reconnu que l’utilisation inhabituelle de la gestion à distance était un autre signe précoce d’une attaque.

Double menace, première partie : exfiltration de données

Une heure après la faille initiale, Darktrace a détecté l’envoi de volumes inhabituels de données vers une solution de stockage dans le cloud 100 % rare, pCloud. Les données sortantes étaient chiffrées via SSL, mais Darktrace a généré plusieurs alertes relatives à des téléchargements internes volumineux, qui constituaient un écart révélateur par rapport au « modèle comportemental normal » de la machine.

L’appareil a continué d’exporter des données pendant neuf heures. L’analyse des fichiers téléchargés par la machine, transférés à l’aide du protocole non chiffré SMB, suggère qu’ils étaient de nature sensible. Heureusement, Darktrace a réussi à identifier précisément les fichiers exfiltrés, de sorte que le client a pu immédiatement évaluer les implications potentielles de la faille.

Double menace, deuxième partie : chiffrement des fichiers

Peu de temps après, à environ 1h49, heure locale, la machine compromise a commencé à chiffrer des fichiers sur un disque de sauvegarde partagé SharePoint. Pendant les trois heures et demie qui ont suivi, la machine a chiffré plus de 13 000 fichiers sur au moins 20 partages SMB. Au total, Darktrace a généré 23 alertes pour la machine en question, ce qui représentait 48 % de toutes les alertes produites au cours de la période de 24 heures correspondante.

Le Cyber AI Analyst de Darktrace a ensuite lancé une investigation, qui lui a permis d’identifier les transferts de données internes et le chiffrement de fichiers par SMB. La solution a ensuite pu présenter des rapports d’incident reliant les points entre toutes ces anomalies disparates, pour former un récit de sécurité cohérent. L’équipe de sécurité a alors pu immédiatement mettre en œuvre des mesures correctives.

Si le client avait utilisé Antigena Network, la technologie de Réponse Autonome de Darktrace, il ne fait aucun doute que l’activité aurait été stoppée avant l’exfiltration d’importants volumes de données et le chiffrement des fichiers. Heureusement, après avoir vu les alertes et les rapports du Cyber AI Analyst, le client a pu utiliser le service « Ask the Expert » (ATE) de Darktrace pour atténuer l’impact de l’attaque et obtenir de l’aide pour la reprise sur incident.

Figure 2 : exemple de détection du chiffrement anormal et d’une chaîne suspecte de connexions d’administrateur ICS par le Cyber AI Analyst de Darktrace

Détecter la menace avant qu’elle n’atteigne l’infrastructure critique

Le fournisseur ciblé supervisait les systèmes OT et entretenait des liens étroits avec l’infrastructure critique. En facilitant une intervention précoce, Darktrace a empêché le ransomware de se propager jusqu’au site de production. Surtout, Darktrace a également réduit au maximum les perturbations des opérations, ce qui a contribué à éviter tout effet domino : après le fournisseur, le malware aurait pu affecter tout le réseau électrique desservi par ce dernier.

Comme le montrent l’incident Colonial Pipeline et la menace identifiée ci-dessus, les ransomwares représentent une préoccupation essentielle pour toutes les organisations qui supervisent des opérations industrielles sur toutes les formes d’infrastructures critiques, qu’il s’agisse de pipelines, de réseaux électriques ou de leurs fournisseurs. Grâce à l’IA auto-apprenante, ces vecteurs d’attaque peuvent être neutralisés avant de provoquer des dégâts, grâce à la détection des menaces en temps réel, aux investigations autonomes et, si elle est activée, à la réponse lancée à la vitesse de la machine.

Prospective stratégique : utiliser l’IA auto-apprenante pour protéger les infrastructures critiques dans leur globalité

Fin avril, l’administration Biden a annoncé un projet audacieux visant à « protéger les infrastructures critiques des États-Unis contre les menaces persistantes et sophistiquées ». Le département de l’énergie (DOE) a présenté un plan sur 100 jours visant spécifiquement à identifier les technologies capables de « fournir des fonctionnalités de cybervisibilité, de détection et de réponse pour les systèmes de contrôle industriels des réseaux publics d’électricité ».

Le cybersprint de l’administration Biden en appelle clairement à une technologie capable de protéger l’infrastructure critique des réseaux d’énergie, plutôt que de se contenter des bonnes pratiques et des réglementations. Comme nous l’avons vu avec la menace ci-dessus, l’IA de Darktrace est une technologie puissante qui s’appuie sur le machine learning non supervisé pour protéger en toute autonomie l’infrastructure critique et ses fournisseurs, à la vitesse de la machine et avec une précision extrême.

Objectif du cybersprint du DOEFonctionnalités de Darktrace
Améliorer les fonctionnalités de détection, d’atténuation et d’analyse.Détection des attaques nouvelles et sophistiquées, des menaces internes et des infections préexistantes, en utilisant la Cyber IA auto-apprenante, sans recours à des règles, signatures ou listes de CVE.

Analyses d’incident fournies en temps réel par le Cyber AI Analyst pour accélérer la neutralisation de la menace en fournissant des renseignements facilement traduisibles en actions

Contient les attaques émergentes dès leurs premières manifestations, avant qu’elles ne se transforment en crise.
Déployer des technologies et des systèmes offrant une compréhension contextualisée et des fonctionnalités de réponse en temps quasi réel pour les systèmes de contrôle industriels et les technologies opérationnelles critiques.L’IA auto-apprenante comprend, identifie et analyse immédiatement toutes les activités anormales dans les réseaux ICS/OT, qu’ils soient pilotés par des équipes humaines ou des machines.

Met en œuvre une réponse ciblée lorsqu’elle est adaptée pour neutraliser les menaces, de manière active ou en mode confirmation humaine.

L’IA auto-apprenante s’adapte aux évolutions de l’écosystème pour offrir une visibilité en temps réel sans ajustement ni intervention humaine.
Améliorer la posture de cybersécurité des réseaux IT d’infrastructures critiques.Contextualise les événements de sécurité, s’adapte aux techniques émergentes et traduit les résultats d’analyses en un récit de sécurité facilement traduisible en actions par des humains, en quelque minutes seulement.

Vision unifiée des systèmes IT et OT.

Détecte, analyse et neutralise les menaces à un niveau plus élevé du modèle Purdue pour les ICS, et dans les systèmes IT avant qu’elles ne se propagent aux systèmes OT.
Déployer des technologies afin d’améliorer la visibilité des menaces dans les systèmes ICS et OT.Le déploiement « plug and play » s’intègre de manière transparente à l’architecture technologique.

Présente une topologie réseau en 3D avec une visibilité granulaire de tous les utilisateurs, équipements et sous-réseaux.

L’identification des actifs auto-apprenante répertorie en permanence tous les dispositifs ICS/OT.

Identifie et analyse toutes les activités menaçantes indicatrices d’attaques émergentes : ransomware visant un ICS, menaces APT, failles zero-day, menaces internes, infections préexistantes, attaque DDoS, minage de cryptomonnaies, erreurs de configuration, ou même attaques inédites.

Nous remercions l’analyste Darktrace Oakley Cox pour ses informations sur la menace ci-dessus.

Détections de modèles Darktrace :

  • Faille initiale :
    • User / New Admin Credential on Client
  • Exfiltration de données :
    • Anomalous Connection / Uncommon 1 GiB Outbound
    • Anomalous Connection / Low and Slow Exfiltration
    • Device / Anomalous SMB Followed by Multiple Model Breaches
    • Anomalous Connection / Download and Upload
  • Chiffrement de fichiers :
    • Compromise / Ransomware / Suspicious SMB Activity
    • Anomalous Connection / SMB Enumeration
    • Device / Anomalous RDP Followed by Multiple Model Breaches
    • Anomalous File / Internal / Additional Extension Appended to SMB File
    • Anomalous Connection / Sustained MIME Type Conversion
    • Anomalous Connection / Suspicious Read Write Ratio
    • Device / Multiple Lateral Movement Model Breaches

David Masson

David Masson is Darktrace’s Director of Enterprise Security, and has over two decades of experience working in fast moving security and intelligence environments in the UK, Canada and worldwide. With skills developed in the civilian, military and diplomatic worlds, he has been influential in the efficient and effective resolution of various unique national security issues. David is an operational solutions expert and has a solid reputation across the UK and Canada for delivery tailored to customer needs. At Darktrace, David advises strategic customers across North America and is also a regular contributor to major international and national media outlets in Canada where he is based. He holds a master’s degree from Edinburgh University.